Android 13 เตรียมล็อกสิทธิ์ Accessibility API เพิ่มเติมหากผู้ใช้ติดตั้งโปรแกรมนอกสโตร์

By: lew

on 5 May 2022 - 11:56 Tags:

Topics:

กูเกิลเริ่มทดสอบ Android 13 ตั้งแต่ต้นปีที่ผ่านมา ตอนนี้ Esper บริษัทให้บริการการจัดการอุปกรณ์แอนดรอยด์ก็ออกมาระบุว่า Android 13 จะจำกัดสิทธิ์ Accessibility API เพิ่มเติมหากผู้ใช้ติดตั้งแอปนอกสโตร์ เช่น Google Play หรือ F-Droid

Accessibility API นั้นเปิดให้นักพัฒนาสามารถช่วยควบคุมแอนดรอยด์ได้ตามความต้องการของคนกลุ่มต่างๆ เช่น ผู้ที่มีปัญหาการมองเห็นก็อาจใช้แอปช่วยอ่านหน้าจอ หรือบางแอปอาจจะช่วยควบคุม คลิกจุดต่างๆ ให้ผ่านอินพุตแบบอื่นๆ แต่ API นี้ก็เป็นสิทธิ์ระดับสูงทำให้แอปเห็นข้อมูลทุกอย่างของผู้ใช้ และสามารถควบคุมแทนผู้ใช้ได้ ทำให้มัลแวร์หลายตัวพยายามขอสิทธิ์เช่นนี้

ที่ผ่านมากูเกิลจำกัดการใช้ API นี้อย่างมาก นักพัฒนาที่จะอัพโหลดแอปขึ้น Google Play ต้องกรอกแบบฟอร์มชี้แจงความจำเป็น และขออนุญาตเพิ่มเติมจากปกติ แต่ก็ยังมีปัญหาอยู่เมื่อผู้ใช้โหลดโปรแกรมนอกสโตร์มาติดตั้งเอง

เมื่อผู้ใช้ติดตั้งแอปผ่าน APK เอง และแอปพยายามขอสิทธิ์จาก Accessibility API แทนที่ระบบจะแสดง pop-up เพื่อให้ผู้ใช้อนุญาต จะขึ้น pop-up เพียงว่า "Restricted setting" และไม่เปิดให้ผู้ใช้อนุญาตเข้าถึง API ทางเดียวที่จะเปิดได้คือต้องไปสั่ง "Allow restricted settings" ในหน้า App info ด้วยตัวเอง

ที่มา - Esper.io

No Description

ภาพโดย Pexels

Hiring! บริษัทที่น่าสนใจ

Blockdit

เราคือ บริษัท Tech Startup และ Digital Media ที่เติบโตเร็ว เราต้องคนเจ๋งๆ มาร่วมอุดมการณ์ไปด้วยกัน

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

Comments

By: tom789

on 5 May 2022 - 13:11 #1247707

กำจัด ก็ดีนะ แต่น่าจะให้อนุญาติเป็นรายๆไป

By: lew

on 5 May 2022 - 13:21 #1247709 Reply to:1247707

ถ้าแอปเข้า store ได้ ก็ใช้งานตามปกติได้ครับ ไม่ล็อกเฉพาะ Google Play ด้วยซ้ำไป ไม่ต่างจากการขออนุญาตเป็นรายๆ แต่อย่างใด

ถ้า sideload ก็ยังใช้งานได้ แค่เมนูอยู่ลึกมาก (ใต้เมนู 3 จุด)

lewcpe.com, @wasonliw

By: NoppawanConan

on 5 May 2022 - 14:25 #1247711

อย่างนี้ EU จะมองว่า Google หาเรื่องผูกขาดอีกมั้ยเนี่ย

แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: lew

on 5 May 2022 - 15:10 #1247716 Reply to:1247711

เห็นคุยกันใน YCombinator ว่าต้องเปิดช่องไม่ล็อกสนิท เพราะกลัวประเด็น EU นี่ล่ะครับ ทำได้แค่ยากหน่อย

lewcpe.com, @wasonliw

By: hisoft

on 5 May 2022 - 14:39 #1247712

อ่านทีแรกนึกว่าจะกำจัดเลยก็ผวาอยู่บ้าง พออ่านว่าติดตั้งผ่าน F-droid ก็ได้ หรือกระทั่ง sideload ก็ยังทำได้แค่ต้องเข้าลึกๆ หน่อย ยังดูโอเคดีครับ

