มีรายงานว่า ซัมซุงจะส่งอัพเดตแรกให้ Galaxy S4 ในเร็วๆ นี้ โดยเป็นอัพเดตเรื่องความปลอดภัยของตัวเครื่อง แต่ประเด็นสำคัญคือในอัพเดตนี้ซัมซุงจะเปลี่ยนเคอร์เนลของตัวเครื่อง Galaxy S4 ใหม่ และจะทำให้การรูทตัวเครื่องไม่สามารถทำได้อีกต่อไปครับ โดย AndreiLux สมาชิกใน XDA-Developers เปิดเผยว่า ในเคอร์เนลตัวใหม่จะมีการเพิ่มโค้ดในส่วนของ CONFIG_SEC_RESTRICT_SETUID เข้าไป ซึ่งโค้ดส่วนนี้จะคอยบล็อคการทำงานของมัลแวร์ การ exploit ตัวเครื่องและการใช้คำสั่ง su เพื่อเปลี่ยนสถานะผู้ใช้ของ SETUID จาก normal (สถานะปกติ) ไปเป็น root ซึ่งนั่นจะทำให้การใช้คำสั่ง Exploit รูทตัวเครื่องจากระบบปฏิบัติการโดยตรงเพื่อลงรอมอื่นๆ จะไม่สามารถทำได้อีกต่อไป และนอกจากนี้ AndreiLux ยังได้ทดลองใช้งานอัพเดตตัวนี้ และทำการแฟลชเคอร์เนลที่ปรับแต่งเข้าไป ปรากฎว่ายังคงสามารถแฟลชกลับได้ตามปกติครับ แต่แลกกับความปลอดภัยของตัวเครื่องที่ลดลงเท่านั้นเอง แต่อย่างไรก็ตามมีผู้ใช้รายงานว่าสามารถเขียนแพตช์เพื่อปิดการทำงานโค้ด CONFIG_SEC_RESTRICT_SETUID ได้แล้ว แต่ไม่สามารถปิดการทำงานแบบถาวรได้ ก็ต้องรอดูท่าทีของซัมซุงที่จะปกป้องผู้ใช้งาน (ส่วนน้อย) กันต่อไปครับ ที่มา – Android Police Galaxy S4, [...]

ความสามารถสำคัญของคอมพิวเตอร์คือการทำตามคำสั่งที่ชัดเจนได้อย่างแม่นยำและคาดเดาผลลัพธ์ได้เป็นอย่างดี แต่ในโลกความเป็นจริง กระบวนการอย่างหนึ่งที่สำคัญมากคือการ “มั่ว” ที่ในแม้แต่มนุษย์เราเองก็ยังทำได้ลำบาก เราอาจจะขอให้ใครสักคนมั่วตัวเลขอะไรก็ได้สักสี่หลักให้เรา แต่เราอาจจะพบว่าเมื่อเราขอให้คนจำนวนมากๆ สุ่มเลข เราอาจจะพบว่าเลขที่เราได้มักเป็นเลขที่เราใช้งานบ่อยๆ เช่น “1234″, “0000″, หรือ “1111″ ปัญหาของการสุ่มที่ไม่ดีสร้างปัญหาต่อความปลอดภัยพื้นฐานเป็นอย่างยิ่ง เวลาที่เราเข้ารหัสด้วยกุญแจการเข้ารหัส เรามักคาดหวังว่ากุญแจการเข้ารหัสจะไม่สามารถคาดเดาได้ การเข้ารหัสแบบที่พื้นฐานที่สุดคือ one time pad เป็นการใช้ข้อมูลที่สุ่มอย่างสมบูรณ์ มา XOR กับข้อมูลที่เราต้องการเข้ารหัส หากแฮกเกอร์ไม่สามารถเดาได้ว่าข้อมูลที่สุ่มได้เป็นค่าอะไร ข้อมูลที่เข้ารหัสแล้วจะไม่สามารถถอดรหัสได้ ตัวอย่างปัญหาที่ง่ายที่สุดคือรหัสบัตรเอทีเอ็มที่คนจำนวนมากมักตั้งรหัสผ่านเป็นรหัสที่ง่ายอย่างที่ยกตัวอย่างไปแล้ว True Random Number Generator กระบวนการสุ่มอย่างสมบูรณ์สิ่งที่ปกติแล้วคอมพิวเตอร์พื้นฐานไม่สามารถทำได้ คอมพิวเตอร์ตามสถาปัตยกรรมของ Von Neumann นั้นสามารถทำได้เพียงคำนวณและบันทึกเท่านั้น เพื่อให้คอมพิวเตอร์สามารถ “สุ่ม” ได้ จึงจำเป็นต้องมีแหล่งของความยุ่งเหยิง (entropy source) ในโลกความเป็นจริงนั้น แหล่งของความยุ่งเหยิงอาจจะอยู่ในรูปของลูกเต๋า หรือการสลับไพ่ที่เป็นแหล่งของความยุ่งเหยิงที่ได้รับการยอมรับกันมาเป็นเวลานาน ในโลกของคอมพิวเตอร์นั้นการใช้ความยุ่งเหยิงจากโลกการพนันมาปรับใช้เป็นเรื่องที่มีมานาน สิทธิบัตรของ Richard P. Dunnigan ทำให้คอมพิวเตอร์สามารถสุ่มตัวเลขได้อย่างสมบูรณ์ด้วยการสร้างเครื่อง “ออกหวย” เลือกลูกปิงปองต่อเข้ากับคอมพิวเตอร์ แล้วจึงได้เลขที่ต้องการสุ่มออกมา [...]

