Bluebox Security บริษัทที่ทำด้านระบบความปลอดภัยได้ค้นพบช่องโหว่ของ Android ที่มีมายาวนานตั้งแต่ Android 1.6 (หรือแทบจะตั้งแต่มันออกวางตลาดตัวแรก!!) ซึ่งช่องโหว่นี้จะทำให้เหล่า Hacker สามารถแก้ไขไฟล์ apk จับใส่ malware ต่างๆลงไปในแอพที่ไม่ได้ลงผ่าน Play Store ได้โดยไม่ถูกตรวจจับว่ามีการดัดแปลง และเมื่อไหร่ที่ติดตั้งลงเครื่อง Hacker จะสามารถควบคุมเครื่องของเราได้ทันที!!
ในบทความจาก CIO มีการอ้างว่ามีโทรศัพท์เพียงเครื่องเดียวที่ปิดช่องโหว่นี้เอาไว้เรียบร้อย นั่นคือ Samsung Galaxy S4 และการแก้ไขป้องกันบน Nexus ก็กำลังจะตามมา โดยปัญหานี้ทาง Bluebox ได้ทำการแจ้ง Google ไปตั้งแต่เดือนกุมภาพันธ์ โทรศัพท์รุ่นหลังๆน่าจะเริ่มแก้ไขปัญหานี้จากการที่ core code ของ android เองได้รับการแก้ไข แต่โทรศัพท์ที่ออกมาก่อนหน้านี้กว่าหลายร้อยล้านเครื่องก็มีสิทธิ์ที่จะโดนกันทั้งหมด และขึ้นกับแต่ละยี่ห้อว่าจะออกอัพเดทนี้ออกมาได้รวดเร็วเพียงใด
งานนี้สำหรับคนที่ไม่ลงแอพนอก Play Store หรือโหลด apk ใช้แอพแครก ก็หมดกังวลได้ ส่วนใครที่บอกว่าไฟล์ apk ปลอดภัยไม่มีปัญหาอะไรก็ระวังกันให้ดีๆ เพราะผมเคยลองไปหาไฟล์ apk ของแอพธรรมดาตัวนึง โหลดมา 5 ไฟล์ขนาดไม่เท่ากันเลยสักไฟล์…แล้วมันต่างกันที่ไหน?? หรือมันโดนดัดแปลงรึเปล่า?!?
และใครที่ใช้ Galaxy S4 แม้ตามข่าวจะบอกว่าปลอดภัย แต่เค้าก็ไม่ได้แจ้งว่าเป็นรุ่น i9505 (LTE) หรือ i9500 (3G) ที่ขายไหนไทยที่ปลอดภัย และไม่สามารถการันตีได้ด้วยว่าจะไม่มีช่องโหว่อื่นอีก ฉะนั้นหลีกเลี่ยงการลงแอพจากแหล่งอื่นที่ไม่ใช่ Play Store เป็นดีที่สุดครับ
สวัสดี
sources: Bluebox, CIO via engadget via AndroidSpin
ชอบบทความนี้ ^^ ไม่อยากให้มี Unknow Source ให้เลือกเลย
เป็นแหล่งก่อให้เกิดการปัญหามากใน android เลย
ยังมีความจำเป็นนะครับ เช่นเราจะลง app เฉพาะที่ใช้ในองค์กร ไม่นำลง market อะไรแบบนี้ ก็ทำได้สะดวก
ถึงปิดไป ก็ไม่ยากเกินไปที่จะ Hack มันกลับมาครับ
ผมใช้แต่แอพแท้ครับ แอพ *.apk ผมลงเฉพาะที่ไม่มีใน Google Play เช่น SopCast, IITC for Mobile
Photo editor + Movie maker บน note 1 ที่หายไปก็โหลดAPK มา
มัลแว นี่เอาใส่แกงกับอาหารไปกินที่ทำงานได้ใช่ป่าว
นั่นมันทับเปอร์แวร์!!
