Bluebox Security บริษัทสตาร์ทอัพด้านความปลอดภัยบนมือถือรายงานช่องโหว่ใหม่ในมือถือที่ใช้ระบบปฏิบัติการ Android ตั้งแต่รุ่น 1.6 (Donut) ขึ้นไป ซึ่งหมายความว่าเครื่องที่ออกมาภายใน 4 ปีหลังสุดซึ่งคิดเป็นจำนวนเกือบ 900 ล้านเครื่องมีโอกาสที่จะได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถแก้ไขเปลี่ยนแปลงโค้ด APK โดยที่ไม่ทำให้ลายเซ็นเข้ารหัสของแอพเปลี่ยนแปลงไป ส่งผลให้ตัวระบบ Android คิดว่าแอพดังกล่าวไม่เกิดการเปลี่ยนแปลง แฮกเกอร์จึงสามารถเปลี่ยนแอพธรรมดาสามัญใดๆ ให้กลายเป็นโทรจันได้
ช่องโหว่ดังกล่าวจะร้ายแรงยิ่งขึ้นเมื่อใช้กับแอพที่พัฒนาโดยผู้ผลิตหรือแอพใดๆ ที่สามารถเข้าถึงข้อมูล UID (ตัวรหัสบ่งบอกเครื่อง) แฮกเกอร์อาจเข้าถึงและขโมยรหัสผ่านหรือข้อมูลบัญชีผู้ใช้ หรือยิ่งไปกว่านั้น เข้าควบคุมเครื่องโดยสมบูรณ์
ทั้งนี้กูเกิลได้รับทราบถึงปัญหานี้และได้แบ่งปันข้อมูลนี้กับกลุ่ม Open Handset Alliance มีรายงานว่ากูเกิลปรับปรุงให้ Google Play สามารถกรองแอพที่ถูกแก้ไขเหล่านี้ได้และ Samsung Galaxy S4 ได้รับการอุดช่องโหว่เรียบร้อยแล้ว รวมทั้งยังไม่มีรายงานการใช้ช่องโหว่นี้ในระบบนิเวศจริงแต่อย่างใด
อย่างไรก็ดี ผู้โจมตียังคงสามารถหลอกให้ผู้ใช้ทำการติดตั้งแอพเหล่านี้ด้วยมือ แพร่กระจายผ่านอีเมล อัพโหลดแอพนั้นๆ เข้าสู่แอพสโตร์ภายนอก ส่งผ่านทาง USB หรืออื่นๆ ได้
ที่มา - TechCrunch , CIO
Comments
เว้นวรรคหลัง ) ด้วยครับ
ใช่ช่องโหว่ => ใช้ช่องโหว่
อีเมล์ => อีเมล
แก้แล้วครับ :)
เรื่องหลอกให้ติดตั้งโทรจันด้วยมือ อีเมล หรือแอพสโตร์อื่น ๆ นี่ ไม่น่าเป็นปัญหาเท่าไหร่เพราะตรงนั้นมันไม่ค่อยสนใจ signature กันอยู่แล้ว
555 ... บอกไปก้อไร้ค่า ไม่มีใคร (ผู้ผลิต) เขาตามมาแก้ให้หรอก ชาตินึงจะอัพให้สักหนนึง แถมบางรุ่นก้อลอยแพซะงั้น วิธีแก้ปัญหาคือ ซื้อเครื่องใหม่ทุกครั้งที่มีช่องโหว่ร้ายแรง ไม่ก้อ อย่าใช้มันในเรื่องเงิน ๆ ทอง ๆ ... ถ่ายรูปกะเล่นเกมส์ฟรีอย่างเดียว
อีกวิธีคือลงโปรกแรมจาก Google Play เท่านั้น โปรแกรมที่มีปัญหาจะโดน filter ออกไป
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
อีกวิธีคือ อย่าลงแอพ!
วิธีสุดท้าย เลิกใช้.....?
