Tags:
Node Thumbnail

กูเกิลเริ่มทดสอบ Android 13 ตั้งแต่ต้นปีที่ผ่านมา ตอนนี้ Esper บริษัทให้บริการการจัดการอุปกรณ์แอนดรอยด์ก็ออกมาระบุว่า Android 13 จะจำกัดสิทธิ์ Accessibility API เพิ่มเติมหากผู้ใช้ติดตั้งแอปนอกสโตร์ เช่น Google Play หรือ F-Droid

Accessibility API นั้นเปิดให้นักพัฒนาสามารถช่วยควบคุมแอนดรอยด์ได้ตามความต้องการของคนกลุ่มต่างๆ เช่น ผู้ที่มีปัญหาการมองเห็นก็อาจใช้แอปช่วยอ่านหน้าจอ หรือบางแอปอาจจะช่วยควบคุม คลิกจุดต่างๆ ให้ผ่านอินพุตแบบอื่นๆ แต่ API นี้ก็เป็นสิทธิ์ระดับสูงทำให้แอปเห็นข้อมูลทุกอย่างของผู้ใช้ และสามารถควบคุมแทนผู้ใช้ได้ ทำให้มัลแวร์หลายตัวพยายามขอสิทธิ์เช่นนี้

ที่ผ่านมากูเกิลจำกัดการใช้ API นี้อย่างมาก นักพัฒนาที่จะอัพโหลดแอปขึ้น Google Play ต้องกรอกแบบฟอร์มชี้แจงความจำเป็น และขออนุญาตเพิ่มเติมจากปกติ แต่ก็ยังมีปัญหาอยู่เมื่อผู้ใช้โหลดโปรแกรมนอกสโตร์มาติดตั้งเอง

เมื่อผู้ใช้ติดตั้งแอปผ่าน APK เอง และแอปพยายามขอสิทธิ์จาก Accessibility API แทนที่ระบบจะแสดง pop-up เพื่อให้ผู้ใช้อนุญาต จะขึ้น pop-up เพียงว่า "Restricted setting" และไม่เปิดให้ผู้ใช้อนุญาตเข้าถึง API ทางเดียวที่จะเปิดได้คือต้องไปสั่ง "Allow restricted settings" ในหน้า App info ด้วยตัวเอง

ที่มา - Esper.io

No Description

ภาพโดย Pexels

Get latest news from Blognone

Comments

By: tom789
Windows Phone
on 5 May 2022 - 13:11 #1247707

กำจัด ก็ดีนะ แต่น่าจะให้อนุญาติเป็นรายๆไป

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 May 2022 - 13:21 #1247709 Reply to:1247707
lew's picture

ถ้าแอปเข้า store ได้ ก็ใช้งานตามปกติได้ครับ ไม่ล็อกเฉพาะ Google Play ด้วยซ้ำไป ไม่ต่างจากการขออนุญาตเป็นรายๆ แต่อย่างใด

ถ้า sideload ก็ยังใช้งานได้ แค่เมนูอยู่ลึกมาก (ใต้เมนู 3 จุด)


lewcpe.com, @wasonliw

By: NoppawanConan
ContributoriPhoneAndroidWindows
on 5 May 2022 - 14:25 #1247711
NoppawanConan's picture

อย่างนี้ EU จะมองว่า Google หาเรื่องผูกขาดอีกมั้ยเนี่ย


แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: lew
FounderJusci's WriterMEconomicsAndroid
on 5 May 2022 - 15:10 #1247716 Reply to:1247711
lew's picture

เห็นคุยกันใน YCombinator ว่าต้องเปิดช่องไม่ล็อกสนิท เพราะกลัวประเด็น EU นี่ล่ะครับ ทำได้แค่ยากหน่อย


lewcpe.com, @wasonliw

By: hisoft
ContributorWindows PhoneWindows
on 5 May 2022 - 14:39 #1247712
hisoft's picture

