Cymraeg
Llinell Gymorth Gwasanaeth
Gallai datblygwyr sleifio hysbysebion naidlen neu ymosodiadau gwe-rwydo annifyr i apiau symudol trwy ddiffyg dylunio yn Android, yn ôl ymchwilwyr.
LAS VEGAS–Mae ymchwilwyr wedi darganfod yr hyn maen nhw’n ei alw’n nam dylunio yn Android y gallai troseddwyr ei ddefnyddio i ddwyn data trwy we-rwydo neu gan hysbysebwyr i ddod â hysbysebion naidlen annifyr i ffonau.
Gall datblygwyr greu apiau sy’n ymddangos yn ddiniwed ond a all arddangos tudalen mewngofnodi ap banc ffug, er enghraifft, pan fydd y defnyddiwr yn defnyddio’r ap banc cyfreithlon, meddai Nicholas Percoco, uwch is-lywydd a phennaeth SpiderLabs yn Trustwave, cyn ei gyflwyniad ar yr ymchwil yng nghynhadledd hacwyr DefCon heddiw.
Ar hyn o bryd, mae apiau sydd eisiau cyfathrebu â’r defnyddiwr tra bod ap gwahanol yn cael ei weld yn gwthio rhybudd i’r bar hysbysiadau ar frig y sgrin. Ond mae rhyngwyneb rhaglennu cymwysiadau ym Mhecyn Datblygu Meddalwedd Android y gellir ei ddefnyddio i wthio ap penodol i’r blaendir, meddai.
“Mae Android yn caniatáu ichi ddiystyru’r safon ar gyfer (taro) y botymau yn ôl,” meddai Sean Schulte, datblygwr SSL (Secure Sockets Layer) yn Trustwave.
“Oherwydd hynny, mae’r ap yn gallu dwyn y ffocws ac nid ydych chi’n gallu taro’r botwm yn ôl i adael,” meddai Percoco, gan ychwanegu eu bod nhw wedi enwi’r broblem yn Bregusrwydd Dwyn Ffocws.
Mae’r ymchwilwyr wedi creu teclyn prawf-o-gysyniad sy’n gêm ond sydd hefyd yn sbarduno arddangosfeydd ffug ar gyfer Facebook, Amazon, Google Voice, a chleient e-bost Google. Mae’r teclyn yn gosod ei hun fel rhan o lwyth tâl y tu mewn i ap cyfreithlon ac yn cofrestru fel gwasanaeth felly mae’n ymddangos eto ar ôl i’r ffôn ailgychwyn, meddai Percoco.
Mewn demo sy’n dangos defnyddiwr yn agor yr ap ac yn gweld y sgrin mewngofnodi ar gyfer Facebook, yr unig arwydd bod rhywbeth rhyfedd wedi digwydd yw sgrîn sy’n symud mor gyflym fel na fyddai llawer o ddefnyddwyr yn sylwi. Mae’r sgrin ffug yn disodli’r un ddilys yn llwyr, felly ni fyddai defnyddiwr yn gallu dweud bod unrhyw beth allan o le.
Gyda’r nam dylunio hwn, gall datblygwyr gemau neu apiau greu hysbysebion naidlen wedi’u targedu, meddai Percoco. Gallai’r hysbysebion fod yn annifyr yn unig, fel y mae’r rhan fwyaf o ffenestri naidlen, ond gallent hefyd gael eu targedu i ddangos hysbyseb pan fydd ap cystadleuydd yn cael ei ddefnyddio, ychwanegodd.
“Felly mae’r byd cyfan o hysbysebion yn ymladd â’i gilydd ar y sgrin yn bosibl nawr,” meddai Percoco, a ddangosodd, ynghyd â Christian Papathanasiou, becyn gwraidd Android yn DefCon y llynedd.
Ni fyddai’r swyddogaeth yn codi unrhyw faneri coch yn y caniatâd a ddangosir pan fydd y defnyddiwr yn lawrlwytho’r ap oherwydd ei bod yn swyddogaeth gyfreithlon i apiau wirio cyflwr y ffôn yn yr hyn a elwir yn Wasanaeth Gweithgaredd, yn ôl Schulte.
Dywedodd Percoco fod yr ymchwilwyr wedi siarad â rhywun yn Google am eu canfyddiadau ychydig wythnosau yn ôl a bod yr unigolyn wedi cydnabod bod problem a dywedodd fod y cwmni’n ceisio darganfod sut i fynd i’r afael â hi heb dorri unrhyw swyddogaeth apiau cyfreithlon a allai fod yn ei defnyddio.
Pan gysylltwyd ag ef am sylwadau, dywedodd cynrychiolydd Google y byddai’n ymchwilio i’r mater.
Diweddariad 8 Awst, 2011 am 3:50 pm PT Darparodd llefarydd ar ran Google y datganiad hwn: “Mae newid rhwng cymwysiadau yn allu dymunol a ddefnyddir gan lawer o gymwysiadau i annog rhyngweithio cyfoethog rhwng cymwysiadau. Nid ydym wedi gweld unrhyw apiau’n defnyddio’r dechneg hon yn faleisus ar Android Market a byddwn yn tynnu unrhyw apiau sy’n gwneud hynny.”
Cyfeiriodd llefarydd Google CNET hefyd at AppLock Visidon fel enghraifft o sut mae’r swyddogaeth honno’n cael ei defnyddio. Mae’r ap yn defnyddio technoleg adnabod wynebau i atal mynediad heb awdurdod i rannau o’ch ffôn, fel eich ap Gmail. Byddai defnydd cyfreithlon o’r swyddogaeth a ddisgrifir yn y bregusrwydd yn yr enghraifft hon yn llithro rhyngwyneb gofyn am gyfrinair AppLock dros ryngwyneb Gmail pan fyddwch chi’n ei dapio. Gan fod AppLock yn defnyddio’ch wyneb fel ei gyfrinair, byddai’n llithro ymlaen, yn caniatáu i’ch wyneb gael ei adnabod fel y cyfrinair cymeradwy, ac yna’n llithro i ffwrdd.
Diweddariad 8 Awst, 2011 am 7:40 pm PT Ymateb Percoco i ddatganiad Google: “Nid newid apiau yw’r broblem. Y gwir broblem yw gallu apiau eraill i adnabod pa ap sydd yn y blaendir ac yna penderfynu neidio o flaen yr ap rhedeg hwnnw heb i’r defnyddiwr roi caniatâd iddo wneud hynny. Hefyd, nid ydym yn gweld sut y gallent benderfynu ar y gwahaniaeth rhwng ap maleisus ac un cyfreithlon gan y byddent ill dau yn edrych bron yn union yr un fath nes bod defnyddiwr yn ei riportio iddynt fel un maleisus. Mae’r safbwynt ‘aros nes bod ap yn cael ei riportio’n ddrwg cyn ei dynnu’ yn beryglus ac mae’n debygol y bydd yn ymdrech ddi-ffrwyth gan y gallai ymosodwyr bostio apiau yn llawer cyflymach nag y gallai Google eu hadnabod a’u tynnu o’r Farchnad.”
Cyfrannodd Seth Rosenblatt o CNET at yr adroddiad hwn.
Ffynhonnell: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