วิธีต่อไป คือ ใช้ mixi แทน 555 ครับ
เพราะปัญหาเรื่องความปลอดภัยนี่ล่ะ ถึงไม่อยากย้ายไปใช้ Andriod
แล้ว badge ที่โชว์หราอยู่นี่ล่ะคัฟ ~x~
ถ้าไม่ดิ้นรนไปทำอะไรเถื่อนๆผมว่าก็ไม่ได้อันตรายอะไร ที่เกิดเพราะลงแอพเถื่อนเองทั้งนั้น
เห็นด้วยครับ อย่าง ข่าวนี้ ก็มีหลายท่านที่ต้องการหาโหลด apk มาลงซึ่งนั่นก็หมายถึงความเสี่ยงที่ผู้ใช้ยังต้องเป็นผู้แบกรับเอาไว้
ลงจาก google play ก็จบ พวกที่แจกตามเน็ตถ้าไม่ดีมันก็ต้องมีคนบอกในกระทู้อยู่แล้ว ถ้านอกจากนี้ก็เสี่ยงจากสิ่งอื่นๆอีกเยอะแยะตามธรรมชาติของการโหลดโปรแกรมอยู่แล้ว ดังนั้นไม่มีปัญหาอะไรกับผมเลย
ถ้าเป็นโทรจันที่ทำเพื่อขโมยข้อมูลจริงๆ กว่าคนจะรู้ตัวก็คงสายไปแล้วครับ
Google Play จะมีระบบกรองโทรจันจากทาง server อยู่แล้วครับ ขอแค่ดู permission ตอนลงโปรแกรมให้ดีก็พอ
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ถ้าผู้ร้ายจะใช้ประโยชน์ อาจจะใช้ได้หลายวิธี หนึ่ง จับเอา APK แอพดังๆมายัดใส้ด้วยเทคนิคนี้แล้วอ้างว่าเป็นรุ่นล่าสุด/หรือรุ่นแครกแล้ว แล้วปล่อยแชร์ให้โหลดตรงๆ หรือ ไปสร้างแอพในสโตร์ทางเลือกที่ไม่ได้คัดกรอง แล้วเอาแอพที่ยัดใส้แล้วมาให้โหลด
ดังนั้นสิ่งที่ต้องระวังคือ สำหรับเครื่องรอมศูนย์ทั้งหลาย ถ้าติดตั้งหรือแม้แต่อัพเดตโดยไม่ได้มาจาก Google Play โดยตรง ตอนนี้ก็อยู่ในความเสี่ยงสูง
แต่ถ้าลงรอมโมที่ปิดช่องโหว่นี้แล้วก็น่าจะลดความเสี่ยงลงไประดับหนึ่ง
แต่ทางที่ดีก็ระวังๆการติดตั้งแอพอะไรที่ไม่ได้จากแหล่งที่น่าเชื่อถือครับ รวมถึงซื้อของจริงกันเถอะ
ปัญหานี้ระวังด้วยตัวเองง่ายสุดละ เพราะเละไม่เละ อยู่ที่เราเองนี่แหละ
หลายคนบอกว่าให้ระวังด้วยตัวเอง
เจอ กรณีแฮ็กเว็บธนาคารไทย เพื่อหลอกติดตั้งแอพใน Android คิดว่าถ้าผู้ใช้ 100 คนเจอมุกแบบนี้จะโดนหลอกกี่คนครับ แล้วอนาคตจะมีมุก Social Engineering เนียนๆ ออกมาให้ติดตั้งแอพนอกสโตร์ หรือมีเทคนิคใหม่อะไรที่ไม่รู้อีก
ยังไม่นับประชากร Android ส่วนใหญ่ของโลก ที่เป็นรุ่นแถมแพ ไม่มีการอัพเดท Firmware ไม่มีการแก้ไขปัญหาความปลอดภัย
ทั้วไป app จากธนาคารจะอยู่บน Play Store ซึ่งป้องกันการสับสนและปลอดภัย
ปล. Social Engineering เป็นเรื่องที่หลอกกันใด้บนทุก os (เพราะแบบที่โทร์มาก็มี ทำบน browsre ก็มี) ดังนั้นต้องให้ความรู้เกี่ยวกับมาตรการความปลอดภัย เหมือนกับเรื่องที่ธนาคารจะไม่ถามรหัสบัตรเครดิตนั้นแหละครับ
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
เห็นด้วยครับ social engineering มันไม่เกี่ยวกับ app สักเท่าไร มันคือคนหลอกกัน ถ้าเกิดกรณีขึ้นเนี่ย ค่อย กระจ่ายข่าวเป็นรอบ ๆ ไป (แต่ antivius ละขายดีเลยทีนี้)
ก่อนหน้านี้เราเคยเรียนรู้กันว่า ทำธุรกรรมให้ปลอดภัย ให้ดูที่ URL ว่าเป็น https และมีรูปลูกกุญแจอยู่หรือไม่ ผู้ใช้ทั่วไปก็จำไปแบบนี้ (ผู้ใช้ทั่วไปไม่ใช่กีก ที่จะสงสัยเรื่องเทคโนโลยีนะ)
