พบช่องโหว่ใหม่บน Android, 99% อยู่ในข่ายได้รับผลกระทบ

By tonster Contributor on Tag: Security, Android
Security

Bluebox Security บริษัทสตาร์ทอัพด้านความปลอดภัยบนมือถือรายงานช่องโหว่ใหม่ในมือถือที่ใช้ระบบปฏิบัติการ Android ตั้งแต่รุ่น 1.6 (Donut) ขึ้นไป ซึ่งหมายความว่าเครื่องที่ออกมาภายใน 4 ปีหลังสุดซึ่งคิดเป็นจำนวนเกือบ 900 ล้านเครื่องมีโอกาสที่จะได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถแก้ไขเปลี่ยนแปลงโค้ด APK โดยที่ไม่ทำให้ลายเซ็นเข้ารหัสของแอพเปลี่ยนแปลงไป ส่งผลให้ตัวระบบ Android คิดว่าแอพดังกล่าวไม่เกิดการเปลี่ยนแปลง แฮกเกอร์จึงสามารถเปลี่ยนแอพธรรมดาสามัญใดๆ ให้กลายเป็นโทรจันได้

ช่องโหว่ดังกล่าวจะร้ายแรงยิ่งขึ้นเมื่อใช้กับแอพที่พัฒนาโดยผู้ผลิตหรือแอพใดๆ ที่สามารถเข้าถึงข้อมูล UID (ตัวรหัสบ่งบอกเครื่อง) แฮกเกอร์อาจเข้าถึงและขโมยรหัสผ่านหรือข้อมูลบัญชีผู้ใช้ หรือยิ่งไปกว่านั้น เข้าควบคุมเครื่องโดยสมบูรณ์

ทั้งนี้กูเกิลได้รับทราบถึงปัญหานี้และได้แบ่งปันข้อมูลนี้กับกลุ่ม Open Handset Alliance มีรายงานว่ากูเกิลปรับปรุงให้ Google Play สามารถกรองแอพที่ถูกแก้ไขเหล่านี้ได้และ Samsung Galaxy S4 ได้รับการอุดช่องโหว่เรียบร้อยแล้ว รวมทั้งยังไม่มีรายงานการใช้ช่องโหว่นี้ในระบบนิเวศจริงแต่อย่างใด

อย่างไรก็ดี ผู้โจมตียังคงสามารถหลอกให้ผู้ใช้ทำการติดตั้งแอพเหล่านี้ด้วยมือ แพร่กระจายผ่านอีเมล อัพโหลดแอพนั้นๆ เข้าสู่แอพสโตร์ภายนอก ส่งผ่านทาง USB หรืออื่นๆ ได้

ที่มา - TechCrunch, CIO

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Persuader Fri, 05/07/2013 - 03:47

เรื่องหลอกให้ติดตั้งโทรจันด้วยมือ อีเมล หรือแอพสโตร์อื่น ๆ นี่ ไม่น่าเป็นปัญหาเท่าไหร่
เพราะตรงนั้นมันไม่ค่อยสนใจ signature กันอยู่แล้ว

sp Fri, 05/07/2013 - 08:55

555 ... บอกไปก้อไร้ค่า ไม่มีใคร (ผู้ผลิต) เขาตามมาแก้ให้หรอก ชาตินึงจะอัพให้สักหนนึง แถมบางรุ่นก้อลอยแพซะงั้น วิธีแก้ปัญหาคือ ซื้อเครื่องใหม่ทุกครั้งที่มีช่องโหว่ร้ายแรง ไม่ก้อ อย่าใช้มันในเรื่องเงิน ๆ ทอง ๆ ... ถ่ายรูปกะเล่นเกมส์ฟรีอย่างเดียว

tanit9999 Sun, 07/07/2013 - 16:01

ถ้าไม่ดิ้นรนไปทำอะไรเถื่อนๆผมว่าก็ไม่ได้อันตรายอะไร ที่เกิดเพราะลงแอพเถื่อนเองทั้งนั้น

nrml Mon, 08/07/2013 - 00:21

เห็นด้วยครับ อย่างข่าวนี้ก็มีหลายท่านที่ต้องการหาโหลด apk มาลงซึ่งนั่นก็หมายถึงความเสี่ยงที่ผู้ใช้ยังต้องเป็นผู้แบกรับเอาไว้

gosol Fri, 05/07/2013 - 09:41

ลงจาก google play ก็จบ พวกที่แจกตามเน็ตถ้าไม่ดีมันก็ต้องมีคนบอกในกระทู้อยู่แล้ว ถ้านอกจากนี้ก็เสี่ยงจากสิ่งอื่นๆอีกเยอะแยะตามธรรมชาติของการโหลดโปรแกรมอยู่แล้ว ดังนั้นไม่มีปัญหาอะไรกับผมเลย

tekkasit Fri, 05/07/2013 - 10:34

ถ้าผู้ร้ายจะใช้ประโยชน์ อาจจะใช้ได้หลายวิธี หนึ่ง จับเอา APK แอพดังๆมายัดใส้ด้วยเทคนิคนี้แล้วอ้างว่าเป็นรุ่นล่าสุด/หรือรุ่นแครกแล้ว แล้วปล่อยแชร์ให้โหลดตรงๆ หรือ ไปสร้างแอพในสโตร์ทางเลือกที่ไม่ได้คัดกรอง แล้วเอาแอพที่ยัดใส้แล้วมาให้โหลด