อ่านทีแรกนึกว่าจะกำจัดเลยก็ผวาอยู่บ้าง พออ่านว่าติดตั้งผ่าน F-droid ก็ได้ หรือกระทั่ง sideload ก็ยังทำได้แค่ต้องเข้าลึกๆ หน่อย ยังดูโอเคดีครับ

By: rainhawk
AndroidWindows
on 5 May 2022 - 16:26 #1247724
rainhawk's picture

ให้มันเปิดง่ายๆหน่อยไม่ได้เหรอนั้น

By: akira on 5 May 2022 - 17:16 #1247728 Reply to:1247724

เป็นวิธีห้ามแบบจิตวิทยาน่ะครับ บริษัท Tech พวกนี้เขาทำอะไรก็จะต้องสำรวจก่อน ถ้าห้ามทำตรงๆ แล้วทำให้เกิดปัญหาตามมาก็จะวิธีให้เข้าถึงยากๆ นี่แหล่ะครับ แต่อันไหนที่จะโปรโมทก็จะให้เข้าถึงง่ายๆ นิสัยของมนุษย์ส่วนใหญ่จะขี้รำคาญยากหน่อยก็จะไม่ทำแล้ว เป็นทฤษฎี Default ที่เขาวิจัยกันมาแล้ว

By: pepporony
ContributorAndroid
on 5 May 2022 - 17:29 #1247731 Reply to:1247724

อีกอย่างถ้าเปิดยากๆหมายความว่าคนที่จะเปิดจริงๆน่าจะต้องรู้ว่ากำลังทำอะไรอยู่

By: hisoft
ContributorWindows PhoneWindows
on 5 May 2022 - 18:01 #1247736 Reply to:1247731
hisoft's picture

+1 เพราะจะว่าไปอันนี้มันก็อันตรายจริงนั่นแหละ

By: tekkasit
ContributorAndroidWindowsIn Love
on 5 May 2022 - 22:14 #1247763 Reply to:1247724
tekkasit's picture

Accessibility API นี่มันให้อำนาจเยอะมาก สามารถอ่านข้อความแอพที่ผู้ใช้รันอยู่ได้ตลอดเวลา (อ่านหน้าจอให้คนที่มีปัญหาทางสายตา) รวมถึงแอพการเงิน อ่าน username/password ที่พิมพ์ในช่อง textbox ได้ (เพราะพิมพ์แทนผู้พิการ) รวมถึงสามารถสั่งพิมพ์แทนผู้ใช้ได้ (speech-to-text)

แอพประสงค์ร้ายหลายตัวพยายามจะหลอกขอเข้าถึงสิทธิ์ตรงนี้ ซึ่งผู้ใช้หลายคนเห็นคำเตือนก็กดส่งๆไป โดยไม่ตระหนักว่า แอเครื่องคิดเลย ทำไมต้องขอสิทธิ์ระดับนี้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 6 May 2022 - 10:02 #1247790 Reply to:1247724
lew's picture

ทำอยู่ครับ เวอร์ชั่นเดิมเปิดง่าย เขาเลยต้องปรับ


lewcpe.com, @wasonliw

By: iqsk131 on 5 May 2022 - 18:33 #1247738

ตอนแรกนึกว่าจะล๊อคแค่ Google Play Store ซึ่งถ้าเป็นแบบนั้นโดนฟ้องแน่ (ขนาด Epic แค่มีคำเตือนว่าขึ้นมาว่าลงแอปนอกสโตร์อาจไม่ปลอดภัยก็ฟ้องแล้ว เพราะงั้นเคสนี้ไม่พ้นโดนฟ้องแน่นอน) แต่ถ้าเปิดให้ App Store อื่นๆได้ด้วยก็อาจจะรอดแหละ