แล้วยังไง คราวนี้มาผ่าน XSS แทรกหน้าต่างเข้าไปในหน้าเว็บบน URL เดิม เรื่องลูกกุญแจและ https ที่รู้มาก็ไม่ช่วยอะไร
หลายคนก็บอกให้อ่าน permission แล้วคิดว่าผู้ใช้กี่คนที่อ่านเข้าใจครับ แล้วมันต้องผ่านกระบวนคิดแค่ไหนถึงรู้ว่า
อะไรงี้ สรุป สิ่งที่รู้มาไม่ช่วยอะไร Android ความปลอดภัยต่ำมาก ผู้ใช้ไประวังตัวกันเอง หรือไม่ก็ลง Antivirus ซะ
ปล. แอพ Android อ่าน SMS ได้ด้วย OTP เข้ามาก็โดนดักได้ คนเลยเริ่มบอกต่อๆ กันว่า ทำธุรกรรม ใช้มือถือถูกๆ หรือ iPhone, Windows Phone เถอะ
อย่างนึงที่คนควรใช้เป็นตัวตัดสินใจ ในการเลือกซื้อมือถือก็คือ วิธีการใช้มือถือของตัวเอง แต่บางคนดันเลือกเพราะ แบรนด์ ซะอย่างนั้น
แต่ผมก็มักจะเห็นสิ่งเหล่านี้เสมอ ๆ
พวก basic user ที่ทำนู่นนี่ไม่เป็น ตั้งใจจะซื้อมือถือมาเล่นอย่างเดียวเฉยๆ แล้วก็ซื้อ Android มาแล้วก็บ่นว่ามันใช้ยาก อะไรไม่รู้เยอะแยะอ่านไม่เข้าใจ
พวก advanced user ที่อยากจะทำนู่นปรับนี่กับมือถือตัวเอง แล้วก็ซื้อ iOS มาแล้วก็บ่นว่า ข้อจำกัดเยอะแยะ ใช้ลำบาก ปรับอะไรก็ไม่ค่อยได้
เพื่ออะไร
+1 เห็นด้วยที่สุด
เจอมาหลายคน อธิบายไปก็แค่นั้น เงินของเค้าแต่มาบ่นให้เราฟัง ตอนแนะนำก็ไม่เชื่อ เหนื่อยใจ
ผมเห็นด้วยนะตอนจะลง app มีการขอ permission เยอะ ๆ สรุปคือ ผมก็ไม่ได้อ่าน ลงไปเลยไม่สนใจ (ผมว่าเกือบทุก app ขอ permission เกินความจำเป็น ไม่รู้จะเอาไปเก็บข้อมูลผู้ใช้เอาไปขายหรือเปล่า แต่ก็ลง 555+) คือบางทีอันตรายก็อาจมาจาก app ที่ถูกต้อง แต่ใครจะรู้จนกว่าเรื่องจะแดง
เคสphishing เวบธนาคาร ก็ต้องโทษผู้ใช้ที่ไม่เคร่งครัดเรื่องความปลอดภัยเองด้วย
เพราะapp officialทุกเจ้ามีให้โหลดผ่าน google playเท่านั้นอยู่แล้ว นี่ไปโหลดผ่านเวบเอง ก็มีความเสี่ยงที่ต้องยอมรับเอง เพราะคงไม่มีใครป้องกันจากระบบได้ง่ายๆ ไม่งั้นก็ต้องระบบปิดไปเลยแบบ apple (แต่ถ้าใครไปแหกคุก ก็ยังเสี่ยงเองอยู่ดี)
มุกโจมตีผ่าน Social Engineering เนียนๆ ต่อให้เป็นระบบอะไรก็ถูกโจมตีได้ครับ เช่นกรณีของนักข่าว Gizmodo หรือกรณีของการ แฮกแอปเปิลไอดี
ส่วนกรณีแฮกธนาคารก็เป็นการฟิชชิ่งทั่วไป แล้วคุณก็เขียนในบล็อกแนะนำเองไปแล้วว่าไม่ควรโหลดแอพจากภายนอก Store และควรปิดการติดตั้งจากแหล่งภายนอก
แนวทางแก้ไขเบื้องต้นก็คือโหลดแอพจาก Play Store เท่านั้นก็ช่วยลดปัญหานี้ได้เยอะอยู่แล้วโดยไม่ต้องรอเฟิร์มแวร์อยู่แล้วนิครับ?
อารมณ์เหมือน Windows XP SP2 ที่ผู้ใช้ไม่กล้าอัพเดทเพราะกลัวติดวินโดวส์เถื่อนใช่ไหมครับ รูรั่วเพียบบบบ มัลแวร์เจาะกันสนุก แล้วหัวข้อข่าวนี้ก็บอกเองไม่ใช่เหรอครับว่า Android 99% ได้รับผลกระทบ เพราะไม่ได้รับการอัพเดทหรืออัพเดทแต่ไม่ได้แก้ มีแต่ S4 ที่ปิดรูรั่วแล้ว
ถ้าต่อไปมันเจาะได้ทางอื่น วิธีอื่นๆ แบบที่ไม่ต้องลงแอพล่ะ Google Play ก็ไม่ช่วยอะไร
ยืมคำพูดคนแถวนี้หน่อย
