Zoom ดีสำหรับการสั่งให้โปรแกรมทำงานจากระยะไกล

 

ภาพจาก  PC Magazine

Ivan Fratric นักวิจัยด้านความมั่นคงของ Google Project Zero ได้เปิดตัวการโจมตีการเรียกใช้โค้ดจากระยะไกลโดยใช้ประโยชน์จากเทคโนโลยีที่เป็นพื้นฐานของ Zoom และแอปพลิเคชันอื่น ๆ

วิธีของ Fratric มีเป้าหมายคือบั๊กใน XMPP ซึ่งเป็นโปรโตคอลที่คล้ายกับการส่งข้อความโต้ตอบแบบทันที (IM) ที่อยู่บนฐานของ XML

วิธีการนี้ใช้การฝังโค้ดหรือส่วนหนึ่งของโค้ด XMPP ไว้ภายในส่วนของโค้ด XMPP ตัวอื่น ผู้โจมตีสามารถใช้ไคลเอนต์ (client) ให้แอบส่งส่วนของโค้ดไปกับข้อความที่ปกติ ซึ่งเซิร์ฟเวอร์ที่อยู่ระหว่างทางยอมรับและส่งต่อ แต่ที่ฝั่งของไคลเอนต์ที่เป็นเหยื่อจะแปลความว่าเป็นโค้ดสองส่วน

Fratric แจ้งเตือน Zoom ซึ่งได้ออกแพตช์แก้แล้ว แต่ Fratric เตือนว่าเป้าหมายอื่นๆ ก็มีความเสี่ยงต่อบั๊ก XMPP เช่นกัน

อ่านข่าวเค็มได้ที่: PC Magazine

AI อาจเป็นผู้ช่วยเหลือของการดับเพลิงในอนาคต

ภาพจาก NIST News

ตัวแบบปัญญาประดิษฐ์ (artificial intelligence) ใหม่จากนักวิจัยที่ U.S. National Institute of Standards  และ Hong Kong Polytechnic University สามารถเตือนนักดับเพลิงถึงไฟที่จะเกิดขึ้นกระทันหัน (flashover) 

ตัวแบบ Flashover Prediction Neural Network (FlashNet) สามารถทำนายไฟที่จะเกิดขึ้นกระทันหันได้เร็วถึง 30 วินาทีก่อนเกิดการปะทุ ด้วยความแม่นยำสูงสุด 92.1% นักวิจัยใช้โครงข่ายประสาทเทียมแบบกราฟ (graph neural network) เพื่อเสริมความแข็งแกร่งให้ FlashNet และฝึกฝนกับกรณีไฟไหม้เกือบ 25,000 กรณี จากนั้นใช้อีก 16,000 รายสำหรับการปรับแต่งและการทดสอบขั้นสุดท้าย

ในการจำลองแบบดิจิทัลของการเกิดเพลิงไหม้มากกว่า 41,000 ครั้งในอาคาร 17 ประเภทซึ่งเป็นตัวแทนของแผนผังชั้นที่อยู่อาศัยทั่วไปในสหรัฐฯ FlashNet มีประสิทธิภาพเหนือกว่าตัวแบบอื่นๆ อีก 5 ตัวที่ใช้การเรียนรู้ของเครื่อง (machine learning) 

อ่านข่าวเต็มได้ที่: NIST News

หาบั๊กได้เร็วกว่าแฮกเกอร์

ภาพจาก USC Viterbi School of Engineering

นักวิจัยจาก Viterbi School of Engineering (USC Viterbi) ของ  University of Southern California,  Arizona State University, Cisco Systems และ  EURECOM ศูนย์วิจัยระดับบัณฑิตศึกษาของฝรั่งเศส ได้เสนอวิธีการค้นหาอัตโนมัติแบบใหม่สำหรับการค้นหาจุดบกพร่องในซอฟต์แวร์ที่แฮ็กเกอร์อาจใช้ประโยชน์ได้

