Adakah anda suka memuat turun dan mencuba pelbagai permainan dan aplikasi Android? Anda mungkin ingin memikirkan semula tabiat itu, atau sekurang-kurangnya terus berhati-hati. Kerentanan Android yang baru didedahkan bermaksud penjahat boleh menggunakan aplikasi yang nampaknya tidak berbahaya untuk menipu anda agar mereka memberi 'izin' untuk mengawal telefon atau tablet anda dan menonton semua yang anda lakukan dengannya.
Penyelidik di UC Santa Barbara dan Institut Teknologi Georgia baru-baru ini mendedahkan kelemahan yang mereka panggil Cloak & Dagger yang boleh membiarkan penjahat menggunakan kebenaran telefon anda sendiri terhadap anda. Ia berfungsi seperti ini: Anda memuat turun dan menjalankan aplikasi baru. Seperti yang dilakukan oleh banyak aplikasi, ia akan memunculkan layar pembuka yang meminta anda menyetujui sesuatu. Perkara itu boleh menjadi hampir semua perkara: Klik di sini untuk menonton video tutorial kami. Atau teruskan ke permainan. Tidak begitu pentingnya aplikasi yang sepertinya meminta anda lakukan. Apa yang sebenarnya dilakukannya adalah meminta kebenaran anda untuk kuasa pentadbiran yang membiarkannya menggunakan telefon anda untuk ... apa sahaja yang disukainya.
Bagaimana ia berjaya memperbodohkan anda? Menggunakan fitur Android yang disebut 'Draw over apps lain', di mana gambar atau kotak dialog muncul di atas semua perkara lain yang mungkin ada di layar peranti anda. 'Head chat' yang digunakan oleh Facebook Messenger adalah salah satu contoh bagaimana ini berfungsi.
Google secara rutin memberikan aplikasi hak untuk menggunakan aplikasi lain jika mereka memintanya. Mereka sangat berguna, tetapi gambar yang dibuat dengan bijak dapat diletakkan di atas peringatan Android mengenai pemberian izin yang luas kepada aplikasi, sambil membuatnya kelihatan baik-baik saja pada sesuatu yang sama sekali berbeza. Salah satu contohnya ialah dapat mengaktifkan fungsi kebolehaksesan. Itu membolehkan aplikasi jahat melihat dan merakam penekanan kekunci anda, kerana beberapa fungsi kebolehaksesan perlu dilakukan agar dapat berfungsi.
Video (senyap) ini menunjukkan cara kerjanya:
Apa yang boleh anda lakukan mengenainya? Sayangnya versi Android semasa tidak meminta kebenaran anda untuk aplikasi yang baru dipasang untuk menarik aplikasi lain. Oleh itu, untuk mengetahui sama ada anda terpengaruh, mulailah dengan memasuki Tetapan, mengklik aplikasi, dan kemudian mengklik tetapan dari senarai aplikasi (roda gigi di kanan atas). Di bahagian bawah senarai yang muncul, anda akan menemui 'Akses khas.' Klik untuk melihat aplikasi mana yang berhak menggambar aplikasi lain. Anda boleh mendapatkan maklumat terperinci mengenai kerentanan ini dan cara memeriksa peranti anda di sini .
Google telah mengetahui tentang kerentanan ini sejak beberapa lama - para penyelidik memberi tahu syarikat itu beberapa bulan sebelum memberitahu kami yang lain. Dan syarikat itu mengatakan bahawa ia dapat mengesan dan menyekat aplikasi Play Store yang memanfaatkannya. Oleh itu, tempat yang baik untuk memulakan adalah dengan mengelakkan memuat turun aplikasi Android dari tempat lain selain dari Play Store kecuali anda mengetahui dan mempercayai sumbernya. Dan harap Google dapat mencari jalan untuk menutup celah keselamatan ini tidak lama lagi.