งงครับ ส่วนนี้เป็นความผิดพลาดของผู้ใช้เอง (ใช้ของเถื่อน) และมันก็ไม่ต่างกับผู้ใช้แอปเปิลที่เจลแล้วไม่กล้าอัพเดท ซึ่งก็ต้องแบกรับความเสี่ยงเอง โทษใครไม่ได้
ถูกต้องครับ ถ้าเป็นวิธีการอื่นๆ แล้ว Google Play ก็ไม่ใช่อะไร ไม่ต่างจากกรณีแอปเปิลตามที่ผมแปะลิงค์ไว้ ซึ่งเป็นเรื่องที่ต้องตามแก้กันไปเรื่อยๆ
ที่จะบอกคือมันเหมือนกันไงครับ ระบบปฏิบัติการยอดนิยมอย่าง Windows พิสูจน์มาแล้วว่ามันต้องอัพเดทปิดรูรั่วที่ระบบ ไม่งั้นคนใช้ Android ที่อัพเดทไม่ได้ก็เหมือนคนใช้ Windows เถื่อนที่รูเพียบเหมือนกัน
คราว Windows เราโทษผู้ใช้ว่าใช้ของเถื่อน เลยไม่กล้าอัพงาน แล้วของ Android จะโทษใครครับ หรือโทษผู้ใช้อีกที่ต้องระวังตัวกันเอง
แล้วถ้าเป็นวิธีอื่นๆ ที่อาจเลี่ยง Google Play ได้ คือผู้ผลิตมือถือ หรือกูเกิ้ลจะไม่เข้ามาช่วยใช่ไหมครับ เพราะอัพเดทระบบไม่ได้ ไม่เหมือนแอปเปิ้ลที่โดนเจาะแล้ว รู้แล้วและช่วยปิดรูนั้นพร้อมกันบนอุปกรณ์ iOS (อายุไม่เกิน 3 ปีที่ยังซัพพอร์ตอยู่) บน Android ผู้ใช้ต้องรับผิดชอบตัวเองทุกอย่างเลยเหรอ
เทียบกับwindowsไม่ได้หรอกครับ winมันเปิดกว้าง ลงโปรแกรมอะไร ใช้สิทธิ์อะไรก็ได้ตามใจชอบ มันเลยต้องปิดที่ระบบเท่านั้นไม่งั้นปิดช่องโหว่ไม่ได้
แต่androidหรือแม้แต่ iOS ถ้าไม่ลงapp เถื่อนก็แทบไม่มีความเสี่ยงอยู่แล้ว การเจาะช่องโหว่นี้มาจากการให้โหลดเถื่อนนอกstoreนั่นแหละ
ปัญหาจริงๆเกิดจากผู้ใช้ไปนั่งโหลดapk เถื่อนมา แล้วจะมาโวยวายหาความรับผิดชอบจากgoogle ก็คงไม่ได้ล่ะครับ
เรื่องphishingมันป้องกันยาก ขนาดbrowserพยายามfilter มันก็มีเวบเกิดใหม่ตลอด และถึงมีคำเตือน แต่ผู้ใช้ก็อยากจะกดเข้าเวบ ก็ยังเข้าได้อยู่ดี ตรงนี้ต้องโทษผู้ใช้เองแล้วล่ะครับ
มันก็เทียบได้ในบางแง่มุมที่เค้ายกมานั่นแหละครับ OS เก่าไม่ใช่ว่ามันจะสมบูรณ์แบบไม่มีบั๊กเลย ถ้าเกิดเจอบั๊กขึ้นมาทีหลังเครื่องที่อัพเดตไม่ได้ทั้งหลายก็จะกลายเป็นเป้านิ่งทันที
เหตุการณ์ที่เกิดขึ้น กูเกิลเริ่มแก้ไขปัญหาเบื้องต้นแล้ว (แก้ที่ Play Store และมีผลกับทุกเครื่องอยู่แล้ว)แต่ถ้าเป็นแพทช์ของทางผู้ผลิตมือถือเอง งานนี้ก็ต้องมาพิสูจน์กันว่าเจ้าไหนจากทิ้งผู้ใช้ เจ้าไหนจะช่วย
ผมอ่านข่าวนี้และเข้าใจว่ามันเกิดนอก Play Store ซึ่งหมายความว่า ถ้าผู้ใช้ไม่ได้เปิดการติดตั้งจากแหล่งภายนอก มันก็ยังไม่เป็นปัญหา ผู้ใช้ก็ยังไม่ต้องรับผิดชอบตัวเองตลอด ผมเข้าใจถูกมั้ยครับ? หรือถ้าผิด ก็แนะนำผมด้วย
ถ้าลงแอพนอก store ไม่ว่า apk จะถูกแก้หรือไม่แก้มามันก็ขึ้นเตือนเหมือนกันหมดนั่นแหละครับ ไม่ต่างอะไรกับการเอา .exe มารันเองเลย
Android นี่ช่องโหว่เยอะจริงๆ
อูยยยยยส์ น่ากลัว
แต่ช่างเหอะ ใช้น้องด๋อยต่อไป
เอาจริงๆถ้าอ่านpermission ทุกครั้งก่อนลงappใดๆ มันก็ไม่น่าจะโดนหลอกได้ง่ายๆ พวกเกมบางอันขออนุญาต แบบแปลกๆผมก็ไม่ลงแล้ว
