ஆடை & கத்தி சுரண்டல்: நீங்கள் தெரிந்து கொள்ள வேண்டியது

ஒரு புதிய ஆண்ட்ராய்டு சுரண்டல் க்ளோக் & டாகர் என வெளியிடப்பட்டது, அதன் பெயருக்கு உண்மையாக, கீஸ்ட்ரோக்குகளைத் திருடவும், தனிப்பட்ட தகவல்களை வெளியிடுவதில் பயனர்களை ஏமாற்றவும் இரண்டு ஆண்ட்ராய்டு அனுமதிகளைப் பயன்படுத்தி தவறான எண்ணம் கொண்ட பயன்பாடுகள் பயன்படுத்தக்கூடிய வழிகளை இது விவரிக்கிறது.

ஆனால் அது ஆபத்தானதா? அதை விரைவாக உடைப்போம்.

க்ளோக் & டாகர் என்றால் என்ன?

க்ளோக் & டாகர் என்பது இரண்டு சுரண்டக்கூடிய ஆண்ட்ராய்டு அனுமதிகளின் கலவையாகும், இது ஒரு தவறான நோக்கத்துடன் பயன்பாட்டின் மூலம் சுயாதீனமாக அல்லது தனித்தனியாகப் பயன்படுத்தப்படும்போது, ​​மோசமான விளைவுகளை ஏற்படுத்தும்.

இது ஜார்ஜியா இன்ஸ்டிடியூட் ஆப் டெக்னாலஜி மற்றும் கலிபோர்னியா பல்கலைக்கழக சாண்டா பார்பராவில் நான்கு நபர்கள் குழுவால் கருத்துருவின் ஆதாரமாக வெளியிடப்பட்டது.

இது ஒரு சுரண்டல் சுரண்டல் அல்ல, இன்றுவரை இதைப் பயன்படுத்தக்கூடிய பொதுப் பயன்பாடுகள் எதுவும் இல்லை.

இது எப்படி வேலை செய்கிறது?

அணியின் கூற்றுப்படி, க்ளோக் & டாகர் இரண்டு Android அனுமதிகளை - SYSTEM_ALERT_WINDOW ("மேலே வரையவும்") மற்றும் BIND_ACCESSIBILITY_SERVICE ("a11y") ஆகியவற்றைப் பயன்படுத்திக் கொள்கிறது - இது ஒன்றாக அல்லது தனித்தனியாக வேலை செய்யும் போது, ​​ஒரு பயன்பாட்டை "கேட்க" கடவுச்சொற்கள், இரண்டு காரணி அங்கீகார எண்கள் அல்லது தனிப்பட்ட தரவு போன்ற உரை உள்ளீட்டைத் திருடலாம்.

க்ளோக் & டாகர் என்பது Android சாதனங்களை பாதிக்கும் ஒரு புதிய வகை சாத்தியமான தாக்குதல்கள். தீங்கிழைக்கும் பயன்பாட்டை UI பின்னூட்ட வளையத்தை முழுவதுமாக கட்டுப்படுத்தவும் சாதனத்தை கையகப்படுத்தவும் இந்த தாக்குதல்கள் அனுமதிக்கின்றன - பயனருக்கு தீங்கிழைக்கும் செயல்பாட்டைக் கவனிக்க வாய்ப்பளிக்காமல். இந்த தாக்குதல்களுக்கு இரண்டு அனுமதிகள் மட்டுமே தேவைப்படுகின்றன, இது ப்ளே ஸ்டோரிலிருந்து பயன்பாடு நிறுவப்பட்டிருந்தால், பயனர் வெளிப்படையாக வழங்க தேவையில்லை, அதற்காக அவளுக்கு அறிவிக்கப்படவில்லை. இந்த தாக்குதல்கள் நடைமுறைக்குரியவை என்பதை எங்கள் பயனர் ஆய்வு சுட்டிக்காட்டுகிறது.

"மேலே இழுக்க" அனுமதி ஆண்ட்ராய்டு மேலடுக்கு அம்சம் என அழைக்கப்படுகிறது, மேலும் பேஸ்புக் மெசஞ்சர் மற்றும் சாம்சங்கின் சொந்த மல்டி விண்டோ அம்சம் போன்ற பல பயன்பாடுகளால் "சாளரங்களை" இயக்கவும், அவற்றைக் குறைக்கவும் மற்ற பயன்பாடுகளின் மேல் நகர்த்தவும் பயன்படுத்தலாம்.

சுரண்டல் எவ்வாறு செயல்படுகிறது?

இரண்டு அனுமதிகளும் Android 6.0 மார்ஷ்மெல்லோவில் தொடங்கிய Android இன் வெளிப்படையான அனுமதி வழங்கும் அமைப்பின் ஒரு பகுதியாக இல்லை என்பதால், தீங்கிழைக்கும் பயன்பாடு பதிவிறக்கம் செய்யப்படும்போது, ​​பயன்பாடு தானாகவே "மேலே வரைய" அனுமதியை வழங்க முடியும்.

அது நடந்தவுடன், பயன்பாடு திறந்தவுடன், கடவுச்சொற்களைப் போன்ற "ஃபிஷ்" உள்ளீட்டிற்கு பேஸ்புக் போன்ற நன்கு அறியப்பட்ட பயன்பாட்டின் மேல் ஒரு மேலடுக்கை உருவாக்க முடியும். இது Android விசைப்பலகையின் மேல் மேலடுக்காகவும், உள்ளிடப்பட்ட அனைத்து உரையையும் எடுக்கலாம்.