Nicolaas Weideman จาก USC Viterbi กล่าวว่า "เนื่องจากโปรแกรมคอมพิวเตอร์มีขนาดใหญ่และซับซ้อนมากในปัจจุบัน เราจึงต้องการตรวจจับช่องโหว่เหล่านี้โดยอัตโนมัติ แทนที่จะให้ผู้เชี่ยวชาญที่เป็นมนุษย์วิเคราะห์โปรแกรมเพื่อค้นหาช่องโหว่

เทคนิค ARBITER จะวิเคราะห์ซอฟต์แวร์ที่ระดับไบนารี โดยรวมการตรวจจับช่องโหว่แบบสถิต (static) และไดนามิก (dynamic) เข้าด้วยกันเพื่อเพิ่มความแม่นยำของวิธีการแบบคงที่และความสามารถในการปรับขนาดของวิธีไดนามิก

อ่านข่าวเต็มได้ที่: USC Viterbi School of Engineering

การแฮ็กเทอร์มินัลของ Starlink เริ่มขึ้นแล้ว

Photo by Pawel Czerwinski on Unsplash

Lennert Wouters จาก Katholieke Universiteit Leuven ของเบลเยียม แฮ็กเครือข่าย Starlink ของ SpaceX ซึ่งเป็นเครือข่ายดาวเทียมขนาดเล็กกว่า 3,000 ดวงที่ช่วยให้สามารถเชื่อมต่ออินเทอร์เน็ตไปยังจุดที่อยู่ห่างไกลบนโลกได้

Wouter ใช้ประโยชน์จากช่องโหว่ในจานดาวเทียมของ Starlink เพื่อเข้าถึงเครือข่ายและเรียกใช้โค้ดที่เขียนขึ้นเอง เขาถอดจานออกและสร้างแผงวงจรพิมพ์แบบต่อพ่วงได้จากอะไหล่ที่หาได้ง่าย ซึ่งทำเขาสามารถเริ่มการโจมตีแบบการป้อนแรงดันไฟฟ้าที่ผิดพลาด และหลีกเลี่ยงการตรวจสอบลายเซ็นได้

Wouter แจ้งเตือน Starlink เกี่ยวกับข้อบกพร่องในปีที่แล้ว และกล่าวว่าแม้ว่า SpaceX จะออกอัปเดตเฟิร์มแวร์ที่ทำให้การโจมตีทำได้ยากขึ้น แต่จุดบกพร่องนี้สามารถแก้ไขได้โดยการผลิตชิปหลักรุ่นใหม่เท่านั้น

อ่านข่าวเต็มได้ที่: Wired

แพลตฟอร์มเซ็นเซอร์ชีวภาพแบบสวมใส่ได้ที่มีขนาดเท่าเหรียญติดตามสุขภาพแบบดิจิทัล

ภาพจาก The University of Hong Kon

นักวิจัยจาก University of Hong Kong ได้พัฒนาแพลตฟอร์มเซนเซอร์ชีวภาพที่สวมใส่ได้ซึ่งสามารถตรวจสอบสุขภาพได้อย่างต่อเนื่อง

ระบบที่มีขนาดเท่าเหรียญที่เรียกว่า PERfECT (Personalized Electronic Reader for Electrochemical Transistors) มีน้ำหนักเพียง 0.4 กรัม และสามารถรวมเข้ากับสมาร์ตโฟนเพื่อวัดระดับข้อมูลต่าง ๆ ซึ่งรวมถึงกลูโคส ความเข้มข้นของแอนติบอดีในเลือดหรือเหงื่อ

ระบบ PERfECT สามารถทำหน้าที่เป็นสถานีไฟฟ้าเคมีขนาดเล็กสำหรับอุปกรณ์ที่สวมใส่ได้ และวัดเอาต์พุตของทรานซิสเตอร์แรงดันต่ำในอุปกรณ์เหล่านั้น

Shiming Zhang จาก HKU กล่าวว่า "ระบบที่สวมใส่ได้ของเรามีขนาดเล็ก นุ่ม และผู้สวมใส่ก็แทบมองไม่เห็นแต่มันสามารถตรวจสอบสภาพร่างกายของเราได้อย่างต่อเนื่อง"

อ่านข่าวเต็มได้ที่: The University of Hong Kon