By: mk 
on 18 July 2013 - 17:55
Tags:
จากกระทู้ ใครลองแอพ SCB UP2ME แล้วบ้าง? เขาเอาสิทธิ์ root ไปทำอะไรครับ? ของคุณ thedesp
ทางธนาคารไทยพาณิชย์ได้ส่งคำชี้แจงมาแล้ว ผมเอามาเผยแพร่ต่อโดยยกคำชี้แจงมาทั้งหมดเลยนะครับ
ขอฝากส่งคำชี้แจงสำหรับ thread blognone.com/node/46308 จากทาง SCB นะครับ
ทางเราขอสิทธิ์ super user เพราะทางทีม development คิดว่าเป็นวิธีที่หลบหลีกยากที่สุดในการเช็คว่าเครื่องไหนถูก root เพื่อเตือนความเสี่ยงที่อาจเกิดขึ้นกับผู้ใช้ ทั้งนี้หากผู้ใช้ยืนยันใช้ต่อ หลังที่ได้รับเตือน ผู้ใช้ยังสามารถใช้งาน app ได้ตามปกติ เหตุผลที่ต้องการเช็คเพราะว่าทางเราต้องการเตือนผู้ใช้หลายท่านที่ใช้เครื่อง root แต่อาจไม่ทราบว่าเครื่องที่ใช้อยู่มีความเสี่ยงครับ
อย่างไรก็ตาม ทางเราทราบว่ายังมีอีกหลายวิธีในการเช็คเครื่อง root โดยไม่จำเป็นต้องขอสิทธิ์ super user และได้รับฟังความคิดเห็นเพิ่มเติมจาก developer ชาว blognone เรื่องการนำสิทธิ์นี้ไปเช็ค ดังนั้นทางเราจะนำไปปรึกษากับทีม development เพิ่มเติมต่อไปครับ
รวมทั้งทางเราจะระบุเพิ่ม เรื่องการขอสิทธิ์ super user ใน application description ให้ชัดเจนครับ
ธนา โพธิกำจร
Tana Pothikamjorn (Tommy)
Head of Digital Banking
Siam Commercial Bank PCL.
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ก็ชัดเจนดีนะครับ ลองรอดูความเปลี่ยนแปลง
ตรงกระชับ เข้าใจ (และไม่มีคำขู่ทิ้งท้าย) เป็นคำชี้แจงที่ดีที่สุดเท่าที่เคยอ่านมา ;)
my blog
+10
ผมคิดว่าทางทีมพัฒนาคงจะกันไว้ทุกวิธีเลยเพื่อลดปัญหา fragmentation มั้ง
อ่านแล้วรู้สึกแตกต่างจากคำชี้แจงจากธนาคารออมสินจริงๆ
ขอบคุณครับ
ทำไหมผมอ่านแล้วรู้สึกว่า เหมือนคำแก้ตัวนะ หรือผมไม่ Get ในความคิดผม เกี่ยวกับเรื่องสิทธ์ Super User ไม่ควรมี แอพได้ที่ได้สิทธ์นี้ ดังนั้น ไม่ควรมีแอพได้ไปร้องขอหรือแกล้งหวังดี เพราะบางครั้ง คนไม่รู้เรื่อง อ่านไม่ออก กด โอเคไป มันจะเกิดอะไรขึ้น!!!
ผมไม่เคยเห็น End-user ที่ไม่อ่านอะไรรูทเครื่องนะครับ
Blog | Twitter
+1
รอบตัวผมเยอะนะ
รูทคืออะไรก็ไม่รู้ แต่ร้านถามตอนซื้อว่า "รูทด้วยมั้ย"
พอร้านเสนอมาก็ไม่ขัดศรัทธา
ร้าน said: "ใส่นมมั้ย ใส่ไข่มั้ย?"
