HandBrake ถูกแฮกเซิร์ฟเวอร์ โปรแกรมสำหรับ Mac ถูกเปลี่ยนเป็นไฟล์ที่ฝังโทรจัน

by nutmos
7 May 2017 - 11:04

ทีมผู้พัฒนา HandBrake โปรแกรมแปลงไฟล์แบบโอเพ่นซอร์สยอดนิยม ได้ประกาศเตือนผู้ใช้ Mac ที่ดาวน์โหลดโปรแกรมช่วงวันที่ 2 พฤษภาคม เวลา 14.30 น. - 6 พฤษภาคม เวลา 11.00 น. (ตามเวลา UTC) ว่ามีความเสี่ยงต่อการดาวน์โหลดโปรแกรมที่ฝังโทรจันมาด้วย 50%

HandBrake เผยว่า มีผู้แอบเข้ามาเปลี่ยนไฟล์ HandBrake-1.0.7.dmg ซึ่งเป็นไฟล์โปรแกรมสำหรับ Mac ที่วางไว้บนเซิร์ฟเวอร์ download.handbrake.fr ซึ่งเป็นเซิร์ฟเวอร์ mirror โดยโทรจันดังกล่าวคาดว่าน่าจะเป็นโทรจันอีกประเภทที่แตกต่างจาก OSX.PROTON และตอนนี้ Apple ได้เริ่มอัพเดตซอฟต์แวร์ XProtect (ซอฟต์แวร์ด้านความปลอดภัยใน macOS) เพื่อจัดการกับโทรจันดังกล่าวแล้ว ซึ่งจะเริ่มปล่อยให้ผู้ใช้ Mac โดยอัตโนมัติเมื่อเชื่อมต่ออินเทอร์เน็ต

HandBrake ได้แบ่งผู้ใช้ออกเป็น 4 กลุ่มที่ได้และไม่ได้รับผลกระทบดังนี้

  • กลุ่มที่ดาวน์โหลดจากเว็บไซต์ mirror โดยตรง มีโอกาสโดนมัลแวร์
  • กลุ่มที่อัพเดตจาก HandBrake เวอร์ชัน 0.10.5 หรือเก่ากว่า มีความเสี่ยงที่จะโดนมัลแวร์ เนื่องจากโปรแกรมไม่ได้ตรวจสอบไฟล์ก่อนติดตั้ง
  • กลุ่มที่ดาวน์โหลดจากเว็บไซต์หลักที่ไม่ใช่ mirror ไม่ได้รับผลกระทบ
  • กลุ่มที่อัพเดตจากเวอร์ชัน 1.0 หรือใหม่กว่า ไม่ได้รับผลกระทบ เนื่องจากมีการตรวจสอบโดย DSA Signature ก่อนติดตั้ง

วิธีตรวจสอบมีอยู่สองแบบ ถ้ายังไม่รันโปรแกรมให้ตรวจสอบค่า checksum ของ SHA1 และ SHA256 ของไฟล์ HandBrake.dmg ถ้าตรงตามด้านล่าง แสดงว่าโปรแกรมที่ดาวน์โหลดมาฝังโทรจันด้วย

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

ส่วนผู้ที่รันโปรแกรมไปแล้ว ให้เปิด Activity Monitor บน macOS ซึ่งหากพบ process ที่มีชื่อว่า Activity_agent แสดงว่าติดโทรจันแล้ว แนะนำให้ลบโดยรัน Terminal และรันทีละคำสั่งตามลำดับ

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

เมื่อรันคำสั่งเสร็จแล้ว ให้ลบไฟล์โปรแกรม HandBrake ทิ้งให้หมด และผู้ใช้ควรเปลี่ยนรหัสผ่านที่บันทึกไว้ใน Keychain ของ macOS รวมถึงรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ด้วย

หลังจากเกิดเหตุการณ์ดังกล่าว HandBrake ได้เริ่มปรับปรุงเซิร์ฟเวอร์ mirror โดยจะทำการสร้างใหม่ทั้งหมด ตอนนี้อาจจะเข้าไม่ได้หรือว่าดาวน์โหลดไฟล์ได้ช้า และในระหว่างการปรับปรุงเซิร์ฟเวอร์นี้ HandBrake จะยังไม่เปิดให้ดาวน์โหลดไฟล์โปรแกรมเวอร์ชันเก่า

ที่มา - HandBrake

Blognone Jobs Premium