เพิ่งถึงมือนักพัฒนาไปได้ไม่นาน Google Glass ก็ไม่แคล้วถูกเข้าถึง root จนได้ด้วยฝีมือของนักพัฒนาหลายรายเสียด้วย โดยหนึ่้งในนักพัฒนาที่ออกมาบอกว่า root Google Glass ได้แล้วมี Jay Freeman หรือที่ชาวเจลเบรครู้จักกันดีในชื่อ Saurik แห่ง Cydia ที่ออกมาบอกว่าเขา root Google Glass ด้วยการหลอกให้ตัวฮาร์ดแวร์นั้นคิดว่าตัวมันเป็นอีมูเลเตอร์ ซึ่งสามารถเข้าถึงรูทได้อยู่แล้ว นอกจาก Freeman แล้วยังมีนักพัฒนาอีกหลายรายที่ออกมาประกาศว่า root Google Glass ได้ แต่ไม่ระบุว่าใช้วิธีใด อย่างไรก็ตามการ root เจ้า Google Glass ได้นั้นไม่ได้หมายความว่าโลกของ Google Glass จะเปิดกว้างเหมือน Android หลังจากก่อนหน้านี้กูเกิลเคยออกมาบอกว่าสามารถระงับการใช้งาน Google Glass รวมถึงจากปากคำของ Eric Schmidt ที่บอกว่ารุ่น Explorer Edition จะถูกมอนิเตอร์การใช้งานตลอดเวลา และยังไม่รวมถึงว่าช่องโหว่ที่ใช้ตอนนี้อาจถูกปิดในรุ่นขายจริงอีกด้วย หลังข่าวนี้ออกไปได้ซักระยะ Stephan Lau [...]

Android อัพเดทข่าวล่าสุดกับ ป๋าเอก TechXcite ถือได้ว่าเป็น Gadget ที่มีคนพูดถึงไม่ใช่น้อยเลยในช่วงนี้นั่นก็คือ Google Glass แว่นตาอัจฉริยะบนระบบปฏิบัติการ Android ที่ล่าสุดมีนักพัฒนาท่านหนึ่งนามว่า Jay Lee ได้ไปล้วงแคะแกะเกาเจ้า Google Glass อีกบางส่วนและพบสเปคฮาร์ดแวร์ในอีกหลายๆส่วนที่ทาง Google ไม่ได้บอกมาก่อนหน้านี้ครับ