அணுகல் அனுமதி ஒரு பயனரை இயக்க கட்டாயப்படுத்துவது சற்று கடினம், ஆனால் குழு அதன் கருத்தின் ஆதாரம் பயனர்களை செயல்படுத்துவதற்கு மேலடுக்கு அனுமதியைப் பயன்படுத்தியது என்று கூறுகிறது. இரண்டும் இயக்கப்பட்டதும், "கடவுள் பயன்முறை" பயன்பாடு தொலைபேசியில் பயன்படுத்தப்படும் எந்தவொரு பயன்பாட்டிலிருந்தும் தரவைத் திருடக்கூடும்.

எல்லோரும் பாதிக்கப்பட்டுள்ளனர்

அண்ட்ராய்டு 5.0, 6.0 மற்றும் 7.0 உள்ளிட்ட அண்ட்ராய்டு 7.1.2 இன் சமீபத்திய வெளியீடு வரை, ஆண்ட்ராய்டின் அனைத்து பதிப்புகளையும் க்ளோக் & டாகர் பாதிக்கிறது.

அண்ட்ராய்டு 7.0 மற்றும் அதற்கு மேற்பட்டவை மேலடுக்கு சுரண்டல்களில் சிலவற்றை வேலை செய்வது சற்று கடினமாக்குகிறது, ஆனால் சில புத்தி கூர்மை இன்னும் அதைச் சுற்றி வரலாம்.

நீங்கள் கவலைப்பட வேண்டுமா?

இப்போது, ​​தீங்கிழைக்கும் நோக்கங்களுக்காக இந்த அனுமதிகளைப் பயன்படுத்திக் கொள்ளும் அறியப்பட்ட பயன்பாடுகள் எதுவும் இல்லை, இப்போது அவை பொதுவில் இருந்தாலும் அவை மாறக்கூடும். அனுபவத்தை மேம்படுத்த கூகிளின் கையை கட்டாயப்படுத்த குழு இந்த ஆராய்ச்சியை வெளியிட்டது, ஏனென்றால், மற்ற ஆண்ட்ராய்டு பாதிப்புகளைப் போலல்லாமல், இந்த சுரண்டல்கள் மென்பொருளில் உள்ள துளைகள் அல்லது பிழைகள் அல்ல, அனுமதிகளில் வடிவமைப்பு குறைபாடுகளை சாதகமாக பயன்படுத்துகின்றன.

உங்களைப் பாதுகாக்க நீங்கள் என்ன செய்ய முடியும்?

நீங்கள் பயன்படுத்தும் பயன்பாடுகளில் கவனமாக இருந்தால் இது உங்களுக்கு ஒரு பிரச்சினையாக இருக்காது.

அண்ட்ராய்டின் பாதுகாப்பு குறைபாடுகளால் பெரும்பாலும் செய்யப்படுகிறது, ஆனால் மேலடுக்கு அனுமதிகளை வழங்குவதில் நீங்கள் கவனமாக இருக்கும் வரை நீங்கள் கவலைப்பட வேண்டிய ஒன்றல்ல க்ளோக் & டாகர்.

க்ளோக் & டாகரின் சாத்தியமான விளைவுகளைத் தணிக்க, உங்கள் ஆண்ட்ராய்டு கணினியின் மேல் எந்த பயன்பாடுகளை மேலடுக்குகளை உருவாக்க முடியும் என்பதை மதிப்பாய்வு செய்வது நல்லது. Android இன் பெரும்பாலான பதிப்புகளில், அதை எப்படி செய்வது என்பது இங்கே:

1. Android அமைப்புகளைத் திறக்கவும்.
2. கீழே உருட்டி பயன்பாடுகளில் தட்டவும்.
3. மெனு அல்லது கோக் ஐகானைத் தட்டவும்.
4. சிறப்பு அணுகலைக் கண்டுபிடித்து தட்டவும். இது வழக்கமாக "மேம்பட்ட" தலைப்பின் கீழ் உள்ளது.
5. பிற பயன்பாடுகளில் வரைவதைத் தட்டவும். மேலே உள்ள அனுமதியைப் பயன்படுத்தி மேலடுக்குகளை உருவாக்கக்கூடிய பயன்பாடுகள் இவை.
6. நீங்கள் அடையாளம் காணாத எந்த பயன்பாடுகளையும் முடக்கு.

மேலும்: கேலக்ஸி எஸ் 8 இல் திரை மேலடுக்கை எவ்வாறு அணைப்பது

பீதி அடைய வேண்டாம்!

தீவிரமாக, நீங்கள் பதிவிறக்கும் பயன்பாடுகளைப் பற்றி கவனமாக இருந்தால் இது பெரிய விஷயமல்ல, குறிப்பாக கூகிள் இப்போது அதன் ப்ளே ப்ரொடெக்ட் சிஸ்டத்தைப் பயன்படுத்தி ஒவ்வொரு நாளும் தீம்பொருளுக்காக 50 பில்லியன் பயன்பாடுகளை ஸ்கேன் செய்கிறது.

கூகிள் இந்த சிக்கலை பொதுவில் தீர்க்கும் அல்லது பயன்பாட்டு மேலடுக்கில் என்ன செய்ய விரும்புகிறது என்பது குறித்து சில தெளிவுபடுத்தும் என்று நம்புகிறோம். புதிய ஏபிஐ மூலம் மேலடுக்கு சிக்கலை மறுசீரமைப்பதன் மூலம் அண்ட்ராய்டு ஓ இந்த சிக்கலை முற்றிலுமாக அகற்ற வேண்டும், ஆனால் முந்தைய பதிப்புகளில் உள்ள கவலையை எவ்வாறு தீர்க்க கூகிள் திட்டமிட்டுள்ளது என்பது தெளிவாக இல்லை.