ที่น่ากลัวคือพวกไปลงappเถื่อน โดยเฉพาะเกมกันนี่แหละ ส่วนที่โดนหลอกให้ลงจากตามเวบ อันนี้ก็คงต้องระวัง ไม่ลง update/app นอก google playไปเลยปลอดภัยสุด
อีกอย่างเลี่ยงมาใช้app แท้เท่านั้นก็จบโหลดจากgoogle play only เกมดังๆลดราคาบ่อยจะตาย
สรุปถ้าคุณใช้ของเถื่อน คุณต้องยอมรับความเสี่ยงที่จะโดนhackจากช่องโหว่ต่างๆ แต่ถ้าใช้app แท้ตลอดก็ไม่น่ากลัวอะไรครับ
ป.ล. แต่คิดไปคิดมา อนาคตอาจจะมีgoogle playปลอม ที่คอยre-direct ไปโหลดapp ที่โดนแก้ไข ><"
Android หลาย ๆ ตัวไม่มี Google Play ติดมาให้นะครับ
ถ้าหมายถึงมือถือจีน tabletจีนก็คงช่วยไม่ได้ เขาไม่ยอมจ่ายค่าfeeให้google เพื่อขายถูกๆผู้ใช้ก็ต้องเสี่ยงเอาเอง
แต่เอาจริงๆก็เห็นเขาลงgoogle play apk กันเองอยู่ดี ยกเว้นไปเจอgoogle play ปลอมตั้งแต่แรกนั่นแหละ
ปัญหาจริงๆเกิดจากผู้ใช้ไปนั่งโหลดapk เถื่อนมา แล้วจะมาโวยวายหาความรับผิดชอบจากgoogle ก็คงไม่ได้ล่ะครับ
ผมสรุปสั้น ๆ ปัญหาจริง ๆ "ไม่ได้เกิด" จากผู้ใช้ไปนั่งโหลด apk เถื่อนมาครับ
ถ้าผมสรุปยาว ๆ หน่อย ก็คือไม่ได้เรียกร้องความรับผิดชอบจาก google ครับ แต่ผลมันเห็นได้ชัดเจนแล้วว่า Android มีปัญหาด้านความปลอดภัย อย่างน้อย ๆ ก็เห็นแล้วว่ามีอีกช่องนึง
ช่องโหว่นี้ไม่ได้เกิดปัญหาเพราะผู้ใช้ไปนั่งโหลด apk เถื่อนนะครับ apk เถื่อน แอพเถื่อน แอพแคร็ก ทำแล้วลายเซ็นเข้ารหัสแอพจะต้องเปลี่ยนไป คนติดตั้งต้องรับผิดชอบเองอันนั้นแน่นอนอยู่แล้วและไม่ได้เกี่ยวข้องอะไรกับช่องโหว่นี้เลย
แต่ไม่ใช่ทุกคนจะเข้าถึงอินเทอร์เน็ตบนโทรศัพท์ได้ บางคนต้องลงแอพใหม่บ่อยครั้ง จะเพราะเล่นรอมใหม่หรืออะไรก็ช่าง การเก็บ apk ไว้กดลงเลยมันมีประโยชน์ในรูปแบบของมันเอง ซึ่งการยืนยันว่ามันเป็น apk แท้ด้วยการดูลายเซ็นเข้ารหัสแอพก็ถือเป็นวิธีที่ควรจะใช้ได้ผล ขณะที่ช่องโหว่นี้กลับทำให้การตรวจสอบนี้ให้ผลผิดพลาดไป
ถ้ามีผลเฉพาะคนโหลด apk เถื่อน กูเกิลจะต้องปรับปรุง Google Play รึเปล่าครับ? หรือที่ต้องปรับปรุงเพราะมันอาจโดนสับขาหลอกข้อมูลกลางทางได้
ถ้ามองอีกแง่ ถ้าผู้ใช้เคร่งครัดในระบบลิขสิทธิ์ ค่าโดยปริยายของAndroid แทบทุกรุ่น(เท่าที่ผมเคยใช้ SS Moto หรือแม้แต่ housebrand Wellcom)คือปิดการลงapp นอกmarket/store
ถ้าผู้ใช้ต้องการลงจากapk ก็ต้องไปcheck optionนี้ก่อน
ประเด็นอยู่ตรงนี้ ถ้าเป็นผู้ใช้ทั่วไป เลือกoptionอะไรไม่เป็น ก็ต้องโหลดapp ผ่านgoogle play เท่านั้นอยู่แล้ว ก็จะไม่มีโอกาสเจอapp ปลอมมาหลอกได้(ไม่นับเรื่องapp malware ในplay storeที่ขออนุญาตเกินความจำเป็นนะ) ช่องโหว่นี้จึงไม่มีผลต่อผู้ใช้ที่โหลดตามค่าโดยปริยายของเครื่องครับ
ถึงคุณจะอ้างว่าบางคนไม่มีเนทนี่ ก็เลยเอาapk มาลงเองตรงๆ ตรงนี้มันก็ย้อนแย้งเองว่า แล้วคุณโหลดapk นั้นมาจากไหน เวบเชื่อถือได้หรือไม่? บางเจ้ามีให้โหลดapkจากเวบofficialจริง แบบนั้นถึงจะเรียกว่าเชื่อถือได้ แต่แบบโหลดจากเวบฝากไฟล์ เวบบิท จะโทษใครดี?