By: rainhawk

on 5 May 2022 - 16:26 #1247724

ให้มันเปิดง่ายๆหน่อยไม่ได้เหรอนั้น

By: akira on 5 May 2022 - 17:16 #1247728 Reply to:1247724

เป็นวิธีห้ามแบบจิตวิทยาน่ะครับ บริษัท Tech พวกนี้เขาทำอะไรก็จะต้องสำรวจก่อน ถ้าห้ามทำตรงๆ แล้วทำให้เกิดปัญหาตามมาก็จะวิธีให้เข้าถึงยากๆ นี่แหล่ะครับ แต่อันไหนที่จะโปรโมทก็จะให้เข้าถึงง่ายๆ นิสัยของมนุษย์ส่วนใหญ่จะขี้รำคาญยากหน่อยก็จะไม่ทำแล้ว เป็นทฤษฎี Default ที่เขาวิจัยกันมาแล้ว

By: pepporony

on 5 May 2022 - 17:29 #1247731 Reply to:1247724

อีกอย่างถ้าเปิดยากๆหมายความว่าคนที่จะเปิดจริงๆน่าจะต้องรู้ว่ากำลังทำอะไรอยู่

By: hisoft

on 5 May 2022 - 18:01 #1247736 Reply to:1247731

+1 เพราะจะว่าไปอันนี้มันก็อันตรายจริงนั่นแหละ

By: tekkasit

on 5 May 2022 - 22:14 #1247763 Reply to:1247724

Accessibility API นี่มันให้อำนาจเยอะมาก สามารถอ่านข้อความแอพที่ผู้ใช้รันอยู่ได้ตลอดเวลา (อ่านหน้าจอให้คนที่มีปัญหาทางสายตา) รวมถึงแอพการเงิน อ่าน username/password ที่พิมพ์ในช่อง textbox ได้ (เพราะพิมพ์แทนผู้พิการ) รวมถึงสามารถสั่งพิมพ์แทนผู้ใช้ได้ (speech-to-text)

แอพประสงค์ร้ายหลายตัวพยายามจะหลอกขอเข้าถึงสิทธิ์ตรงนี้ ซึ่งผู้ใช้หลายคนเห็นคำเตือนก็กดส่งๆไป โดยไม่ตระหนักว่า แอเครื่องคิดเลย ทำไมต้องขอสิทธิ์ระดับนี้

By: lew

on 6 May 2022 - 10:02 #1247790 Reply to:1247724

ทำอยู่ครับ เวอร์ชั่นเดิมเปิดง่าย เขาเลยต้องปรับ

lewcpe.com, @wasonliw

By: iqsk131 on 5 May 2022 - 18:33 #1247738

ตอนแรกนึกว่าจะล๊อคแค่ Google Play Store ซึ่งถ้าเป็นแบบนั้นโดนฟ้องแน่ (ขนาด Epic แค่มีคำเตือนว่าขึ้นมาว่าลงแอปนอกสโตร์อาจไม่ปลอดภัยก็ฟ้องแล้ว เพราะงั้นเคสนี้ไม่พ้นโดนฟ้องแน่นอน) แต่ถ้าเปิดให้ App Store อื่นๆได้ด้วยก็อาจจะรอดแหละ