เรา said: "ใส่ๆๆ มีอะไรใส่มาให้หมด" :D
ยินดีที่ได้รู้จักครับ ^ ^
ปล.อ่านบ้างไม่อ่านบ้างนะครับ ไม่ถึงกับกดผ่านทุกครั้ง บางอันมีตัวแดงๆ เช่นพวกอาจจะเสียเงินค่า sms ที่เค้าเตือน หรือพวก wallpaper หรือ ไอคอนที่ไม่ขอ permission อะไรเลย ก็จะชะงักดูนิดนึง
ถ้าไม่ขอสิทธ์ root จะรู้เหรอครับว่าเครื่องให้สิทธ์ได้หรือไม่ (เชคด้วยวิธีอื่นอาจไม่ 100%) ถ้าให้ได้แปลว่า app อื่นก็มีสิทธ์ขอ และอาจจะใช้สิทธ์นั้นแซกแซงการทำงานของระบบ (root คือพระเจ้าสำหรับ Linux นะครับ มีสิทธ์เหนือ Administrator บน windows หลายเท่า ดังนั้น app ธนคารอาจโดน app อื่นหรือ virus ใช้ root เพื่อขโมยข้อมูลทางการเงิน)
จริงๆ แล้วด้วย library ก็ได้ใกล้ๆ 100% นะผมว่า
เดี๋ยวหาข้อมูลแป๊บ :P
มาละ https://github.com/dschuermann/root-commands
ผมว่าดีไม่ดี SCB จะใช้ lib ตัวนี้ด้วยซ้ำครับ เดาเอาล้วนๆ
กดโอเคไปแล้วมันจะเกิดอะไรขึ้นเหรอครับ?
สุดยอดธนาคารเลยครับ ชอบมาก ผิดก็ออกมาอธิบายชัดเจน คนไทยให้อภัยกันอยู่แล้ว
อ่าวไม่ใช่แค่นี้ก้อเชคเครื่อง Root ได้แล้วหรอครับ
Process process = null;
try{
process = Runtime.getRuntime().exec("su");
return true;
} catch (Exception e) {
return false;
}
คำสั่งนั้นก็เป็นการขอสิทธิ root ที่ทำให้เกิดข่าวนี้ไงครับ
ไม่ใช่นะครับ ที่เค้าทำเปนอันนี้มากกว่า
android.permission.ACCESS_SUPERUSER
ประกาศไว้ที่ Manifest file
แถมไอcode ด้านบนก้อรันได้เลยไม่ต้องขอ PERMISSION ด้วยสักนิด
code ด้านบนเป็น code ในการขอ su permission ซึ่ง permission ที่ผมพูดถึงนั้นไม่ใช่ uses-permission ที่ manifest ครับ ผมหมายถึงหน้าจอ grant su ให้กับ app ครับ
ส่วนที่ผมคิดว่าไม่น่าใช่ android.permission.ACCESS_SUPERUSER เป็นเพราะว่าถ้าเอาไปรันบนเครื่องที่ไม่ได้ root มันจะมีปัญหาครับ
ถ้า rename su ล่ะ?
^
^
that's just my two cents.
ก็ Catch exception ไงครับ(เครื่องที่ไม่ได้ root นะ)
พูดถึงกรณีเครื่องรูทสิครับ
ถ้า rename su เป็น hoorayhahajukkroooo
code ข้างบนก็ตรวจสอบไม่ได้สิ ทั้งๆ ที่เครื่องรูท?
^
^
that's just my two cents.
ถ้าเครื่องไม่ได้ root ก็จะไม่ขึ้น?
