พบช่องโหว่ Zero-Click บนแอป macOS Calendar เปิดช่องให้แฮกเกอร์รันโค้ดอันตรายได้

macOS นั้นโดยดั้งเดิมจะได้รับความเชื่อถือในด้านความปลอดภัยสูงมาก จากฟีเจอร์การป้องกันต่าง ๆ แต่ในปัจจุบันความเชื่อเหล่านั้นอาจไม่เป็นจริงแล้ว ด้วยการมาของมัลแวร์จำนวนมาก รวมถึงการค้นพบช่องโหว่ความปลอดภัยมากมายหลายตัว บางตัวก็ซ่อนอยู่ในจุดที่คาดไม่ถึง

จากรายงานโดยเว็บไซต์ Cyber Security News นักวิจัยด้านความปลอดภัยไซเบอร์รายหนึ่งได้มีการตรวจพบถึงการมีอยู่ของช่องโหว่ความปลอดภัย CVE-2022-46723 ซึ่งเป็นช่องโหว่ที่อยู่ในส่วนของแอปพลิเคชันปฏิทิน หรือ Calendar ที่เปิดโอกาสให้แฮกเกอร์สามารถเขียนทับ หรือ ลบไฟล์ที่อยู่ในส่วน Filesystems ของแอปพลิเคชันตัวดังกล่าวได้ โดยแฮกเกอร์สามารถใช้ช่องโหว่จุดนี้เพื่อทำการยิงโค้ดในรูปแบบไฟล์สำหรับ Calendar โดยตั้งเวลาให้โค้ดทำการรันเมื่อ macOS ทำการอัปเกรดได้ โดยโค้ดที่อยู่ในไฟล์เหล่านี้นั้นมักจะถูกเขียนให้ทำการรันไฟล์สำหรับการติดตั้ง (.DMG) หรือ ไฟล์ Internet Shortcut (.URL) ขึ้นมา

ภาพจาก : https://cybersecuritynews.com/zero-click-macos-calendar-app/

อันจะนำไปสู่การเปิดทางให้แฮกเกอร์สามารถทำการยิงโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ได้ในท้ายที่สุด ซึ่งทางนักวิจัยได้ทำการสาธิตการใช้งานช่องโหว่ดังกล่าว โดยปรากฎว่าสามารถทำการหลบเลี่ยง (Bypass) ผ่านระบบยืนยันตัวตนเพื่อรักษาความปลอดภัยของ macOS ชื่อว่า Transparency, Consent, and Control (TCC) ได้ นำไปสู่การลักลอบขโมยรูปที่ฝากไว้บน iCloud ได้ในท้ายที่สุด

สำหรับทางฝั่ง Apple นั้นได้ออกมาเปิดเผยว่า ได้รับทราบถึงช่องโหว่ดังกล่าวมานานนับปีแล้ว และทำได้ทำการออกอัปเดตเพื่ออุดช่องโหว่ดังกล่าวอย่างต่อเนื่องมาตั้งแต่เดือนตุลาคม ค.ศ. 2022 (พ.ศ. 2565) ถึงเดือนกันยายน ค.ศ. 2023 (พ.ศ. 2566) ซึ่งนอกจากจะอุดช่องโหว่ดังกล่าวแล้ว ยังได้มีการพัฒนาระบบความปลอดภัยในส่วนของ Calendar ให้มีความแน่นหนามากขึ้นอีกด้วย ทางแหล่งข่าวยังได้แนะนำให้ผู้ใช้งานทำการอัปเดตความปลอดภัย และอัปเดตเวอร์ชันของระบบปฏิบัติการและแอปพลิเคชันต่าง ๆ อย่างสม่ำเสมอ เพื่อความปลอดภัย ถึงแม้จะยังไม่มีข่าวใดออกมาเตือนก็ตาม