ในแง่ความปลอดภัยก็คงต้องดูอีกทีว่าแอปแบบไหนถึงสามารถเป็น App Store และให้สิทธิพวกนี้ (ต้นทางอาจจะมีบอกแต่ผมยังไม่ได้อ่านเพราะดูคร่าวๆแล้วค่อนข้างเทคนิคอยู่) แต่ต่อให้จะไม่ค่อยได้ผลในแง่ป้องกันแอปถูกปล่อย ผมว่ามันก็ค่อนข้างได้ผลในแง่การป้องกันดาวน์โหลดอยู่นะ (เพราะโหลดยุ่งยากขึ้น ต้องโหลด 2 ต่อ คนโหลดน่าจะต้องเอะใจไม่มากก็น้อยแหละ)

ส่วนในแง่ผลกระทบผมมองว่ามีได้มีดีมีเสียนะ ข้อเสียคือแอปบางประเภทจำเป็นต้องปล่อยผ่าน App Store เท่านั้น ถึงจะไม่ได้บังคับว่า Store ไหนแต่มันก็ทำให้ยากขึ้น อาจถูกมองว่ากีดได้ ส่วนข้อดีคือจากนี้ไปแอปจะเริ่มไปอยู่ใน App Store มากขึ้น จะได้มี App Store ที่เป็นคู่แข่ง Play Store มากขึ้น เพราะถ้าไม่บังคับแบบนี้ก็ต่างคนต่างปล่อยไม่ขึ้น Store ซักที

แต่ส่วนตัวผมว่าโอเคอยู่นะ ไม่ได้ถูกจำกัดมากเกินไปและได้ความปลอดภัยมาในระดับนึง

By: phoopa on 5 May 2022 - 19:17 #1247743

ได้เฉพาะ android 13 ส่วนเครื่องที่โดนแจกแพก็รั่วต่อไป

By: lew

on 6 May 2022 - 10:15 #1247792 Reply to:1247743

อันนี้มันไม่ใช่ "ช่องโหว่" นะครับ ของก็ต้องขอสิทธิ์เป็น dialog อยู่ดี เป็นแค่การปรับ UX ให้มันยากขึ้น เพื่อบอกผู้ใช้ว่ามันอันตรายจริงๆ

lewcpe.com, @wasonliw

By: Bigkung

on 6 May 2022 - 11:45 #1247805

Android สำหรับคนไม่แน่จริงหรือไม่ระวังตัวพอตัวใช้ App ทางการเงิน นี่รั่วเอาง่ายๆเลย ตั้งแต่ SMS ดักข้อมูลเลย หรือแม้แต่โดนฝังการดัก SMS ไปเลย ได้ยินแม่บอกว่าญาติที่รู้จักกดลิงค์ปุ๊บเงินไหลออกทันที ก็คิดว่าเป็นไปได้เรอะ กดปุ๊บเงินหายไปจากบัชชี 2 แสน คิดว่าน่าจะรั่วก่อนหน้ามานานมากแล้ว แค่เริ่ม hack จริงตอนนั้น
เอาจริงๆจะลำบากมากขนาดนั้น ก็ย้ายไปคุกกระจก จะได้ไม่ต้องเจออะไรมากยกเว้นแค่ SMS มาให้กรอกข้อมูลจากหน้าเว็บอีกต่อเท่านั้น ส่วนการดักข้อมูลจากในเรื่องเลยเป็นไปได้ยากกว่าเพราะทำอะไรพิศดารไม่ได้มาก เรื่องโหลด App จากภายนอกนี่ตัดทิ้งไปได้เลย

By: lew

on 6 May 2022 - 13:45 #1247818 Reply to:1247805

ผมว่าเอาแค่สองเรื่อง

อย่า sideload, อย่า root
factory reset ก่อนใช้งาน

ก็แทบไม่ต่างกันมากแล้วนะครับสำหรับคนทั่วไป แต่พอนึกออกว่าพอคนวงกว้างแค่สองข้อนี้ก็ทำกันไม่ได้แล้ว ซื้อโทรศัพท์พร้อมบริการ setup ให้เรียบร้อย แถมเกม 99 เกม :/

lewcpe.com, @wasonliw

Main menu