ga
Líne Chabhrach Seirbhíse
D’fhéadfadh forbróirí fógraí aníos cráite nó ionsaithe fioscaireachta a chur isteach in aipeanna soghluaiste trí locht dearaidh in Android, de réir taighdeoirí.
LAS VEGAS–Tá locht dearaidh in Android aimsithe ag taighdeoirí, dar leo, a d’fhéadfadh coirpigh a úsáid chun sonraí a ghoid trí fhioscaireacht nó a d’fhéadfadh fógróirí a úsáid chun fógraí aníos cráite a thabhairt chuig fóin.
Dúirt Nicholas Percoco, leas-uachtarán sinsearach agus ceann SpiderLabs ag Trustwave, roimh a chur i láthair ar an taighde ag comhdháil haiceálaithe DefCon inniu, gur féidir le forbróirí aipeanna a chruthú a bhfuil cuma neamhdhíobhálach orthu ach a fhéadann leathanach logála isteach bréige d’aip bhainc a thaispeáint, mar shampla, nuair a bhíonn an t-úsáideoir ag baint úsáide as an aip bhainc dhlisteanach.
Faoi láthair, ní dhéanann aipeanna ar mian leo cumarsáid a dhéanamh leis an úsáideoir agus aip eile á breathnú ach foláireamh a bhrú chuig an mbarra fógraí ag barr an scáileáin. Ach tá comhéadan ríomhchlárúcháin feidhmchlár i dTacar Forbartha Bogearraí Android ar féidir é a úsáid chun aip ar leith a bhrú chun tosaigh, a dúirt sé.
“Ligeann Android duit an caighdeán a shárú maidir le (bualadh) na gcnaipí ar ais,” a dúirt Sean Schulte, forbróir SSL (Secure Sockets Layer) ag Trustwave.
“Mar gheall air sin, tá an aip in ann an fócas a ghoid agus ní féidir leat an cnaipe ar ais a bhrú chun imeacht,” a dúirt Percoco, ag cur leis gur thug siad an Leochaileacht Goid Fócais ar an gceist.
Tá uirlis cruthúnais coincheapa cruthaithe ag na taighdeoirí atá ina cluiche ach a spreagann taispeántais bhréige do Facebook, Amazon, Google Voice, agus cliant ríomhphoist Google. Suiteálann an uirlis í féin mar chuid d’ualach laistigh d’aip dhlisteanach agus cláraíonn sí mar sheirbhís ionas go dtagann sí suas arís tar éis don ghuthán atosú, a dúirt Percoco.
I taispeántas a thaispeánann úsáideoir ag oscailt an aip agus ag feiceáil an scáileáin logála isteach do Facebook, is é an t-aon chomhartha go bhfuil rud éigin aisteach tarlaithe ná go mbrisfeadh an scáileán chomh tapaidh sin nach dtabharfadh go leor úsáideoirí faoi deara é. Cuireann an scáileán bréige ionad an scáileáin dhlisteanaigh go hiomlán, mar sin ní bheadh úsáideoir in ann a rá go bhfuil aon rud as áit.
Leis an locht dearaidh seo, is féidir le forbróirí cluichí nó aipeanna fógraí aníos spriocdhírithe a chruthú, a dúirt Percoco. D’fhéadfadh na fógraí a bheith cráite amháin, cosúil leis an gcuid is mó de na fuinneoga aníos, ach d’fhéadfaí iad a spriocdhíriú freisin chun fógra a thaispeáint nuair a bhíonn aip iomaitheora in úsáid, a dúirt sé.
“Mar sin tá an domhan ar fad fógraí ag troid lena chéile ar an scáileán indéanta anois,” a dúirt Percoco, a léirigh, in éineacht le Christian Papathanasiou, rootkit Android ag DefCon anuraidh.
Ní chuirfeadh an fheidhmiúlacht aon chomharthaí dearga ar fáil sna ceadanna a thaispeántar nuair a íoslódálann an t-úsáideoir an aip mar is feidhm dhlisteanach í d’aipeanna staid an ghutháin a sheiceáil sa rud ar a dtugtar an tSeirbhís Gníomhaíochta, de réir Schulte.
Dúirt Percoco gur labhair na taighdeoirí le duine éigin ag Google faoina gcuid torthaí cúpla seachtain ó shin agus gur admhaigh an duine go raibh fadhb ann agus dúirt sé go raibh an chuideachta ag iarraidh a fháil amach conas aghaidh a thabhairt uirthi gan cur isteach ar aon fheidhmiúlacht d’aipeanna dlisteanacha a d’fhéadfadh a bheith á húsáid.
Nuair a cuireadh ceist ar ionadaí Google le haghaidh tráchta, dúirt sé go ndéanfadh sé iniúchadh ar an ábhar.
Nuashonrú 8 Lúnasa, 2011 ag 3:50 pm PT Thug urlabhraí Google an ráiteas seo: “Is cumas inmhianaithe é aistriú idir feidhmchláir a úsáideann go leor feidhmchlár chun idirghníomhaíocht shaibhir idir feidhmchláir a spreagadh. Ní fhacamar aon aipeanna ag baint úsáide as an teicníc seo go mailíseach ar Android Market agus bainfimid aon aipeanna a dhéanann amhlaidh.”
Chomh maith leis sin, threoraigh urlabhraí Google CNET chuig AppLock Visidon mar shampla den chaoi a n-úsáidtear an fheidhmiúlacht sin. Úsáideann an aip teicneolaíocht aitheantais aghaidhe chun rochtain neamhúdaraithe ar chodanna de do ghuthán, amhail d’aip Gmail, a chosc. Dá ndéanfaí an fheidhmiúlacht a thuairiscítear sa leochaileacht sa sampla seo a úsáid go dlisteanach, shleamhnódh sé comhéadan iarrtha pasfhocail AppLock thar chomhéadan Gmail nuair a thapálann tú air. Ós rud é go n-úsáideann AppLock d’aghaidh mar a phasfhocal, shleamhnódh sé air, ligfeadh sé do d’aghaidh a bheith aitheanta mar an pasfhocal ceadaithe, agus ansin shleamhnódh sé ar shiúl.
Nuashonrú 8 Lúnasa, 2011 ag 7:40 pm PT Freagra Percoco ar ráiteas Google: “Ní hé athrú feidhmchláir an fhadhb. Is í an fhíorfhadhb ná cumas aipeanna eile a aithint cén aip atá sa tulra agus ansin cinneadh a dhéanamh léim os comhair na haipe sin atá ag rith gan cead a thabhairt don úsáideoir déanamh amhlaidh. Ní fheicimid ach an oiread conas a d’fhéadfaidís an difríocht idir aip mailíseach agus ceann dlisteanach a chinneadh ós rud é go mbeadh cuma beagnach mar a chéile orthu araon go dtí go dtuairisceoidh úsáideoir dóibh gur aip mailíseach í. Tá an seasamh ‘fan go dtí go dtuairiscítear aip lochtach sula mbaintear í’ contúirteach agus is dócha nach mbeidh aon toradh air mar go bhféadfadh ionsaitheoirí aipeanna a phostáil i bhfad níos tapúla ná mar a d’fhéadfadh Google iad a aithint agus a bhaint den Mhargadh.”
Chuir Seth Rosenblatt ó CNET leis an tuarascáil seo.
Foinse: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