แม้ปัญหาความปลอดภัยจะเริ่มต้นในยุคแรกๆ ในโลกด้วยปัญหา buffer overflow แต่เมื่อโลกเข้าสู่ยุคของเว็บ และโดยเฉพาะเมื่อเว็บเริ่มไม่ใช่ไฟล์ html เปล่าๆ แต่เป็นเว็บที่สามารถปรับตามผู้ใช้งานได้ เริ่มจากยุคของ CGI ที่เป็นโปรแกรมภาษาต่างๆ เรื่อยมาถึงเว็บเซิร์ฟเวอร์แบบอื่นไม่ว่าจะเป็น J2EE หรือระบบ fastcgi ปัญหาความปลอดภัยของเว็บก็กลายเป็นปัญหาใหญ่ที่โลกเจอกันเรื่อยมาจนทุกวันนี้ ปัญหา script injection หรือการใส่สคริปต์เข้ามาในเซิร์ฟเวอร์นั้นเป็นการโจมตีที่ตรงตัวกับชื่อของมัน เมื่อเซิร์ฟเวอร์เปิดให้อัพโหลดไฟล์เข้าไปยังเซิร์ฟเวอร์ ไม่ว่าจะเป็นการอัพโหลดภาพ หรือการอัพโหลดไฟล์อื่นๆ ในเว็บเซิร์ฟเวอร์ที่รันไฟล์ภาษาสคริปต์นั้น โดยทั่วไปแล้วจะถูกคอนฟิกให้รันทุกไฟล์สคริปต์ เช่น เว็บเซิร์ฟเวอร์ Apache ที่ติดตั้ง PHP ทุกวันนี้จะถูกคอนฟิกให้รันทุกไฟล์ที่ลงท้ายชื่อไฟล์ด้วย “.php” เว็บแอพพลิเคชั่นที่ไม่ระมัดระวังเพียงพอจะปล่อยให้มีการอัพโหลดชื่อไฟล์ที่ตรงตามเงื่อนไขของสคริปต์ ส่งผลให้แฮกเกอร์สามารถส่งไฟล์ใดๆ ขึ้นมารันบนเครื่อง และเมื่อรันแล้วจะได้สิทธิเท่ากับเว็บเซิร์ฟเวอร์ทุกประการ เช่น การอ่านไฟล์ทั้งหมด, การอ่านฐานข้อมูล (เพราะสามารถอ่านไฟล์คอนฟิกของเว็บแอพพลิเคชั่นได้), จนกระทั่งในเซิร์ฟเวอร์รุ่นเก่าๆ นั้น นิยมตั้งให้เว็บเซิร์ฟเวอร์ทำงานในฐานะผู้ใช้ root จะส่งผลให้การเผลอเรอเพียงการปล่อยให้ผู้ใช้อัพโหลดไฟล์โดยไม่ตรวจสอบเพียงจุดเดียวสร้างความเสียหายได้อย่างมาก ระบบจัดการเนื้อหารุ่นใหม่ๆ เมื่อมีส่วนใดที่ต้องรับไฟล์อัพโหลดจากผู้ใช้ มักจะจัดให้อยู่ในโฟลเดอร์เดียวกันทั้งหมด พร้อมกับตรวจสอบชื่อไฟล์ว่าไม่มีชื่อไฟล์ใดที่จะสามารถรันได้ เช่น การจำกัดชื่อไฟล์ให้รับเฉพาะไฟล์ที่ไม่สามารถรันได้ เช่นไฟล์ PNG, JPG [...]

Android อัพเดทข่าวล่าสุดกับ ป๋าเอก TechXcite น่าจะเป็นข่าวดีของนักโม ROM ชาวไทยละมั้งครับเมื่อมีข่าวออกมาว่า Samsung Galaxy S4 รุ่นที่จะวางจำหน่ายในไทยได้ถูก Root กระจายก่อนวางจำหน่ายจริงแล้วด้วยซ้ำ!!!

จากข่าว กูเกิลไล่ลบแอพบล็อกโฆษณาออกจาก Play Store แล้ว แอพบล็อคโฆษณาชื่อดังอย่าง AdBlock Plus for Android ก็โดนผลกระทบไปด้วย ความเปิดของ Android ทำให้เรายังติดตั้งแอพจากนอก Play Store ได้โดยไม่ต้อง jailbreak/root ซึ่งทางผู้พัฒนาก็ทำหน้าเว็บสำหรับติดตั้ง AdBlock Plus ด้วยไฟล์ APK โดยตรงไว้ให้แล้ว อย่างไรก็ตามปัญหากลับอยู่ที่วิธีการอัพเดตแอพให้เป็นเวอร์ชันใหม่ล่าสุดเสมอโดยไม่ต้องอาศัยระบบของ Play Store AdBlock Plus ประกาศว่าจะแก้ปัญหานี้โดยทำระบบอัพเดตอัตโนมัติของตัวเองที่ไม่ต้องผ่าน Play Store (ถึงแม้อาจจะไม่สะดวกเท่า) โดยจะเริ่มตั้งแต่รุ่นหน้าเป็นต้นไปครับ ที่มา – AdBlock Plus AdBlock Plus, Android, Google, Google Play, Mobile App

พบช่องโหว่แบบ backdoor ในเราท์เตอร์ TP-Link TL-WDR4300 และ TL-WR743ND มีช่องโหวทำให้สร้าง URL ที่สั่งให้เราท์เตอร์ดาวน์โหลดไฟล์ทาง TFTP ขึ้นมาเพื่อรันในสิทธิ root บั๊กนี้มีผลให้แฮกเกอร์แม้อยู่ภายนอกก็สามารถโจมตีเราท์เตอร์ได้หากเปิดพอร์ต HTTP บนขา WAN เอาไว้ และแม้จะปิดพอร์ตบนขา WAN ก็ยังมีความเสี่ยงบ้างที่แฮกเกอร์จะอาศัยช่องโหว่ CSRF เพื่อเปิดช่องโหว่นี้ขึ้นมาได้ (แต่จะอัพโหลด TFTP ต้องใช้ช่องโหว่อื่น) ปัญหานี้ถูกแจกไปยังทาง TP-Link เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา จนกระทั่งเมื่อครบ 30 วันหลังการแจ้งแล้วไม่มีการตอบกลับ ทีมงานจึงเปิดเผยปัญหาสู่สาธารณะ ที่มา – Sekurak Security, TP-Link, Wireless Router

ข่าวดีสำหรับนักพัฒนาที่หารายได้จากโฆษณาในแอพมาแล้ว เมื่อกูเกิลเริ่มลบแอพสำหรับบล็อคโฆษณาในแอพ (Ad Blocker) โดยอ้างกฎข้อ 4.4 ว่าด้วยเรื่องการกระทำต้องห้ามบนบริการของกูเกิล สรุปย่อๆ จากหัวข้อ 4.4 ที่กูเกิลอ้างถึงนั้นเป็นข้อตกลงที่ว่านักพัฒนาจะไม่มีส่วนร่วมต่อการทำให้บริการ ผลิตภัณฑ์ ฯลฯ เกิดความเสียหาย หรือเข้าถึงข้อมูลตัวเครื่อง เครือข่าย ฯลฯ ในส่วนที่ไม่ได้รับอนุญาต โดยเจ้าทุกข์ที่รับเคราะห์ไปก่อนใครในตอนนี้คือแอพ Ad Blocker ★ Root ★ ของนาย Jared Rummler ที่ได้รับการเตือนจากกูเกิล และดูเหมือนว่านักพัฒนาแอพบล็อคโฆษณาก็ได้รับคำเตือนพร้อมกับเอาแอพออกจาก Play Store ไปพร้อมๆ กัน ท่าทีการลบแอพบล็อคโฆษณาของกูเกิลนั้นไม่ได้เกินคาดอะไร เพราะเป็นหนึ่งในวิธีการสร้างรายได้จากแอพฟรีที่เป็นที่นิยม แถมตัวกูเกิลเองก็ได้ผลประโยชน์โดยตรงอีกด้วย ที่มา – DROID-LIFE Google, Play Store

หนึ่งปีหลังจากที่ได้เปิดตัว Xperia S ไปแล้ว ปีนี้โซนี่ได้เลือกใช้ตัวอักษรตัวสุดท้ายสำหรับมือถือเรือธงของตัวเอง Xperia Z มือถือที่มาพร้อมกับสเปคแบบจัดเต็ม (สำหรับโซนี่), หน้าจอ 1080p, 4G LTE และความสามารถพิเศษเหนือมือถือเรือธงของคู่แข่งที่โซนี่เลือกมาเป็นจุดขายหลัก: มันกันน้ำได้ หลังจากที่ได้ลองใช้งานมาแล้วเกือบหนึ่งสัปดาห์ ผมขอลองเขียนรีวิวมือถือแห่งอารยธรรมความศรัทธาตัวนี้ดูครับ ดีไซน์ภายนอก ดีไซน์ของ Xperia Z เป็นดีไซน์แบบเรียบ ๆ สไตล์ iPhone หรือ Nexus 4 วัสดุทั้งด้านหน้าและด้านหลังของเครื่องทำจากกระจก ส่วนตัวขอบด้านข้างทำมาจากไฟเบอร์กลาส ตัวเครื่องมีขนาด 139 x 71 x 7.9 มิลลิเมตร น้ำหนักอยู่ที่ 149 กรัม เท่าที่ลองใช้งานมายังไม่รู้สึกว่ามันหนักหรือลำบากเกินที่จะพกไปมาทุกที่ แต่ขนาดยังเป็นปัญหาเล็กน้อย โดยเฉพาะการดึงออกจากกระเป๋ากางเกงยีนส์ ถือมือเดียวยังสามารถทำได้ และยังไม่รู้สึกหวาดเสียว กลัวว่ามันจะกลายเป็นเศษกระจกบนพื้น สิ่งที่ทำให้ Xperia Z รู้สึกต่างจากมือถือบางยี่ห้อได้ทันทีที่จับ ก็คือความรู้สึกที่เหมือนกับตอนเราจับ iPhone 5, Nokia 920 [...]