ผมไม่แน่ใจระบบตรวจสอบdigital signature ในandroid ว่ามันมีผลจริงตรงไหน ในเมื่อapk เถื่อนคุณก็ลงได้ถ้าเลือกoption ลงappนอกstoreได้อยู่แล้ว ฉะนั้นจะมีsignatureถูกต้องหรือไม่ มันก็ลงได้อยู่ดี ถ้าคุณบังคับให้มันลง(ผ่าน option)
แค่อาจมีผลตอนตรวจupdate ผ่านgoogle playเท่านั้น(อันนี้คาดเดานะ ถ้าผิดช่วยแก้ด้วย) ฉะนั้น จะอ้างว่าใช้การตรวจสอบdigital signatureอย่างเดียว โดยไม่สนใจที่มาของ apk ผมก็มองว่าเป็นความเสี่ยงที่คุณต้องยอมรับเอง เพราะดันไม่โหลดจากofficial เองนี่นา?
ที่google playออกupdate ก็อาจจะเพื่อตรวจสอบcheckให้รัดกุมกว่าเดิม ซึ่งก็ถือว่าดี ปิดช่องโหว่เพิ่มเติมไป แต่ในแง่ของผู้ใช้appแท้ผ่าน google play ก็คงไม่รู้สึกแตกต่างกัน
เอาจริงๆถ้าคุณเอาapk ที่backup จากของแท้ก็ไม่น่ามีปัญหาอยู่ดี ที่ไปโหลดapkตามเวบ ยอมรับเถอะว่าต้องการโหลดเถื่อนมากกว่า
ตรงนี้เห็นหลายคนเทียบกับiOS ก็เดิมๆมันลงโปรแกรมเถื่อนนอก storeไม่ได้(androidก็ไม่ต่าง ถ้าคุณไม่check option)มองในแง่ของผู้ใช้มือถือทั่วไป ที่ใช้แต่ของแท้โหลดผ่านstoreเท่านั้น ไม่ไปนั่งโหลดเถื่อน ก็ถือว่ามีความปลอดภัยเท่าเทียมกัน
อ้อข้างล่างบอกว่า ก็ผู้ปกครองไปซื้อtabletจีนมา ไม่มีgoogle play storeแต่แรก หรือเด็กกดเล่นเองมั่วๆ ก็อย่าไปผูกกับข้อมูลสำคัญเช่นพวกบัตรเครดิตสิครับ ให้เด็กเล่นก็กดโหลดได้แต่ของฟรีอยู่แล้วไม่น่ามีปัญหาอะไร เล่นของถูกเกินโดยไม่อ่านอะไรก็ยอมรับความเสี่ยงด้วย ไม่ต่างจากไปซื้อipad jailbreak ไว้ลงappเถื่อน เกิดปัญหามาก็คงไปโวยวายอะไรกับappleไม่ได้เช่นกัน
ป.ล. หมดโควต้าตอบแล้ว ถ้ามีเพิ่มยกยอดไว้พรุ่งนี้นะครับ-_-"
เกี่ยวอะไรกับระบบลิขสิทธิ์ครับ?
ผมบอกว่าไม่มีเน็ตบนโทรศัพท์ครับ คนใช้ Kindle จำนวนไม่น้อยหาทาง root เครื่องและสั่งให้ Kindle ใช้เน็ตผ่านพอร์ต USB หรือสั่งซื้อผ่านหน้าเว็บแล้วโอนผ่านสายแทนเพราะหาเน็ตให้ Kindle ไม่ได้
ถ้าเว็บ official โดนแฮ็กล่ะครับ? เอาไฟล์ apk เถื่อนมาวาง ใครจะจับได้ ผู้ใช้โหลดไปเห็นลายเซ็นตรงก็เชื่อหมดแล้วครับ
ถ้าครั้งแรกสุดหาเน็ตมาให้โทรศัพท์ไม่ได้ จะ backup จากไหนครับ?
ไม่ยอมรับครับ เพราะเครื่องผมไม่มีของเถื่อน (มีตัวลงที่ "เคย" ใช้สมัยก่อน) และผมไม่ได้ใช้ Android
อ้อ ไม่ได้หมายถึงผมแต่หมายถึงคนที่โหลด apk ไปลงเองสินะครับ อันนี้ผมตอบแทนเค้าไม่ได้แฮะ มีคนที่หาของเถื่อนมาลงแน่ ๆ อยู่แล้วครับ และการที่เค้าหาเถื่อนส่วนมากเค้าต้องการใช้แอพเสียเงินโดยไม่เสียเงิน ซึ่งเค้าคงหวังว่าจะเจอ apk ที่ลายเซ็นไม่ตรง เพราะถ้าลายเซ็นตรงมันควรจะหมายถึงแอพนั้นยังไม่ถูกแก้ไข ยังไม่ได้แคร็กหรือเปล่าครับ? (หรือแอพตัวเต็มที่คนเสียเงินแล้ว backup ไว้มันเอามาลงให้คนอื่นได้เลยครับ? อันนี้ผมไม่รู้จริง ๆ)
ถ้ามันหลุดไม่ได้อยู่แล้ว จะตรวจสอบเพิ่มทำไมล่ะครับ? ผมขอเดาว่าเพราะ Google เองยอมรับถึงการ "มีอยู่ของช่องโหว่" ครับ เพราะของที่มีช่องโหว่ก็คือมันมีช่องโหว่ครับ ไม่ว่ามันจะมีผลมากน้อยแค่ไหนก็คือมันมีช่องโหว่ เถียงให้ตายมันก็มีช่องโหว่
Google Play ไม่ใช่ store เดียวบน Android อย่างเป็นทางการนะครับ!