ในแง่ความปลอดภัยก็คงต้องดูอีกทีว่าแอปแบบไหนถึงสามารถเป็น App Store และให้สิทธิพวกนี้ (ต้นทางอาจจะมีบอกแต่ผมยังไม่ได้อ่านเพราะดูคร่าวๆแล้วค่อนข้างเทคนิคอยู่) แต่ต่อให้จะไม่ค่อยได้ผลในแง่ป้องกันแอปถูกปล่อย ผมว่ามันก็ค่อนข้างได้ผลในแง่การป้องกันดาวน์โหลดอยู่นะ (เพราะโหลดยุ่งยากขึ้น ต้องโหลด 2 ต่อ คนโหลดน่าจะต้องเอะใจไม่มากก็น้อยแหละ)

ส่วนในแง่ผลกระทบผมมองว่ามีได้มีดีมีเสียนะ ข้อเสียคือแอปบางประเภทจำเป็นต้องปล่อยผ่าน App Store เท่านั้น ถึงจะไม่ได้บังคับว่า Store ไหนแต่มันก็ทำให้ยากขึ้น อาจถูกมองว่ากีดได้ ส่วนข้อดีคือจากนี้ไปแอปจะเริ่มไปอยู่ใน App Store มากขึ้น จะได้มี App Store ที่เป็นคู่แข่ง Play Store มากขึ้น เพราะถ้าไม่บังคับแบบนี้ก็ต่างคนต่างปล่อยไม่ขึ้น Store ซักที

แต่ส่วนตัวผมว่าโอเคอยู่นะ ไม่ได้ถูกจำกัดมากเกินไปและได้ความปลอดภัยมาในระดับนึง

By: phoopa on 5 May 2022 - 19:17 #1247743

ได้เฉพาะ android 13 ส่วนเครื่องที่โดนแจกแพก็รั่วต่อไป

By: lew
FounderJusci's WriterMEconomicsAndroid
on 6 May 2022 - 10:15 #1247792 Reply to:1247743
lew's picture

อันนี้มันไม่ใช่ "ช่องโหว่" นะครับ ของก็ต้องขอสิทธิ์เป็น dialog อยู่ดี เป็นแค่การปรับ UX ให้มันยากขึ้น เพื่อบอกผู้ใช้ว่ามันอันตรายจริงๆ


lewcpe.com, @wasonliw

By: Bigkung
iPhoneWindows Phone
on 6 May 2022 - 11:45 #1247805
Bigkung's picture

Android สำหรับคนไม่แน่จริงหรือไม่ระวังตัวพอตัวใช้ App ทางการเงิน นี่รั่วเอาง่ายๆเลย ตั้งแต่ SMS ดักข้อมูลเลย หรือแม้แต่โดนฝังการดัก SMS ไปเลย ได้ยินแม่บอกว่าญาติที่รู้จักกดลิงค์ปุ๊บเงินไหลออกทันที ก็คิดว่าเป็นไปได้เรอะ กดปุ๊บเงินหายไปจากบัชชี 2 แสน คิดว่าน่าจะรั่วก่อนหน้ามานานมากแล้ว แค่เริ่ม hack จริงตอนนั้น
เอาจริงๆจะลำบากมากขนาดนั้น ก็ย้ายไปคุกกระจก จะได้ไม่ต้องเจออะไรมากยกเว้นแค่ SMS มาให้กรอกข้อมูลจากหน้าเว็บอีกต่อเท่านั้น ส่วนการดักข้อมูลจากในเรื่องเลยเป็นไปได้ยากกว่าเพราะทำอะไรพิศดารไม่ได้มาก เรื่องโหลด App จากภายนอกนี่ตัดทิ้งไปได้เลย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 6 May 2022 - 13:45 #1247818 Reply to:1247805
lew's picture

ผมว่าเอาแค่สองเรื่อง

  1. อย่า sideload, อย่า root
  2. factory reset ก่อนใช้งาน

ก็แทบไม่ต่างกันมากแล้วนะครับสำหรับคนทั่วไป แต่พอนึกออกว่าพอคนวงกว้างแค่สองข้อนี้ก็ทำกันไม่ได้แล้ว ซื้อโทรศัพท์พร้อมบริการ setup ให้เรียบร้อย แถมเกม 99 เกม :/


lewcpe.com, @wasonliw