ดังนั้นสิ่งที่ต้องระวังคือ สำหรับเครื่องรอมศูนย์ทั้งหลาย ถ้าติดตั้งหรือแม้แต่อัพเดตโดยไม่ได้มาจาก Google Play โดยตรง ตอนนี้ก็อยู่ในความเสี่ยงสูง

แต่ถ้าลงรอมโมที่ปิดช่องโหว่นี้แล้วก็น่าจะลดความเสี่ยงลงไประดับหนึ่ง

แต่ทางที่ดีก็ระวังๆการติดตั้งแอพอะไรที่ไม่ได้จากแหล่งที่น่าเชื่อถือครับ รวมถึงซื้อของจริงกันเถอะ

Eka-X Fri, 05/07/2013 - 11:38

หลายคนบอกว่าให้ระวังด้วยตัวเอง

เจอกรณีแฮ็กเว็บธนาคารไทยเพื่อหลอกติดตั้งแอพใน Android คิดว่าถ้าผู้ใช้ 100 คนเจอมุกแบบนี้จะโดนหลอกกี่คนครับ แล้วอนาคตจะมีมุก Social Engineering เนียนๆ ออกมาให้ติดตั้งแอพนอกสโตร์ หรือมีเทคนิคใหม่อะไรที่ไม่รู้อีก

ยังไม่นับประชากร Android ส่วนใหญ่ของโลก ที่เป็นรุ่นแถมแพ ไม่มีการอัพเดท Firmware ไม่มีการแก้ไขปัญหาความปลอดภัย

put4558350 Fri, 05/07/2013 - 12:14

ทั้วไป app จากธนาคารจะอยู่บน Play Store ซึ่งป้องกันการสับสนและปลอดภัย

ปล. Social Engineering เป็นเรื่องที่หลอกกันใด้บนทุก os (เพราะแบบที่โทร์มาก็มี ทำบน browsre ก็มี) ดังนั้นต้องให้ความรู้เกี่ยวกับมาตรการความปลอดภัย เหมือนกับเรื่องที่ธนาคารจะไม่ถามรหัสบัตรเครดิตนั้นแหละครับ

leonoinoi Fri, 05/07/2013 - 12:19

เห็นด้วยครับ social engineering มันไม่เกี่ยวกับ app สักเท่าไร มันคือคนหลอกกัน ถ้าเกิดกรณีขึ้นเนี่ย ค่อย กระจ่ายข่าวเป็นรอบ ๆ ไป (แต่ antivius ละขายดีเลยทีนี้)

Eka-X Fri, 05/07/2013 - 12:56

ก่อนหน้านี้เราเคยเรียนรู้กันว่า ทำธุรกรรมให้ปลอดภัย ให้ดูที่ URL ว่าเป็น https และมีรูปลูกกุญแจอยู่หรือไม่ ผู้ใช้ทั่วไปก็จำไปแบบนี้ (ผู้ใช้ทั่วไปไม่ใช่กีก ที่จะสงสัยเรื่องเทคโนโลยีนะ)

แล้วยังไง คราวนี้มาผ่าน XSS แทรกหน้าต่างเข้าไปในหน้าเว็บบน URL เดิม เรื่องลูกกุญแจและ https ที่รู้มาก็ไม่ช่วยอะไร

หลายคนก็บอกให้อ่าน permission แล้วคิดว่าผู้ใช้กี่คนที่อ่านเข้าใจครับ แล้วมันต้องผ่านกระบวนคิดแค่ไหนถึงรู้ว่า

  • แอพ facebook ควรหรือไม่ควรขอ contact
  • แอพเกมควรหรือไม่ควรเข้าถึง SMS
  • แอพถ่ายรูปควรหรือไม่ควรเข้าถึงโทรศัพท์

อะไรงี้ สรุป สิ่งที่รู้มาไม่ช่วยอะไร Android ความปลอดภัยต่ำมาก ผู้ใช้ไประวังตัวกันเอง หรือไม่ก็ลง Antivirus ซะ

ปล. แอพ Android อ่าน SMS ได้ด้วย OTP เข้ามาก็โดนดักได้ คนเลยเริ่มบอกต่อๆ กันว่า ทำธุรกรรม ใช้มือถือถูกๆ หรือ iPhone, Windows Phone เถอะ

Persuader Fri, 05/07/2013 - 14:10

อย่างนึงที่คนควรใช้เป็นตัวตัดสินใจ ในการเลือกซื้อมือถือก็คือ วิธีการใช้มือถือของตัวเอง แต่บางคนดันเลือกเพราะ แบรนด์ ซะอย่างนั้น

แต่ผมก็มักจะเห็นสิ่งเหล่านี้เสมอ ๆ
พวก basic user ที่ทำนู่นนี่ไม่เป็น ตั้งใจจะซื้อมือถือมาเล่นอย่างเดียวเฉยๆ แล้วก็ซื้อ Android มาแล้วก็บ่นว่ามันใช้ยาก อะไรไม่รู้เยอะแยะอ่านไม่เข้าใจ
พวก advanced user ที่อยากจะทำนู่นปรับนี่กับมือถือตัวเอง แล้วก็ซื้อ iOS มาแล้วก็บ่นว่า ข้อจำกัดเยอะแยะ ใช้ลำบาก ปรับอะไรก็ไม่ค่อยได้

