อุปกรณ์ iOS ถูกพบว่าใช้สอดแนมชนกลุ่มน้อยอุยกูร์

บริษัทด้านความปลอดภัย Volexity  เปิดเผยว่า พวกเขาค้นพบการใช้ช่องโหว่ใหม่ในอุปกรณ์ iOS ทำการสอดแนมชนกลุ่มน้อยอุยกูร์ที่อยู่ในจีน ช่องโหว่ดังกล่าวทางบริษัท Volexity ตั้งชื่อว่า Insomnia ซึ่งพบได้ในระบบปฏิบัติ iOS 2.3, 12.3.1 และ 12.3.2 ทว่าทางแอปเปิ้ลเองก็ได้ปิดช่องโหว่นี้ไปแล้วในเดือนกรกฎาคม 2019 ด้วยการเปิดตัวระบบปฏิบัติการ iOS 12.4 แต่ในช่วงเดือนมกราคมถึงมีนาคมที่ผ่านมายังมีการพบว่า ช่องโหว่ดังกล่าวยังคงมีการนำไปใช้งานอยู่

แฮกเกอร์อาศัยการ Exploit ผ่านเว็บไซต์ที่เกี่ยวข้องกับชาวอุยกูร์หลายแห่ง หลังจากเหยื่อที่ใช้อุปกรณ์ iOS เวอร์ชันเก่าเข้าไปเยี่ยมชมเว็บไซต์ แฮกเกอร์ก็จะเข้าถึงอุปกรณ์ผ่านช่องโหว่ดังกล่าว จากนั้นจะทำการอนุญาตให้แฮกเกอร์เข้าถึงรูทของอุปกรณ์ เพื่อทำการขโมยข้อมูล ตั้งแต่ข้อความธรรมดาไปจนถึงการส่งข้อโต้ตอบกับผู้สนทนา ข้อมูลอีเมล์ ภาพ รายชื่อผู้ติดต่อ และข้อมูลระบุตำแหน่ง GPS

Evil Eye group อยู่เบื้องหลังช่องโหว่ Insomnia
Volexity กล่าวว่า ช่องโหว่ดังกล่าวถูกนำมาใช้โดยกลุ่ม Evil Eye group ซึ่งเป็นหน่วยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนโดยคำสั่งของรัฐบาลปักกิ่งและสอดแนมชนกลุ่มน้อยชาวมุสลิมอุยกูร์ของจีน แน่นอนว่าเป็นกลุ่มเดียวกับที่ Googleและบริษัทพบว่า ใช้ช่องโหว่ iOS มากถึง 14 รายการ เพื่อมุ่งเป้าไปที่ชนกลุ่มน้อยกลุ่มนี้ในเดือนสิงหาคม 2019 และเชื่อว่าดำเนินการมานานแล้วตั้งแต่กันยายน 2016

ช่องโหว่ทั้ง 14 รายการยังใช้กลยุทธ์ที่คล้ายๆ กันในการเข้าถึงอุปกรณ์ของเหยื่อด้วยเทคนิค "watering hole" หรือฝังช่องโหว่เอาไว้บนเว็บไซต์และรอให้เหยื่อเข้ามาเยี่ยมชม แน่นอนว่า ช่องโหว่ทั้ง 14 ได้ถูกปิดลงแล้ว แต่จากข้อมูลของ Volexity กลุ่มแฮกเกอร์กลุ่มนี้กลับมามีชีวิตอีกครั้งในเดือนมกราคมที่ผ่านมา

Insomnia ทำงานได้กับบราวเซอร์ที่ใช้เอนจิน Webkit
Volexity กล่าวว่า ผู้ใช้อุปกรณ์ iOS คนใดก็ตามที่เข้าเยี่ยมชมเว็บไซต์ที่แอบฝัง Insomnia เอาไว้ ยังคงมีความเสี่ยงต่อการถูกแฮก เนื่องจากช่องโหว่ดังกล่าวสามารถถูกเรียกใช้ผ่านบราวเซอร์ใดๆ ก็ตามบนอุปกรณ์ที่ใช้เอนจิน Webkit เพราะทีมวิจัยยืนยันว่า การเจาะผ่านระบบความปลอดภัยของอุปกรณ์ iOS เกิดขึ้นสำเร็จผ่านบราวเซอร์ Apple Safari, Google Chrome และ Microsoft Edge Mobile ถึงอย่างนั้นช่องโหว่ Insomnia ก็ยังเหมือนๆ กับที่ผ่านมา มันไม่มีกลไก “boot persistence" อยู่ในตัว ดังนั้นแค่บูตระบบใหม่ก็จะสามารถลบพวกมันออกจากอุปกรณ์ได้แล้ว

อย่างไรก็ตาม เรายังไม่แน่ใจว่า ยังมีเว็บไซต์อื่นๆ อีกหรือไม่ที่ใช้ช่องโหว่ดังกล่าวในการเข้าถึงอุปกรณ์ iOS ดังนั้น การป้องกันตัวเองที่ดีที่สุดก็คือ อัพเดตอุปกรณ์ iOS ของคุณให้เป็นเวอร์ชัน 12.4 ขึ้นไป