ผมว่าวิธีนี้ยอมรับได้นะ เพราะเห็นแอพที่ต้องการความปลอดภัยสูงของต่างประเทศเค้าก็ทำกัน
อย่าง Blizzard Battle.net Authenticator ก็ขอสิทธิ์เพื่อขึ้นเตือนเฉยๆ หรือ Barclays Mobile App นี่ถ้าเครื่องรูทใช้ไม่ได้เลย ทั้งคู่พอเปิดแอพมาก็ขอสิทธิ์เลย
เอิ่ม ผมว่าคุณโดนซะแล้วล่ะ
ผมก็มี Battle.net Authenticator นะ เครื่องผมก็รูทแล้ว แล้วเท่าที่จำได้มันก็ไม่เคยขอสิทธิ์รูทนะ แถมลองไปตรวจกับแล้ว SuperSU ผมก็ไม่เคยให้สิทธิ์มันด้วย
ผมเคยใช้ Battle.net Authenticator เมื่อสักตอนยุค Wings of Liberty ออกมาไม่นานและมันขอ root ครับ ตอนนี้ไม่ได้ใช้แล้ว
battle.net authenticator ไม่มี root check ขึ้นเตือนแน่นอนครับ ใช้อยู่ ไม่เคยเจอจริงๆ
เคยมีครับ ผมก็ใช้อยู่ตั้งแต่มันออกมาให้โหลดเลย มันก็มีขึ้นมาขอ su permission ครับ (ตามด้วยคำเตือน เครื่อง root โดนแฮคเราไม่รับผิดชอบ)
เท่าที่อ่าน น่าจะสรุปได้ว่าคนละยุคสมัยกัน
ช่วงนึงมีใช้จริงๆ แล้วก็ถอดออกตอนหลัง
ป.ล. ตอน Diablo III ออก ผมใช้ก็ไม่มีขอสิทธิ์ root ครับ
ขอวิจารณ์ตรงๆ
มาตรงๆ ขอกระตุ้นกันตรงๆ คงไม่ว่ากัน
*หากใครอยากทราบว่า APK แต่ละตัวนำสิทธิ์ SuperUser ไปทำอะไรจริงๆ สามารถ reverse engineer ด้วย ******* ดูได้
edited - ลบชื่อโปรแกรม
ฟังไม่ขึ้นยังไงน่าจะให้เหตุผลด้วยครับ
คำถาม ... คุณลองดู code หรือยังครับ? ผมไม่อยากให้พูดโดยไร้หลักฐาน เพราะถ้าคุณพูดพูดโดยไร้หลักฐาน ก็มีสิทธิโดนสอยร่วงด้วยทีมกฏหมายของทางธนาคารได้นะครับ (แต่ผมคิดว่าทาง SCB ไม่น่าจะดำเนินคดีหรอก)
ขอบคุณที่แนะนำครับ
ขอขยายความข้อ 1 ครับ
"ฟังไม่ขึ้น" ในความหมายผมคือ "ยังมีอีกหลายวิธีในการเช็คเครื่อง root โดยไม่จำเป็นต้องขอสิทธิ์ super user " เท่านั้นครับ
ซึ่งจะไปขยายความ ข้อ 3 ด้วยตัวเอง
สำหรับข้อ 2 "ต้องปรับโปรแกรมทันที" เป็นข้อวิจารณ์เสนอแนะของผม เพื่อสร้างความเชื่อมั่นให้กับลูกค้า และลดความเสี่ยงจากความผิดพลาดของโปรแกรม (ถ้ามี) (ลักษณะเดียวกับ UAC ของ W7)
สำหรับที่ผมแนะนำเรื่องกระบวนการ decompilation นั้น, สามารถทำได้กับ APK ทุกตัว (AFAIK) เพื่อประโยชน์ได้ทั้งทางบวกใช้ในการศึกษา หรือ ทางลบหากไม่หวังดีได้เช่นเดียวกัน การแนะนำนี้ไม่เฉพาะเจาะจง หรือ มุ่งร้ายต่อโปรแกรมในกระทู้แต่อย่างใด
สำหรับคำถาม "คุณลองดู code หรือยังครับ?" ขอตอบว่า ผมยังไม่ได้ดูครับ
edited - ขอโทษครับ ตั้งใจตอบคำถามคุณ PaPaSek แต่กด reply ผิดครับ
ผมคิดว่า การขอสิทธิ์ Superuser เป็นกระบวนการเช็ค Root .. ที่ ชัวร์ที่สุดที่มีให้เลือกใช้จริงอย่างที่เค้าว่า
แต่ความเป็นจริง App ตัวนี้ควรเขียน Disclaimer ให้ชัดเจนว่า เมื่อได้รับการร้องขอสิทธิ์ ให้ผู้ใช้ทำการ Deny ไปโดยไม่มีผลกระทบต่อการใช้งาน
เป้าหมายของกิจกรรมนี้คือคน Root .. และคน Root พึงอ่านก่อนทำอะไรซักอย่างอยู่แล้ว)