เพื่ออะไร

sunVSmoon Mon, 08/07/2013 - 01:20

+1 เห็นด้วยที่สุด

เจอมาหลายคน อธิบายไปก็แค่นั้น เงินของเค้าแต่มาบ่นให้เราฟัง ตอนแนะนำก็ไม่เชื่อ เหนื่อยใจ

leonoinoi Fri, 05/07/2013 - 14:17

ผมเห็นด้วยนะตอนจะลง app มีการขอ permission เยอะ ๆ สรุปคือ ผมก็ไม่ได้อ่าน ลงไปเลยไม่สนใจ (ผมว่าเกือบทุก app ขอ permission เกินความจำเป็น ไม่รู้จะเอาไปเก็บข้อมูลผู้ใช้เอาไปขายหรือเปล่า แต่ก็ลง 555+) คือบางทีอันตรายก็อาจมาจาก app ที่ถูกต้อง แต่ใครจะรู้จนกว่าเรื่องจะแดง

Fourpoint Fri, 05/07/2013 - 12:20

เคสphishing เวบธนาคาร ก็ต้องโทษผู้ใช้ที่ไม่เคร่งครัดเรื่องความปลอดภัยเองด้วย

เพราะapp officialทุกเจ้ามีให้โหลดผ่าน google playเท่านั้นอยู่แล้ว นี่ไปโหลดผ่านเวบเอง ก็มีความเสี่ยงที่ต้องยอมรับเอง เพราะคงไม่มีใครป้องกันจากระบบได้ง่ายๆ ไม่งั้นก็ต้องระบบปิดไปเลยแบบ apple (แต่ถ้าใครไปแหกคุก ก็ยังเสี่ยงเองอยู่ดี)

sunback Fri, 05/07/2013 - 12:55

มุกโจมตีผ่าน Social Engineering เนียนๆ ต่อให้เป็นระบบอะไรก็ถูกโจมตีได้ครับ เช่นกรณีของนักข่าว Gizmodo หรือกรณีของการแฮกแอปเปิลไอดี

ส่วนกรณีแฮกธนาคารก็เป็นการฟิชชิ่งทั่วไป แล้วคุณก็เขียนในบล็อกแนะนำเองไปแล้วว่าไม่ควรโหลดแอพจากภายนอก Store และควรปิดการติดตั้งจากแหล่งภายนอก

ยังไม่นับประชากร Android ส่วนใหญ่ของโลก ที่เป็นรุ่นแถมแพ ไม่มีการอัพเดท Firmware ไม่มีการแก้ไขปัญหาความปลอดภัย

แนวทางแก้ไขเบื้องต้นก็คือโหลดแอพจาก Play Store เท่านั้นก็ช่วยลดปัญหานี้ได้เยอะอยู่แล้วโดยไม่ต้องรอเฟิร์มแวร์อยู่แล้วนิครับ?

Eka-X Fri, 05/07/2013 - 13:08

อารมณ์เหมือน Windows XP SP2 ที่ผู้ใช้ไม่กล้าอัพเดทเพราะกลัวติดวินโดวส์เถื่อนใช่ไหมครับ รูรั่วเพียบบบบ มัลแวร์เจาะกันสนุก แล้วหัวข้อข่าวนี้ก็บอกเองไม่ใช่เหรอครับว่า Android 99% ได้รับผลกระทบ เพราะไม่ได้รับการอัพเดทหรืออัพเดทแต่ไม่ได้แก้ มีแต่ S4 ที่ปิดรูรั่วแล้ว

ถ้าต่อไปมันเจาะได้ทางอื่น วิธีอื่นๆ แบบที่ไม่ต้องลงแอพล่ะ Google Play ก็ไม่ช่วยอะไร

ยืมคำพูดคนแถวนี้หน่อย

"ต้องไม่ลืมว่า Android เป็นประชากรส่วนใหญ่ของโลกโมบายนะครับ แฮกเกอร์ให้ความสนใจอันดับ 1 อยู่แล้ว"

sunback Fri, 05/07/2013 - 13:12

อารมณ์เหมือน Windows XP SP2 ที่ผู้ใช้ไม่กล้าอัพเดทเพราะกลัวติดวินโดวส์เถื่อนใช่ไหมครับ รูรั่วเพียบบบบ มัลแวร์เจาะกันสนุก

งงครับ ส่วนนี้เป็นความผิดพลาดของผู้ใช้เอง (ใช้ของเถื่อน) และมันก็ไม่ต่างกับผู้ใช้แอปเปิลที่เจลแล้วไม่กล้าอัพเดท ซึ่งก็ต้องแบกรับความเสี่ยงเอง โทษใครไม่ได้

แล้วถ้าต่อไปมันเจาะได้ทางอื่น วิธีอื่นๆ แบบที่ไม่ต้องลงแอพล่ะ Google Play ก็ไม่ช่วยอะไร

ถูกต้องครับ ถ้าเป็นวิธีการอื่นๆ แล้ว Google Play ก็ไม่ใช่อะไร ไม่ต่างจากกรณีแอปเปิลตามที่ผมแปะลิงค์ไว้ ซึ่งเป็นเรื่องที่ต้องตามแก้กันไปเรื่อยๆ

Eka-X Fri, 05/07/2013 - 13:33

ที่จะบอกคือมันเหมือนกันไงครับ ระบบปฏิบัติการยอดนิยมอย่าง Windows พิสูจน์มาแล้วว่ามันต้องอัพเดทปิดรูรั่วที่ระบบ ไม่งั้นคนใช้ Android ที่อัพเดทไม่ได้ก็เหมือนคนใช้ Windows เถื่อนที่รูเพียบเหมือนกัน