ต่างสิครับ iOS ไม่ได้ออกแบบมาให้ jailbreak แต่ Android ออกแบบให้ "เลือก" ที่จะลง apk เองได้อย่างเป็นทางการมาตั้งแต่ต้น ไม่เกี่ยวกับว่า default มันเปิดหรือปิด แต่มันทำให้การเลือกเปิดหรือปิดมันยังอยู่ในความรับผิดชอบครับ ถ้าบอกว่ามันต้อง root ถึงจะลง apk เองได้ผมถึงจะยอมรับครับว่าอยู่ระดับเดียวกัน
รอได้และจะพยายามไม่ลืมนะครับ ข่าวหลุดหน้าแรกแล้วผมชอบลืมตามไปอ่าน (T^T) จะพยายามไม่ลืมครับ
ให้คิดง่ายๆว่า Android คือระบบแบบ Windows ละกันครับ
ปัญหาของ OS ก็ส่วนนึง แต่ก็เป็นผู้ใช้เองที่โหลดแอพ(เถื่อน?) มา และ grant สิทธิ์ ตอนรัน สุดท้ายก็ติด Malware
ช่องโหว่นี้ไม่ใช่เรื่องใหม่ ยกตัวอย่างเช่น crack หลายๆตัวใน Windows ก็มีการแก้ไขข้อมูลภายในไฟล์ แต่ยังคง digital signature เดิมๆ ไว้ ซึ่งเราก็ไม่รู้ว่าใครจะยัดอะไรมาหรือเปล่า แต่ในกรณีนี้มันเป็นการโหลดจากความตั้งใจของผู้ใช้เอง
ผมไม่ทราบว่า Android เองจะถูกสั่งให้โหลด App ภายนอกพร้อมกับติดตั้งโดยอัตโนมัติโดยไม่ถาม permission ได้หรือเปล่า
ดังนั้นผู้ที่ fork ไปก็ควรจะทำการตรวจสอบ App ใน Store ด้วยครับ
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
ผมแค่จะชี้ว่า มันไม่เกี่ยวกับผู้ใช้จะเถื่อนหรือไม่เถื่อนครับ มันอยู่ที่มันมีช่องโหว่ให้มุดได้ครับ ส่วนที่ผมเปิดเรื่องด้วย "Android หลาย ๆ ตัวไม่มี Google Play ติดมาให้นะครับ" นั่นจริง ๆ ผมต้องการจะชี้ว่า Google Play ไม่ใช่ทุกอย่าง และ Android เองก็ไม่ได้ออกแบบมาให้ผูกติดกับมัน ตั้งต้นเลยมันก็เหมือนกับ Windows อย่างว่านั่นแหละครับ
ส่วนที่ผมชี้ "Google Play ไม่ใช่ store เดียวบน Android อย่างเป็นทางการนะครับ!" นั่นก็เพราะคุณ Fourpoint ชี้ช่องแต่ว่าอะไร ๆ ก็ต้อง Google Play อย่างเดียวเท่านั้น ราวกับว่า Android กับ Google Play มันถูกออกแบบให้ "จำเป็นต้อง" มีซึ่งกันและกันชนิดขาดกันไม่ได้มาตั้งแต่ต้น
เดี๋ยวนี้พ่อแม่นิยมซื้อ Tablet Android ให้ลูก ๆ เล่นกันเยอะมาก เด็ก ๆ เวลาโหลดแอพไม่ค่อยอ่านอะไรหรอกครับ ต่อให้อ่านก็ไม่เข้าใจว่ามันคืออะไร แถมบางทีก็ติดเรื่องภาษาอีก
เสียวดีจริงๆ ดีนะที่พ่อผมไม่มีข้อมูลอะไรให้ขโมยสักเท่าไร โหลดมาจังเลย ไอ้พวกเกมไพ่นกกระจอกกะพวกแอพแปลกๆ เนี่ย =__=
ใช้ iPhone สิจ๊ะ <3
แฟนพันธุ์แท้สตีฟจ็อบส์ | MacThai.com
อนาคตอาจจะต้องแบบลงแอพตัวนึง วิเคราะห์codeพันๆ บรรทัด
รอดไปปกติไม่ทำธุรกรรมบนหุ่น ช่องโหว่เท่าที่รู้ก็เพียบ แล้วที่ไม่รู้อีกล่ะ
Android เป็น Open Source ช่องโหว่รู้เร็ว fix เร็วตามแบบ Open Source ครับ
ตรงนี้เป็นแนวคิด ชาว Open Source เชื่อว่า ถ้ามีคนดูหลายๆคน ถ้ามีช่องโหว่จะโดนหาเจอใด้เร็ว และคนที่แก้ไขใด้ก็มีหลายคนเสียด้วย ดีกว่า Close Source ที่มีคนดูแค่กลุ่มเดียวช่องโหว่จะหาเจอใด้ช้า และถ้าคนที่เจอเป็นคนแรกๆไม่ไช่คนดี ช่องโหว่จะโดนไช้เป็นเวลานาน เกิดความเสียหายเยอะ