แล้ว adobe flash player ที่เป็น apk จะปลอดภัยป่าว
ถ้าโหลดจาก adobe เองก็น่าจะปลอดภัย แต่ถ้าใครทำตัวหวังดีเอาไป Host ไว้เป็นส่วนตัวก็อันตรายครับ
อยากให้มีระบบชำระเงินที่ดีกว่านี้ ไม่ใช่ทุกคนจะพกบัตรเครดิต โดยเฉพาะนักเรียนนักศึกษา
บัตรเดบิตก็ใช้ได้ครับ – –
ผมเป็นนักเรียน อายุแค่ 16 ยังใช้ได้เลย
จริงครับ แค่เป็นบัตรเดบิตที่มีระบบชำระเงินแบบวีซ่า ก็ซื้อได้แล้วครับ แต่บางธนาคารก็ใช้ไม่ได้ ที่ผมใช้อยู่เป็นของธนาคารกรุงเทพครับ ซื่้อได้ทุกเว็บ เหมือนบัตรเครดิตเลย แต่ต้อง Verified by Visa ก่อนนะครับ ถึงจะทำเหมือนบัตรเครดิตได้
ดีใจใช้ S4 รอด… อิๆๆ
ผมว่ามันไม่น่าจะมีทางป้องกันได้หรอกครับ S4 น่ะ
เพราะไม่เห็นทางซัมซุงจะบอกเรื่องนี้ซักคำ
โปรดฟังอีกครั้ง
ไม่ต้องรูทซิครับ เพราะ มัลแวร์ส่วนมากต้องการใช้สิทธิ์รูท
ที่ขนาดไฟล์ไม่เท่ากัน เพราะไฟล์มันคนละ เวอร์ชั่นกันครับ
แอพเถื่อนกับแอพถ่อยนี่ต่างกันมั้ยครับ
แหม่…. ยิงมาแต่ล่ะมุก 555+
แอพเถื่อน ก็แค่ไม่ได้โหลดมาจาก play store เฉยๆไม่จำเป็นต้อง ถ่อย ก็ได้ เดี๋ยวอธิบายรวมกันตอนหลัง…
แอพถ่อย … ถือเป็นศัพท์ใหม่เลยล่ะกัน ถ้าเอาไปจำกัดความถึง แอพที่เป็น มัลแวร์ ก็คงจะตรงตัวดี
—————————————————————————————
ส่วนความเห็นกับข่าวนี้
ผมว่าการโหลด apk แอพธรรมดาๆ มา 5 ไฟล์ แล้วขนาดไม่เท่ากันซักไฟล์ มีอีกปัจจัยหนึ่งคือ แอพฯ มันคนล่ะ เวอร์ชั่นกันก็ได้ ครับ
ต่อให้คนปล่อย apk จะระบุว่า เวอร์ชั่น เท่านี้ๆ ชัดเจน แต่บางที คนปล่อย apk ก็ไปรับมาจากที่อื่นๆอีกที ส่งต่อกันมาเป็นทอดๆ แล้วอาจจะไม่ได้ระบุอะไรไว้เลย ด้วยความที่มันอาจจะเยอะจัด เลยใส่ เลข เวอร์ชั่นเป็นล่าสุดไป งั้นๆ เพื่อดึงดูดให้คนมาหาเว็บของตัวเอง…..แต่ความจริงมัน อาจจะเป็น เวอร์ชั่นเก่า ก็เป็นได้ พอเอาไป install ดูถึงจะรู้ว่ามัน ไม่ตรงเวอร์ชั่นที่ต้องการ หรือ เก่าใหม่ไม่เหมือนกัน
พอสุดท้ายไปโหลดมาก็มีไฟล์ขนาดไม่เื้ท่ากัน
ผมก็ทำแบบ MOD แหละครับ โหลดมาจากหลายแหล่ง เพราะไม่ไว้ใจเหมือนกันแต่ผมใช้วิธีตรวจดู MD5 ถ้ามันตรงกันแล้วเป็นแอพฯ เวอร์ชั่นที่ต้องการ ก็ืถือว่า โอเค ยอมรับความเสี่ยง !!
** ผมตามล่าแอพฯ เวอร์ชั่นสุดท้าย สำหรับเครื่องแอนดรอยที่ไม่ได้ไปต่อ อยู่น่ะครับ แล้วเก็บสะสม backup ไว้เป็น set ส่วนตัวแล้วทำ MD5 ไว้ทุกแอพ ซึ่งแต่ล่ะแอพมันเคยโหลดมาจาก Market / PlayStore บางครั้ง เผลอไปลบ backup โดยไม่ได้ใจ (ติดนิสัย shift+delete) ถ้าจำเป็นต้องใช้ แอพ นั้นอีกจริงก็คงจำเป็นไปหาโหลดจากแหล่งอื่น แล้วมาเช็คกับ MD5 ที่มีล่ะครับ
แต่ก็ครับ แอพที่ผมพูดถึงเป็น Free แอพส่วนใหญ่จะไม่ค่อยมีปัญหาเรื่อง MD5
ถ้าเป็น Paid แอพที่ป้องกันมาดีๆ คงมีคน crack แล้วยังไง MD5 ของแอพ crack มันคงไม่มีทางเท่ากันจริงๆ อันนี้ก็คงต้องชั่งใจในความเสี่ยงเอาเองล่ะครับ
ปล.ส่วนแอพเวอร์ชั่นใหม่ล่าสุด เหอๆ ผมก็คงสารภาพว่าผมก็ไม่ได้เป็นคนดิบดีอะไรนักหรอกครับ เหอๆ 😛
————————-
edit#1