คราว Windows เราโทษผู้ใช้ว่าใช้ของเถื่อน เลยไม่กล้าอัพงาน แล้วของ Android จะโทษใครครับ หรือโทษผู้ใช้อีกที่ต้องระวังตัวกันเอง

แล้วถ้าเป็นวิธีอื่นๆ ที่อาจเลี่ยง Google Play ได้ คือผู้ผลิตมือถือ หรือกูเกิ้ลจะไม่เข้ามาช่วยใช่ไหมครับ เพราะอัพเดทระบบไม่ได้ ไม่เหมือนแอปเปิ้ลที่โดนเจาะแล้ว รู้แล้วและช่วยปิดรูนั้นพร้อมกันบนอุปกรณ์ iOS (อายุไม่เกิน 3 ปีที่ยังซัพพอร์ตอยู่) บน Android ผู้ใช้ต้องรับผิดชอบตัวเองทุกอย่างเลยเหรอ

Fourpoint Fri, 05/07/2013 - 13:42

เทียบกับwindowsไม่ได้หรอกครับ winมันเปิดกว้าง ลงโปรแกรมอะไร ใช้สิทธิ์อะไรก็ได้ตามใจชอบ มันเลยต้องปิดที่ระบบเท่านั้นไม่งั้นปิดช่องโหว่ไม่ได้

แต่androidหรือแม้แต่ iOS ถ้าไม่ลงapp เถื่อนก็แทบไม่มีความเสี่ยงอยู่แล้ว การเจาะช่องโหว่นี้มาจากการให้โหลดเถื่อนนอกstoreนั่นแหละ

ปัญหาจริงๆเกิดจากผู้ใช้ไปนั่งโหลดapk เถื่อนมา แล้วจะมาโวยวายหาความรับผิดชอบจากgoogle ก็คงไม่ได้ล่ะครับ

เรื่องphishingมันป้องกันยาก ขนาดbrowserพยายามfilter มันก็มีเวบเกิดใหม่ตลอด และถึงมีคำเตือน แต่ผู้ใช้ก็อยากจะกดเข้าเวบ ก็ยังเข้าได้อยู่ดี ตรงนี้ต้องโทษผู้ใช้เองแล้วล่ะครับ

nrml Fri, 05/07/2013 - 15:24

มันก็เทียบได้ในบางแง่มุมที่เค้ายกมานั่นแหละครับ OS เก่าไม่ใช่ว่ามันจะสมบูรณ์แบบไม่มีบั๊กเลย ถ้าเกิดเจอบั๊กขึ้นมาทีหลังเครื่องที่อัพเดตไม่ได้ทั้งหลายก็จะกลายเป็นเป้านิ่งทันที

sunback Fri, 05/07/2013 - 13:45

เหตุการณ์ที่เกิดขึ้น กูเกิลเริ่มแก้ไขปัญหาเบื้องต้นแล้ว (แก้ที่ Play Store และมีผลกับทุกเครื่องอยู่แล้ว)
แต่ถ้าเป็นแพทช์ของทางผู้ผลิตมือถือเอง งานนี้ก็ต้องมาพิสูจน์กันว่าเจ้าไหนจากทิ้งผู้ใช้ เจ้าไหนจะช่วย

ผมอ่านข่าวนี้และเข้าใจว่ามันเกิดนอก Play Store ซึ่งหมายความว่า ถ้าผู้ใช้ไม่ได้เปิดการติดตั้งจากแหล่งภายนอก มันก็ยังไม่เป็นปัญหา ผู้ใช้ก็ยังไม่ต้องรับผิดชอบตัวเองตลอด ผมเข้าใจถูกมั้ยครับ? หรือถ้าผิด ก็แนะนำผมด้วย

lancaster Fri, 05/07/2013 - 22:49

ถ้าลงแอพนอก store ไม่ว่า apk จะถูกแก้หรือไม่แก้มามันก็ขึ้นเตือนเหมือนกันหมดนั่นแหละครับ ไม่ต่างอะไรกับการเอา .exe มารันเองเลย

Fourpoint Fri, 05/07/2013 - 12:17

เอาจริงๆถ้าอ่านpermission ทุกครั้งก่อนลงappใดๆ มันก็ไม่น่าจะโดนหลอกได้ง่ายๆ พวกเกมบางอันขออนุญาต แบบแปลกๆผมก็ไม่ลงแล้ว

ที่น่ากลัวคือพวกไปลงappเถื่อน โดยเฉพาะเกมกันนี่แหละ ส่วนที่โดนหลอกให้ลงจากตามเวบ อันนี้ก็คงต้องระวัง ไม่ลง update/app นอก google playไปเลยปลอดภัยสุด

อีกอย่างเลี่ยงมาใช้app แท้เท่านั้นก็จบโหลดจากgoogle play only เกมดังๆลดราคาบ่อยจะตาย

สรุปถ้าคุณใช้ของเถื่อน คุณต้องยอมรับความเสี่ยงที่จะโดนhackจากช่องโหว่ต่างๆ แต่ถ้าใช้app แท้ตลอดก็ไม่น่ากลัวอะไรครับ

ป.ล. แต่คิดไปคิดมา อนาคตอาจจะมีgoogle playปลอม ที่คอยre-direct ไปโหลดapp ที่โดนแก้ไข ><"

