บริษัท FishEye ซึ่งเป็นบริษัททางด้านการรักษาความปลอดภัยของระบบเครือข่าย ได้ตรวจพบช่องโหว่ในระบบ Permission ของ Android ที่เปิดช่องให้แอพที่ไม่ประสงค์ดีสามารถหลอกผู้ใช้ไปยัง website ที่จัดฉากไว้ แล้วทำการขโมยข้อมูลส่วนตัวไปได้ หรือที่เราเรียกกันว่า Phishing นั่นเอง (กรณีศึกษาเรื่อง Phishing ลองดูจากข่าวนี้ ได้ครับ) ซึ่ง Permission เจ้าปัญหาที่ตรวจพบนั้นเป็นเรื่องเกี่ยวกับสิทธิ์ของแอพจำพวก Launcher โดยมีอยู่ 2 permission คือ “com.android.launcher.permission.READ_SETTINGS” และ “com.android.launcher. permission.WRITE_SETTINGS” ที่แอพโจรสามารถใช้ประโยชน์จากสิทธิ์นี้ในการเปลี่ยน icon หรือแก้ค่า config ของ Android Launcher ได้ สำหรับเวอร์ชันของ Android ที่ได้รับผลกระทบคือ “ทั้งหมด”

สาเหตุของปัญหานั้นมาจากการที่ Google จัดระดับของ permission สองตัวนี้เป็นแบบ ปกติ หรือ Normal นั่นหมายความว่า แอพสามารถใช้งาน permisson ทั้งสองตัวนี้ได้เลยโดยไม่ต้องขออนุญาตจากผู้ใช้ และผู้ใช้เองก็ไม่รู้ด้วยซ้ำว่าแอพที่ติดตั้งไปนั้นมีการใช้ permission นี้ เมื่อติดตั้งแล้วเจ้าแอพตัวนี้ก็จะสามารถเปลี่ยน icon ที่อยู่บนหน้าจอให้ดูสวยงามหรือดึงดูดความสนใจ พอผู้ใช้กดเปิดแอพก็จะเปิดหน้า website ที่จัดฉากไว้เรียบร้อย พร้อมให้กรอกข้อมูลส่วนตัวเพือทำการสมัคร หลังจากนั้นก็ “เสร็จโจร” 

FishEye นั้นเปิดเผยข้อมูลนี้เมื่อเดือนตุลาคมปี 2013 ที่ผ่านมาและ Google ได้ทำการแก้ไขเรียบร้อยแล้ว แต่ยังไม่ชัดเจนว่าจะมาพร้อมกับ Android 4.4.3 หรือว่าส่ง code ไปให้ทางผู้ผลิตแล้วหรือยัง

 

ที่มา: PhoneArena