Jelly Bean- Android Version 4.3 ႏွင့္ Latest Version ျဖစ္ေသာ KitKat-
Android Version 4.4 တို႔တြင္ သံသရျဖစ္ဖြယ္ activity မ်ားရွိေနသည္ကို
Computer Emergency Response Team of India (CERT-In) မွ ထုတ္ျပန္
ေျပာဆိုခဲ႔ပါသည္။
Android Version 4.3 and 4.4 တို႔တြင္ရွိေနေသာ Critical Flaw သည္ Secure
VPN Communication မွေန၍ Third Party Server (သို႔မဟုတ္) Hijack
Unencrypted Communication ဆီသို႔ Redirect လုပ္ရန္ အတြက္ Attacker အား
Active VPN Configuration ကို Bypass လုပ္ႏိုင္ရန္ ခြင့္ျပဳမည္ျဖစ္ပါသည္။
Virtual Private Network (VPN) Technology ဆိုသည္မွာ Public Internet
အေပၚတြင္ Private Network ကို Encrypted Tunnel အျဖစ္အသုံးျပဳရန္
ဖန္တီးထားျခင္းျဖစ္ပါသည္။ Organization မ်ားႏွင့္ Group မ်ားတြင္ ၄င္း VPN
ကဲ႔သို႔ေသာ Connection မ်ားကို Employee မ်ား (သို႔မဟုတ္) Authorized
Person မ်ားသည္ Enterprise Network ကို Remote မွေန၍ Laptop (သို႔မဟုတ္)
Desktop (သို႔မဟုတ္) Mobile ႏွင့္ Tablet အစရွိသည္္တို႔ကို အသုံးျပဳ၍
လုံျခဳံမႈရွိေသာ ခ်ိတ္ဆက္မႈ မ်ားျပဳလုပ္ရာတြင္ အသုံးျပဳပါသည္။
၄င္း Malicious Application သည္ VPN Traffic ကို တျခား Network Address
ဆီသို႔ လမ္းေၾကာင္းေျပာင္းႏုိင္သည္႔အျပင္ Successful Exploitation
ျဖစ္သြားပါက Affected Device မွ Communication Infrastructure အတြင္းရွိ
Traffic အားလုံးကို Attacker မွ Capture လုပ္ႏိုင္ရန္ခြင့္ျပဳမည္
ျဖစ္ပါသည္။
ထို႔အျပင္ Network Communication အတြင္းတြင္ Encryption Technology
အသုံးမျပဳေသာ Application မ်ားရွိေနသည္႔အတြက္ Plain Text မ်ားႏွင့္
ခ်ိတ္ဆက္ေျပာဆိုျခင္းမ်ားကို Attacker သည္ Affected Device မွ ေန၍ Capture
ျပဳလုပ္ႏိုင္သျဖင့္ Email Addresses, IMEI Number, SMSes ကဲ႔သို႔ေသာ
အေရးၾကီးေသာ သတင္းအခ်က္လက္မ်ားကို ရယူႏိုင္မည္ျဖစ္ပါသည္။
Cyber Agency မွ ၄င္း Threat ႏွင့္ပတ္သက္၍ ျပဳလုပ္ရန္ အၾကံေပးခဲ႔ေသာ Countermeasure မ်ားမွာ ေအာက္ပါအတုိင္း ျဖစ္ပါသည္။
• Application မ်ားအတြက္ သင့္ေတာ္ေသာ Update မ်ားကို မူလ Equipment Manufacturer မွသာ Update ျပဳလုပ္ရန္္
• Untrusted Source မ်ားမွ Application မ်ားကို Download ၊ Install မ်ား မျပဳလုပ္ၾကရန္္
• Updated Mobile Security Solution မ်ားႏွင့္ Anti-Virus Solution မ်ားကို Maintain ျပဳလုပ္ရန္္
• Trusted (သို႔မဟုတ္) Untrusted User မ်ားထံမွ လက္ခံရရွိေသာ SMS (သို႔မဟုတ္) Email တို႔တြင္ ပါရွိေသာ URLs မ်ားကို Click မႏွိပ္ရန္ တို႔ျဖစ္ပါသည္။
Reference:
http://timesofindia.indiatimes.com/tech/tech-news/software-services/Security-flaw-in-Android-Jelly-Bean-KitKat-CERT-In/articleshow/31275558.cms
mmCERT
ေျမာက္ဒဂံုသား
0 comments:
Post a Comment
cOmmEnT ေလးမ်ား အားတပ္မက္ပါေသာသူပါခင္ဗ်ာ