Fourpoint Fri, 05/07/2013 - 13:39

ถ้าหมายถึงมือถือจีน tabletจีนก็คงช่วยไม่ได้ เขาไม่ยอมจ่ายค่าfeeให้google เพื่อขายถูกๆผู้ใช้ก็ต้องเสี่ยงเอาเอง

แต่เอาจริงๆก็เห็นเขาลงgoogle play apk กันเองอยู่ดี ยกเว้นไปเจอgoogle play ปลอมตั้งแต่แรกนั่นแหละ

ปัญหาจริงๆเกิดจากผู้ใช้ไปนั่งโหลดapk เถื่อนมา แล้วจะมาโวยวายหาความรับผิดชอบจากgoogle ก็คงไม่ได้ล่ะครับ

hisoft Fri, 05/07/2013 - 14:15

ผมสรุปสั้น ๆ ปัญหาจริง ๆ "ไม่ได้เกิด" จากผู้ใช้ไปนั่งโหลด apk เถื่อนมาครับ

ถ้าผมสรุปยาว ๆ หน่อย ก็คือไม่ได้เรียกร้องความรับผิดชอบจาก google ครับ แต่ผลมันเห็นได้ชัดเจนแล้วว่า Android มีปัญหาด้านความปลอดภัย อย่างน้อย ๆ ก็เห็นแล้วว่ามีอีกช่องนึง

ช่องโหว่นี้ไม่ได้เกิดปัญหาเพราะผู้ใช้ไปนั่งโหลด apk เถื่อนนะครับ apk เถื่อน แอพเถื่อน แอพแคร็ก ทำแล้วลายเซ็นเข้ารหัสแอพจะต้องเปลี่ยนไป คนติดตั้งต้องรับผิดชอบเองอันนั้นแน่นอนอยู่แล้วและไม่ได้เกี่ยวข้องอะไรกับช่องโหว่นี้เลย

แต่ไม่ใช่ทุกคนจะเข้าถึงอินเทอร์เน็ตบนโทรศัพท์ได้ บางคนต้องลงแอพใหม่บ่อยครั้ง จะเพราะเล่นรอมใหม่หรืออะไรก็ช่าง การเก็บ apk ไว้กดลงเลยมันมีประโยชน์ในรูปแบบของมันเอง ซึ่งการยืนยันว่ามันเป็น apk แท้ด้วยการดูลายเซ็นเข้ารหัสแอพก็ถือเป็นวิธีที่ควรจะใช้ได้ผล ขณะที่ช่องโหว่นี้กลับทำให้การตรวจสอบนี้ให้ผลผิดพลาดไป

มีรายงานว่ากูเกิลปรับปรุงให้ Google Play สามารถกรองแอพที่ถูกแก้ไขเหล่านี้ได้

ถ้ามีผลเฉพาะคนโหลด apk เถื่อน กูเกิลจะต้องปรับปรุง Google Play รึเปล่าครับ? หรือที่ต้องปรับปรุงเพราะมันอาจโดนสับขาหลอกข้อมูลกลางทางได้

Fourpoint Fri, 05/07/2013 - 14:45

ถ้ามองอีกแง่ ถ้าผู้ใช้เคร่งครัดในระบบลิขสิทธิ์ ค่าโดยปริยายของAndroid แทบทุกรุ่น(เท่าที่ผมเคยใช้ SS Moto หรือแม้แต่ housebrand Wellcom)คือปิดการลงapp นอกmarket/store

ถ้าผู้ใช้ต้องการลงจากapk ก็ต้องไปcheck optionนี้ก่อน

ประเด็นอยู่ตรงนี้ ถ้าเป็นผู้ใช้ทั่วไป เลือกoptionอะไรไม่เป็น ก็ต้องโหลดapp ผ่านgoogle play เท่านั้นอยู่แล้ว ก็จะไม่มีโอกาสเจอapp ปลอมมาหลอกได้(ไม่นับเรื่องapp malware ในplay storeที่ขออนุญาตเกินความจำเป็นนะ) ช่องโหว่นี้จึงไม่มีผลต่อผู้ใช้ที่โหลดตามค่าโดยปริยายของเครื่องครับ

ถึงคุณจะอ้างว่าบางคนไม่มีเนทนี่ ก็เลยเอาapk มาลงเองตรงๆ ตรงนี้มันก็ย้อนแย้งเองว่า แล้วคุณโหลดapk นั้นมาจากไหน เวบเชื่อถือได้หรือไม่? บางเจ้ามีให้โหลดapkจากเวบofficialจริง แบบนั้นถึงจะเรียกว่าเชื่อถือได้ แต่แบบโหลดจากเวบฝากไฟล์ เวบบิท จะโทษใครดี?

ผมไม่แน่ใจระบบตรวจสอบdigital signature ในandroid ว่ามันมีผลจริงตรงไหน ในเมื่อapk เถื่อนคุณก็ลงได้ถ้าเลือกoption ลงappนอกstoreได้อยู่แล้ว ฉะนั้นจะมีsignatureถูกต้องหรือไม่ มันก็ลงได้อยู่ดี ถ้าคุณบังคับให้มันลง(ผ่าน option)

แค่อาจมีผลตอนตรวจupdate ผ่านgoogle playเท่านั้น(อันนี้คาดเดานะ ถ้าผิดช่วยแก้ด้วย) ฉะนั้น จะอ้างว่าใช้การตรวจสอบdigital signatureอย่างเดียว โดยไม่สนใจที่มาของ apk ผมก็มองว่าเป็นความเสี่ยงที่คุณต้องยอมรับเอง เพราะดันไม่โหลดจากofficial เองนี่นา?

