เอยัล อิตคิน นักวิจัยด้านความปลอดภัยสารสนเทศ จากเว็บไซต์เช็กพอยต์ซอต์แวร์เทคโนโลยีส์ (Check Point Software Technologies) เว็บไซต์ด้านความปลอดภัยทางไซเบอร์ ชี้ว่า Picture Transfer Protocol ซึ่งเป็นโปรโตคอลที่ใช้ในการโอนถ่ายข้อมูลรูปภาพ และเป็นโปรโตคอลที่ไม่มีการรับรองความถูกต้อง ซึ่งถูกฉวยโอกาสได้เมื่อมีการโอนถ่ายข้อมูล
แฮกเกอร์สามารถเจาะเข้าถึงข้อมูลในกล้องได้ผ่านทั้งทางไวไฟ หรือหากแฮกคอมพิวเตอร์ได้แล้วก็สามารถแทรกซึมเข้าถึงกล้องได้ผ่านทางยูเอสบี จึงเสี่ยงต่อการถูกเจาะข้อมูลภาพและวิดีโอเพื่อเรียกค่าไถ่ด้วยแรนซัมแวร์ (ransomware) หรือมัลแวร์เรียกค่าไถ่ ซึ่งเป็นมัลแวร์ประเภทที่ยึดข้อมูลของเหยื่อไว้ โดยขู่ว่าจะเผยแพร่ข้อมูลดังกล่าว หรือปิดกั้นไม่ให้เจ้าของเข้าถึงข้อมูลนั้นได้จนกว่าจะจ่ายค่าไถ่
ทีมของอิตคินเผยกรณีตัวอย่างการเจาะข้อมูลกล้องถ่ายรูปโดยได้ทดสอบเจาะระบบกล้องแคนนอนรุ่น EOS 80D โดยแสดงการเจาะระบบผ่านไวไฟเพื่อเข้าถึงและล็อกรูปภาพในเอสดีการ์ดทั้งหมด
อิตคิน ระบุว่าทางทีมวิจัยได้เปิดเผยข้อมูลช่องโหว่ทางระบบนี้กับทางแคนนอนตั้งแต่วันที่ 31 มีนาคม 2019 จากนั้นจึงได้ร่วมมือกันกับแคนนอนเพื่อพัฒนาแพตช์อัปเดตเพื่ออุดช่องโหว่ดังกล่าว
ทางแคนนอนได้ชี้แจงถึงช่องโหว่และเผยแพร่แพตช์อัปเดตความปลอดภัยนี้ในวันที่ 6 สิงหาคม พร้อมเปิดเผยชื่อรุ่นของกล้องแคนนอนทั้งดีเอสแอลอาร์และมิเรอร์เลส ที่มีช่องโหว่เสี่ยงต่อการถูกเจาะข้อมูล 33 รุ่นดังนี้
- EOS-1D X
- EOS-1D X Mark II
- EOS-1D C
- EOS 5D Mark III
- EOS 5D Mark IV
- EOS 5Ds
- EOS 5Ds R
- EOS 6D
- EOS 6D Mark II
- EOS 7D Mark II
- EOS 70D
- EOS 77D
- EOS 80D
- EOS 200D
- EOS 200D II
- EOS 750D
- EOS 760D
- EOS 800D
- EOS 1300D
- EOS 1500D
- EOS 3000D
- EOS R
- EOS RP
- EOS M2
- EOS M3
- EOS M5
- EOS M6
- EOS M10
- EOS M50
- EOS M100
- PowerShot SX70 HS
- PowerShot SX740 HS
- PowerShot G5X Mark II
ในคำชี้แจงดังกล่าว ทางแคนนอนระบุว่าจนถึงตอนนี้ยังไม่มีการยืนยันว่าพบเหตุฉวยประโยชน์จากช่องโหว่ของระบบเพื่อก่อความเสียหายให้ผู้ใช้ แต่ก็เตือนผู้ใช้งานว่าให้เลี่ยงการเชื่อมต่อกล้องเข้ากับคอมพิวเตอร์หรืออุปกรณ์พกพาอื่นๆ ที่ติดไวรัส หรือใช้เครือข่ายไม่ปลอดภัย เช่น ไวไฟฟรี รวมถึงปิดการเชื่อมต่อกล้องเมื่อไม่ใช้งาน และทางแคนนอนจะทยอยพัฒนาและปล่อยเฟิร์มแวร์อัปเดตความปลอดภัยให้ดาวน์โหลดทางเว็บไซต์ทางการของแคนนอน โดยขณะนี้รุ่นที่มีเฟิร์มแวร์ตัวใหม่ให้ดาวน์โหลดแล้วคือ EOS 80D ซึ่งทีมของอิตคินใช้เป็นกรณีศึกษา
แม้ว่าอิตคินจะทดสอบแต่กับกล้องของแคนนอนซึ่งมีผู้ใช้มากที่สุดในตลาด แต่ก็กล่าวกับเว็บไซต์เดอะเวิร์จ (The Verge) ว่าเชื่อว่ากล้องยี่ห้ออื่นๆ ก็อาจมีช่องโหว่ในลักษณะเดียวกันซึ่งใช้ Picture Transfer Protocol เดียวกันได้เช่นกัน
ที่มา: Verge / Check Point / Digital Camera World
ข่าวที่เกี่ยวข้อง:
