Samsung Galaxy S24 และ S23 พบช่องโหว่ Zero-Click ไม่ต้องกดลิงก์ก็เสี่ยงถูกแฮก

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากทีม Google Project Zero ตรวจพบช่องโหว่ 0-click ระดับความอันตรายสูง CVE-2024-49415 เมื่อเดือนธันวาคม กระทบ Galaxy S24 และ Galaxy S23 ในขณะที่ซัมซุงได้ออกแพตช์อุดช่องโหว่ทันควันในเดือนเดียวกัน โดยพ่วงมากับแพตช์ความปลอดภัยประจำเดือนธันวาคม

CVE-2024-49415 อาศัยช่องโหว่จากตัวถอดรหัส Monkey’s Audio (APE) ในการเขียนโค้ดที่เป็นอันตรายลงบนเครื่อง ความน่ากลัวคือ แฮกเกอร์สามารถโจมตีจากระยะไกลได้โดยการส่งข้อความเสียงผ่าน RCS ซึ่งข้อความจะถูกถอดรหัสทันทีเมื่อส่งถึงอุปกรณ์ปลายทาง แม้ผู้ใช้งานจะไม่ได้กดเปิดข้อความหรือคลิกลิงก์ใด ๆ ก็ตาม

เบื้องต้นยังไม่มีรายงานด้านความเสียหายหรือการนำช่องโหว่ไปใช้โจมตี ส่วนหนึ่งอาจเป็นเพราะซัมซุงแก้ไขช่องโหว่ค่อนข้างไว (ห่างกันไม่กี่วันหลังกูเกิลเปิดเผยช่องโหว่สู่สาธารณะ)

แต่สำหรับมือถือรุ่นอื่น ๆ ที่ไม่ได้เอ่ยถึงก็ไม่ควรชะล่าใจ เพราะนักวิจัยฯ ของกูเกิลแจ้งว่ามีเพียง Galaxy S24 และ Galaxy S23 เท่านั้นที่ได้รับการทดสอบ ส่วนที่เหลือไม่สามารถยืนยันได้ว่าได้รับผลกระทบหรือไม่ ดังนั้นการหมั่นตรวจสอบและอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ ก็จะช่วยลดความเสี่ยงลงไปได้

ที่มา : Natalie Silvanovich