ที่google playออกupdate ก็อาจจะเพื่อตรวจสอบcheckให้รัดกุมกว่าเดิม ซึ่งก็ถือว่าดี ปิดช่องโหว่เพิ่มเติมไป แต่ในแง่ของผู้ใช้appแท้ผ่าน google play ก็คงไม่รู้สึกแตกต่างกัน

เอาจริงๆถ้าคุณเอาapk ที่backup จากของแท้ก็ไม่น่ามีปัญหาอยู่ดี ที่ไปโหลดapkตามเวบ ยอมรับเถอะว่าต้องการโหลดเถื่อนมากกว่า

ตรงนี้เห็นหลายคนเทียบกับiOS ก็เดิมๆมันลงโปรแกรมเถื่อนนอก storeไม่ได้(androidก็ไม่ต่าง ถ้าคุณไม่check option)มองในแง่ของผู้ใช้มือถือทั่วไป ที่ใช้แต่ของแท้โหลดผ่านstoreเท่านั้น ไม่ไปนั่งโหลดเถื่อน ก็ถือว่ามีความปลอดภัยเท่าเทียมกัน

อ้อข้างล่างบอกว่า ก็ผู้ปกครองไปซื้อtabletจีนมา ไม่มีgoogle play storeแต่แรก หรือเด็กกดเล่นเองมั่วๆ ก็อย่าไปผูกกับข้อมูลสำคัญเช่นพวกบัตรเครดิตสิครับ ให้เด็กเล่นก็กดโหลดได้แต่ของฟรีอยู่แล้วไม่น่ามีปัญหาอะไร เล่นของถูกเกินโดยไม่อ่านอะไรก็ยอมรับความเสี่ยงด้วย ไม่ต่างจากไปซื้อipad jailbreak ไว้ลงappเถื่อน เกิดปัญหามาก็คงไปโวยวายอะไรกับappleไม่ได้เช่นกัน

ป.ล. หมดโควต้าตอบแล้ว ถ้ามีเพิ่มยกยอดไว้พรุ่งนี้นะครับ-_-"

hisoft Fri, 05/07/2013 - 18:45

ถ้าผู้ใช้เคร่งครัดในระบบลิขสิทธิ์

เกี่ยวอะไรกับระบบลิขสิทธิ์ครับ?

ถึงคุณจะอ้างว่าบางคนไม่มีเนทนี่ ก็เลยเอาapk มาลงเองตรงๆ ตรงนี้มันก็ย้อนแย้งเองว่า แล้วคุณโหลดapk นั้นมาจากไหน

ผมบอกว่าไม่มีเน็ตบนโทรศัพท์ครับ คนใช้ Kindle จำนวนไม่น้อยหาทาง root เครื่องและสั่งให้ Kindle ใช้เน็ตผ่านพอร์ต USB หรือสั่งซื้อผ่านหน้าเว็บแล้วโอนผ่านสายแทนเพราะหาเน็ตให้ Kindle ไม่ได้

บางเจ้ามีให้โหลดapkจากเวบofficialจริง แบบนั้นถึงจะเรียกว่าเชื่อถือได้

ถ้าเว็บ official โดนแฮ็กล่ะครับ? เอาไฟล์ apk เถื่อนมาวาง ใครจะจับได้ ผู้ใช้โหลดไปเห็นลายเซ็นตรงก็เชื่อหมดแล้วครับ

เอาจริงๆถ้าคุณเอาapk ที่backup จากของแท้ก็ไม่น่ามีปัญหาอยู่ดี ที่ไปโหลดapkตามเวบ

ถ้าครั้งแรกสุดหาเน็ตมาให้โทรศัพท์ไม่ได้ จะ backup จากไหนครับ?

ยอมรับเถอะว่าต้องการโหลดเถื่อนมากกว่า

ไม่ยอมรับครับ เพราะเครื่องผมไม่มีของเถื่อน (มีตัวลงที่ "เคย" ใช้สมัยก่อน) และผมไม่ได้ใช้ Android

อ้อ ไม่ได้หมายถึงผมแต่หมายถึงคนที่โหลด apk ไปลงเองสินะครับ อันนี้ผมตอบแทนเค้าไม่ได้แฮะ มีคนที่หาของเถื่อนมาลงแน่ ๆ อยู่แล้วครับ และการที่เค้าหาเถื่อนส่วนมากเค้าต้องการใช้แอพเสียเงินโดยไม่เสียเงิน ซึ่งเค้าคงหวังว่าจะเจอ apk ที่ลายเซ็นไม่ตรง เพราะถ้าลายเซ็นตรงมันควรจะหมายถึงแอพนั้นยังไม่ถูกแก้ไข ยังไม่ได้แคร็กหรือเปล่าครับ? (หรือแอพตัวเต็มที่คนเสียเงินแล้ว backup ไว้มันเอามาลงให้คนอื่นได้เลยครับ? อันนี้ผมไม่รู้จริง ๆ)