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
ข้อเสียก็คือ fix แล้ว manufacturer ต่างๆไม่ตามแก้ให้นี่แหละครับ คงต้องหันไปลง mod ROM build จาก source อย่าง CM กันเอาเอง
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
ยังไม่รู้ครับว่า manufacturer เจ้าใหนจะแก้ให้ถึงรุ่นใหนบ้าง แต่รุ่น topๆ รุ่นใหม่ และรุ่นที่คนไช้เยอะ น่าจะใด้ก่อนตามปรกติ
samsung ใหญ่แค่ใหน ?https://youtu.be/6Afpey7Eldo
อย่าง galaxy Y, galaxy mini, galaxy y duo อะไรพวกนี้ ได้อัพเฟิร์มล่าสุดเมื่อไหร่ครับ คนใช้เยอะมากเลยนะ
ปัญหาคือ Operator (ที่จริงก็ของ US เจ้าเดียวแหละ) ที่เข้ามาทำให้การอัพเดตช้าลง พอจะอัพเดตทีก็ต้องส่งไปให้เทสต์ (เดาว่าเสียเงินด้วย) กลายเป็นว่าผู้ผลิตก็แหยง ๆ ไม่อยากอัพเดตเครื่องตัวเอง
ไอ้ผู้ผลิตจริง ๆ ก็พอกัน คือพอขายเกินปีแล้วก็ปล่อยเลยไม่สนใจ แถมไม่ให้วิธีการเข้าถึงเครื่องตัวเองโดยผู้ใช้ด้วย กลายเป็นไม่มีอัพเดตอีก
ผู้ใชก็ต้องมาดิ้นรนอาวิธีอัพกันเอง ช่างน่าเศร้า
อันนี้เป็นจริงในอุดมคติครับ อุดโดยเร็วนี่ต้องถามต่อว่าอุดโดยใคร? มีผลกับใครบ้าง?
งานนี้เป็นข้อพิสูจน์ทั้งกูเกิลและผู้ผลิตทั้งหลายว่าจะแสดงความรับผิดชอบยังไง ถ้าประกาศแพทช์ในทุกรุ่นของตัวเองก็เรียกว่าหล่อระดับคุณชายรณพีร์ ถ้าปล่อยเลยตามเลยก็เป็นแพให้เขาล้อยันหลาน CEO บวช
การลง apk นอก store ไม่ว่าจะถูกแก้หรือไม่ถูกแก้มันก็ขึ้นเตือนเหมือนกันอยู่แล้ว ไม่ว่าจะเป็นของแท้ของเถื่นอมันก็เตือนเหมือนกัน แล้วมันมี concern ตรงไหนเนี่ย ผมเห็นเค้าทำกันเอิกเริกมาตั้งนานแล้ว ตั้งแต่สมัย brut maps มาเป็น ownhere maps แล้วก็แอพอีกมากมาย
สรุปคือ มันมีผลกับคนใช้โทรศัพท์หรือคนดูแล Store สำหรับ Android ครับเนี่ย?
ประเด็นมันคือเอา apk มาแก้แล้ว rewrite signature ใหม่ได้อะครับ คนจะติดได้ต้องไปเปิดให้ลง apk จากนอก store ได้แล้วไปคลิกลง apk ตัวที่มี malware เอง
มันผิดตั้งแต่ไปลง apk นอก store โดยไม่รู้ว่ามันคืออะไรแล้วครับ แล้วคนปกติไม่มีใครเค้าเปิดลงกันด้วยนะ มีแต่พวกเราๆนี่แหละ ดังนั้นมันไม่ติดกันง่ายขนาดนั้นหรอก
ถ้าลงนอก store แล้ว แก้ไม่แก้ก็ขึ้นเตือนเหมือนกัน แล้วจะ rewrite signature ลงไปทำไมเหรอครับ?
ไม่งั้นมันรันไม่ได้เลยน่ะครับ
นั่งคิดเล่นๆ ... ตัว digital signature เนี่ยมันไม่น่าจะเกี่ยวกับตัว content ข้างใน แค่บอกแค่ว่าใครเป็นคน sign นี่นา ... เดาว่านี่เป็นปัญหาที่นักวิจัยว่าล่ะมั้ง
กำลังคิดว่าถ้าเกิเป็น e-mail แล้วผมไป copy เอา PGP key มาจากเมล์คนอื่นมาแปะใส่เมล์ผมนี่จะถือเป็นปัญหาเดียวกันหรือเปล่าครับเนี่ย ?