เอ้อ แต่แอบสงสัย Android 1.5 จะโดนไหมครับ แต่ว่าตกสำรวจไปแล้วแน่ๆเลย
พอดียังมี WellcoM A66 สภาพยังดีเป็นเครื่องสำรองไว้โทรทั่วไปอยู่ แต่ แอพฯ เวอร์ชั่นใหม่ มันก็เริ่มตัน หมดแล้ว
มีเหตุผลดีๆที่จะโหลด apk มาใช้เอง เช่น แอพ Seesmic (รายนี้ก็โดน hootsuite ควบกิจการไปแล้ว เสียดายมาก)
คือ Seesmic เป็นแอพที่ไม่ได้ระบุว่า "แตกต่างกันไปตามแต่ล่ะรุ่น" ทำให้ Android 1.5 ถ้าเผลอ uninstall ไปลำบากทันที
ถ้าเป็น Android 1.5 แนะนำว่า ดาวน์ลงมาใช้ v.1.7.3 ดีกว่า v.1.8.2 (มั้งครับที่เป็นสุดท้ายของ Android 1.5 จริงๆ)
เพราะเป็นเรื่องประหลาดที่มี Seesmic Pro (แอพ key ลงแยกเสริม) มาทีหลัง (ออกมาช่วง v.1.8.x) แล้วทะลึ่งกำหนดขั้นต่ำ Android 2.1 รุ่นเก่าก็เลย อดสิครับ
ฟังค์ชั่นที่ได้เพิ่มคือ All in one คือการอัพเดตทุกแอคเคาท์มาโชว์หน้าจอเดียว / เอาโฆษณาออกไป
ถ้าใช้แบบ Free มันมี บั๊กครับคือ รีเฟรช แล้วข้อความใหม่มาแล้ว พอจะเก็บไว้อ่าน offline มันก็ rollback ไปตอนยังไม่ได้ รีเฟรช น่าหงุดหงิดมาก
สารภาพเลยครับว่า ลองแอพแคร๊ก Seesmic แบบ No need key มาเป็น apk โดดๆลงตัวเดียวได้เลย เกิดเหตุประหลาดคือมันมีคุณสมบัติโปรจริงๆ (แล้วทำไม Pro ต้องกำหนดไว้ตั้ง Android 2.1 ด้วย)
เลยทำให้รู้ว่าที่ รีเฟช มาแล้วนะมันไปอยู่ในหน้า All in one คือถ้ามีหน้าจอนี้ แอคเคาท์แบบแยก ข้อมูลใหม่ก็ยังอยุ่ให้อ่าน offline ได้
นั้นแหละครับ
เป็นสาเหตุที่ให้ไล่ล่า apk (เก่า) จากแหล่งอื่นที่ไม่ใช่ playstore (คือนิสัยเสียอีกอย่าง คือ backup ไว้ก็จริงแต่เก็บแค่ v. ล่าสุด v.เก่ากว่า ลบทิ้งหมด)
เพราะ app มันเกี่ยวข้องกับ email/password ด้วยแค่ ให้ Seesmic เป็น 3rd party ก็เกินพอแล้วครับ แอพฯแคร๊กมาคงเป็น 4th – 5th – 69 party นู้นล่ะ (555+ ถ้าใช้ความหมายคำศัพท์เฉพาะผิด ขออภัยด้วยนะ)
สำหรับ Seesmic เลยแนะนำว่า Android 1.5 ควรใช้แค่ v.1.7.3 เพราะมันไม่มีปัญหาที่กล่าวมา ซึ่งมันก็ไม่มีให้โหลดแล้ว คงต้องหา apk มาเอง **และบังเอิญโชคดีว่า MD5 ตรงกับของเดิม** (แต่รู้สึกว่าเว็บหลัก FB/TWT เปลี่ยนวิธี login ใหม่แล้วคงจะ add ID ใหม่ไม่ได้แล้วมั้ง ของผมก็ ลากยาวมาอย่างนั้น ไม่ได้ add อะไรใหม่ก็ยัง รีเฟช/โพส ข้อความได้อยู่)
แล้ว Hootsuite คงไม่แก้ Seesmic เป็น "แตกต่างกันไปตามแต่ล่ะรุ่น" ด้วย (คงเป็นปัญหาเรื่องการ add ID ใหม่) เพราะเห็นเชียร์ให้ย้ายไปหา เจ้านกฮูก อยู่
ส่วนเจ้านุกฮูก… น่าอัศจรรย์มาก… ยังมีอัพเดตแล้ว รองรับ Android 1.5 อยู่ แต่ผมไม่ชอบฟังค์ชั่นเจ้านกฮูกเลย มันไม่สะดวกเท่า ถึงจะรองรับโซเชียลฯ หลายเจ้าก็ตาม แต่ผมก็เล่นไม่เกิน FB/TWT อ่ะครับ จริงๆเน้นไปทาง FB มากกว่า
จบไปตัวอย่างหนึ่ง ยังมีอีกหลายๆกรณีจำเป็นแต่ ช่างมันก่อนเถอะ ยังไงก็ มีความคิดว่า ไม่ควรเสี่ยงโหลด apk มาลงเองโดยไม่จำเป็นครับ 🙂
ยาวไปไหน …
55555 เผลอตัว พรั่งพรู โดยธรรมชาติน่ะครับ 🙂
ลำบากมากในการจ่ายตังค์ อยากให้หักผ่านซิมได้จุง !