ที่google playออกupdate ก็อาจจะเพื่อตรวจสอบcheckให้รัดกุมกว่าเดิม

ถ้ามันหลุดไม่ได้อยู่แล้ว จะตรวจสอบเพิ่มทำไมล่ะครับ? ผมขอเดาว่าเพราะ Google เองยอมรับถึงการ "มีอยู่ของช่องโหว่" ครับ เพราะของที่มีช่องโหว่ก็คือมันมีช่องโหว่ครับ ไม่ว่ามันจะมีผลมากน้อยแค่ไหนก็คือมันมีช่องโหว่ เถียงให้ตายมันก็มีช่องโหว่

ตรงนี้เห็นหลายคนเทียบกับiOS ก็เดิมๆมันลงโปรแกรมเถื่อนนอก storeไม่ได้(androidก็ไม่ต่าง ถ้าคุณไม่check option)มองในแง่ของผู้ใช้มือถือทั่วไป ที่ใช้แต่ของแท้โหลดผ่านstoreเท่านั้น ไม่ไปนั่งโหลดเถื่อน ก็ถือว่ามีความปลอดภัยเท่าเทียมกัน

#Google Play ไม่ใช่ store เดียวบน Android อย่างเป็นทางการนะครับ!

อ้อข้างล่างบอกว่า ก็ผู้ปกครองไปซื้อtabletจีนมา ไม่มีgoogle play storeแต่แรก หรือเด็กกดเล่นเองมั่วๆ ก็อย่าไปผูกกับข้อมูลสำคัญเช่นพวกบัตรเครดิตสิครับ ให้เด็กเล่นก็กดโหลดได้แต่ของฟรีอยู่แล้วไม่น่ามีปัญหาอะไร เล่นของถูกเกินโดยไม่อ่านอะไรก็ยอมรับความเสี่ยงด้วย ไม่ต่างจากไปซื้อipad jailbreak ไว้ลงappเถื่อน เกิดปัญหามาก็คงไปโวยวายอะไรกับappleไม่ได้เช่นกัน

ต่างสิครับ iOS ไม่ได้ออกแบบมาให้ jailbreak แต่ Android ออกแบบให้ "เลือก" ที่จะลง apk เองได้อย่างเป็นทางการมาตั้งแต่ต้น ไม่เกี่ยวกับว่า default มันเปิดหรือปิด แต่มันทำให้การเลือกเปิดหรือปิดมันยังอยู่ในความรับผิดชอบครับ ถ้าบอกว่ามันต้อง root ถึงจะลง apk เองได้ผมถึงจะยอมรับครับว่าอยู่ระดับเดียวกัน

ป.ล. หมดโควต้าตอบแล้ว ถ้ามีเพิ่มยกยอดไว้พรุ่งนี้นะครับ-_-"

รอได้และจะพยายามไม่ลืมนะครับ ข่าวหลุดหน้าแรกแล้วผมชอบลืมตามไปอ่าน (T^T) จะพยายามไม่ลืมครับ

McKay Fri, 05/07/2013 - 20:54

ให้คิดง่ายๆว่า Android คือระบบแบบ Windows ละกันครับ

ปัญหาของ OS ก็ส่วนนึง แต่ก็เป็นผู้ใช้เองที่โหลดแอพ(เถื่อน?) มา และ grant สิทธิ์ ตอนรัน สุดท้ายก็ติด Malware

ช่องโหว่นี้ไม่ใช่เรื่องใหม่ ยกตัวอย่างเช่น crack หลายๆตัวใน Windows ก็มีการแก้ไขข้อมูลภายในไฟล์ แต่ยังคง digital signature เดิมๆ ไว้ ซึ่งเราก็ไม่รู้ว่าใครจะยัดอะไรมาหรือเปล่า แต่ในกรณีนี้มันเป็นการโหลดจากความตั้งใจของผู้ใช้เอง

ผมไม่ทราบว่า Android เองจะถูกสั่งให้โหลด App ภายนอกพร้อมกับติดตั้งโดยอัตโนมัติโดยไม่ถาม permission ได้หรือเปล่า

Google Play ไม่ใช่ store เดียวบน Android อย่างเป็นทางการนะครับ!

ดังนั้นผู้ที่ fork ไปก็ควรจะทำการตรวจสอบ App ใน Store ด้วยครับ

hisoft Fri, 05/07/2013 - 21:58

ผมแค่จะชี้ว่า มันไม่เกี่ยวกับผู้ใช้จะเถื่อนหรือไม่เถื่อนครับ มันอยู่ที่มันมีช่องโหว่ให้มุดได้ครับ ส่วนที่ผมเปิดเรื่องด้วย "Android หลาย ๆ ตัวไม่มี Google Play ติดมาให้นะครับ" นั่นจริง ๆ ผมต้องการจะชี้ว่า Google Play ไม่ใช่ทุกอย่าง และ Android เองก็ไม่ได้ออกแบบมาให้ผูกติดกับมัน ตั้งต้นเลยมันก็เหมือนกับ Windows อย่างว่านั่นแหละครับ

ส่วนที่ผมชี้ "Google Play ไม่ใช่ store เดียวบน Android อย่างเป็นทางการนะครับ!" นั่นก็เพราะคุณ Fourpoint ชี้ช่องแต่ว่าอะไร ๆ ก็ต้อง Google Play อย่างเดียวเท่านั้น ราวกับว่า Android กับ Google Play มันถูกออกแบบให้ "จำเป็นต้อง" มีซึ่งกันและกันชนิดขาดกันไม่ได้มาตั้งแต่ต้น

hoolala Fri, 05/07/2013 - 14:21

เดี๋ยวนี้พ่อแม่นิยมซื้อ Tablet Android ให้ลูก ๆ เล่นกันเยอะมาก เด็ก ๆ เวลาโหลดแอพไม่ค่อยอ่านอะไรหรอกครับ ต่อให้อ่านก็ไม่เข้าใจว่ามันคืออะไร แถมบางทีก็ติดเรื่องภาษาอีก

kerk09 Fri, 05/07/2013 - 13:36

เสียวดีจริงๆ ดีนะที่พ่อผมไม่มีข้อมูลอะไรให้ขโมยสักเท่าไร โหลดมาจังเลย ไอ้พวกเกมไพ่นกกระจอกกะพวกแอพแปลกๆ เนี่ย =__=

put4558350 Fri, 05/07/2013 - 20:55

Android เป็น Open Source ช่องโหว่รู้เร็ว fix เร็วตามแบบ Open Source ครับ

ตรงนี้เป็นแนวคิด ชาว Open Source เชื่อว่า ถ้ามีคนดูหลายๆคน ถ้ามีช่องโหว่จะโดนหาเจอใด้เร็ว และคนที่แก้ไขใด้ก็มีหลายคนเสียด้วย ดีกว่า Close Source ที่มีคนดูแค่กลุ่มเดียวช่องโหว่จะหาเจอใด้ช้า และถ้าคนที่เจอเป็นคนแรกๆไม่ไช่คนดี ช่องโหว่จะโดนไช้เป็นเวลานาน เกิดความเสียหายเยอะ

put4558350 Fri, 05/07/2013 - 23:25

ยังไม่รู้ครับว่า manufacturer เจ้าใหนจะแก้ให้ถึงรุ่นใหนบ้าง แต่รุ่น topๆ รุ่นใหม่ และรุ่นที่คนไช้เยอะ น่าจะใด้ก่อนตามปรกติ

mr_tawan Fri, 05/07/2013 - 21:10

ปัญหาคือ Operator (ที่จริงก็ของ US เจ้าเดียวแหละ) ที่เข้ามาทำให้การอัพเดตช้าลง พอจะอัพเดตทีก็ต้องส่งไปให้เทสต์ (เดาว่าเสียเงินด้วย) กลายเป็นว่าผู้ผลิตก็แหยง ๆ ไม่อยากอัพเดตเครื่องตัวเอง

ไอ้ผู้ผลิตจริง ๆ ก็พอกัน คือพอขายเกินปีแล้วก็ปล่อยเลยไม่สนใจ แถมไม่ให้วิธีการเข้าถึงเครื่องตัวเองโดยผู้ใช้ด้วย กลายเป็นไม่มีอัพเดตอีก

ผู้ใชก็ต้องมาดิ้นรนอาวิธีอัพกันเอง ช่างน่าเศร้า

sunback Fri, 05/07/2013 - 22:15

Android เป็น Open Source ช่องโหว่รู้เร็ว fix เร็วตามแบบ Open Source ครับ

อันนี้เป็นจริงในอุดมคติครับ อุดโดยเร็วนี่ต้องถามต่อว่าอุดโดยใคร? มีผลกับใครบ้าง?

งานนี้เป็นข้อพิสูจน์ทั้งกูเกิลและผู้ผลิตทั้งหลายว่าจะแสดงความรับผิดชอบยังไง ถ้าประกาศแพทช์ในทุกรุ่นของตัวเองก็เรียกว่าหล่อระดับคุณชายรณพีร์ ถ้าปล่อยเลยตามเลยก็เป็นแพให้เขาล้อยันหลาน CEO บวช

lancaster Fri, 05/07/2013 - 22:50

การลง apk นอก store ไม่ว่าจะถูกแก้หรือไม่ถูกแก้มันก็ขึ้นเตือนเหมือนกันอยู่แล้ว ไม่ว่าจะเป็นของแท้ของเถื่นอมันก็เตือนเหมือนกัน แล้วมันมี concern ตรงไหนเนี่ย ผมเห็นเค้าทำกันเอิกเริกมาตั้งนานแล้ว ตั้งแต่สมัย brut maps มาเป็น ownhere maps แล้วก็แอพอีกมากมาย

lancaster Fri, 05/07/2013 - 22:54

ประเด็นมันคือเอา apk มาแก้แล้ว rewrite signature ใหม่ได้อะครับ คนจะติดได้ต้องไปเปิดให้ลง apk จากนอก store ได้แล้วไปคลิกลง apk ตัวที่มี malware เอง

มันผิดตั้งแต่ไปลง apk นอก store โดยไม่รู้ว่ามันคืออะไรแล้วครับ แล้วคนปกติไม่มีใครเค้าเปิดลงกันด้วยนะ มีแต่พวกเราๆนี่แหละ ดังนั้นมันไม่ติดกันง่ายขนาดนั้นหรอก

mr_tawan Sat, 06/07/2013 - 00:22

นั่งคิดเล่นๆ ... ตัว digital signature เนี่ยมันไม่น่าจะเกี่ยวกับตัว content ข้างใน แค่บอกแค่ว่าใครเป็นคน sign นี่นา ... เดาว่านี่เป็นปัญหาที่นักวิจัยว่าล่ะมั้ง

กำลังคิดว่าถ้าเกิเป็น e-mail แล้วผมไป copy เอา PGP key มาจากเมล์คนอื่นมาแปะใส่เมล์ผมนี่จะถือเป็นปัญหาเดียวกันหรือเปล่าครับเนี่ย ?