ခြင့္ျပဳခ်က္မရွိဘဲ သုံးစြဲသူအခ်က္အလက္ကို Android App ေတြ စုေဆာင္းေန

[ Zawgyi ]

Android app ေထာင္ေပါင္းမ်ားစြာ သုံးစြဲသူရဲ႕ ခြင့္ျပဳခ်က္မရွိဘဲ ဖုန္းကုိ ရွာေဖြေျခရာခံဖို႔ အခ်က္အလက္ေတြကုိ ရယူေနတယ္လို႔ စစ္တမ္းသစ္တစ္ခုက ေဖာ္ျပခဲ့ပါတယ္။

App ေတြက side နဲ႔ covert channel ေတြကိုအသုံးျပဳၿပီး app permission ေတြကုိ လွည့္စားေနတာကို UC Berkley, ကယ္ဂယ္ရီတကၠသုိလ္နဲ႔ စပိန္ႏိုင္ငံက IMEDA Networks အဖြဲ႕အစည္းတို႔က ေတြ႕ရွိခဲ့ပါတယ္။ Side channel ေတြက permission မလုိဘဲ ကာကြယ္ထားတဲ့ အခ်က္အလက္ေတြကုိ ရရွိခြင့္ျပဳသလုိ cover channel ေတြကေတာ့ app ႏွစ္ခု ဆက္သြယ္တဲ့အခါ အသုံးျပဳပါတယ္။

စစ္တမ္းမွာ US Google Play Store က app ၈၈,၀၀၀ ေက်ာ္ကုိေလ့လာခဲ့ၿပီး အခ်က္အလက္စုေဆာင္းတဲ့ app ေတြထဲမွာ Samsung (Health နဲ႔ Browser) နဲ႔ Disney (Hong Kong Disneyland park) တုိ႔ ပါဝင္လာပါတယ္။ App သန္းေပါင္းမ်ားစြာဟာ အခ်က္အလက္ေတြ စုေဆာင္းေနပါတယ္။
Samsung နဲ႔ Disney app ေတြဟာ တ႐ုတ္ကုမၸဏီ Baidu နဲ႔ အခ်က္အလက္ ေလ့လာဆန္းစစ္ေရးကုမၸဏီ Salmonads က software development kits (SDKs) ကုိ အသုံးျပဳခဲ့ၾကပါတယ္။ ဒါေၾကာင့္ app ေတြအၾကား အခ်က္အလက္ကုိ လႊဲေျပာင္းႏိုင္သလို ဖုန္းေပၚက storage ကတစ္ဆင့္ ကုမၸဏီေတြရဲ႕ဆာဗာေတြအၾကား အခ်က္အလက္ကုိ လႊဲေျပာင္းေပးႏိုင္ပါတယ္။

စစ္တမ္းမွာ Shutterfly app အေၾကာင္း အေသးစိတ္ေဖာ္ျပခဲ့ပါတယ္။ အဲဒီ app ဟာ တည္ေနရာ permission မရွိဘဲ ကုိယ္ပုိင္ဆာဗာဆီ geolocation အခ်က္အလက္ အတိအက်ကို ေပးပုိ႔ေနတယ္လို႔ သိရပါတယ္။ အဲဒီေျပာဆုိခ်က္ေတြကုိ ကုမၸဏီက ျငင္းဆိုခဲ့ၿပီး permission ရွိမွပဲ သုံးစြဲသူ အခ်က္အလက္ေတြစုေဆာင္းတယ္လို႔ ေျပာခဲ့ပါတယ္။

စိုးထက္
Ref: PCMag

[ Unicode ]

Android app ထောင်ပေါင်းများစွာ သုံးစွဲသူရဲ့ ခွင့်ပြုချက်မရှိဘဲ ဖုန်းကို ရှာဖွေခြေရာခံဖို့ အချက်အလက်တွေကို ရယူနေတယ်လို့ စစ်တမ်းသစ်တစ်ခုက ဖော်ပြခဲ့ပါတယ်။

App တွေက side နဲ့ covert channel တွေကိုအသုံးပြုပြီး app permission တွေကို လှည့်စားနေတာကို UC Berkley, ကယ်ဂယ်ရီတက္ကသိုလ်နဲ့ စပိန်နိုင်ငံက IMEDA Networks အဖွဲ့အစည်းတို့က တွေ့ရှိခဲ့ပါတယ်။ Side channel တွေက permission မလိုဘဲ ကာကွယ်ထားတဲ့ အချက်အလက်တွေကို ရရှိခွင့်ပြုသလို cover channel တွေကတော့ app နှစ်ခု ဆက်သွယ်တဲ့အခါ အသုံးပြုပါတယ်။

စစ်တမ်းမှာ US Google Play Store က app ၈၈,၀၀၀ ကျော်ကိုလေ့လာခဲ့ပြီး အချက်အလက်စုဆောင်းတဲ့ app တွေထဲမှာ Samsung (Health နဲ့ Browser) နဲ့ Disney (Hong Kong Disneyland park) တို့ ပါဝင်လာပါတယ်။ App သန်းပေါင်းများစွာဟာ အချက်အလက်တွေ စုဆောင်းနေပါတယ်။
Samsung နဲ့ Disney app တွေဟာ တရုတ်ကုမ္ပဏီ Baidu နဲ့ အချက်အလက် လေ့လာဆန်းစစ်ရေးကုမ္ပဏီ Salmonads က software development kits (SDKs) ကို အသုံးပြုခဲ့ကြပါတယ်။ ဒါကြောင့် app တွေအကြား အချက်အလက်ကို လွှဲပြောင်းနိုင်သလို ဖုန်းပေါ်က storage ကတစ်ဆင့် ကုမ္ပဏီတွေရဲ့ဆာဗာတွေအကြား အချက်အလက်ကို လွှဲပြောင်းပေးနိုင်ပါတယ်။

စစ်တမ်းမှာ Shutterfly app အကြောင်း အသေးစိတ်ဖော်ပြခဲ့ပါတယ်။ အဲဒီ app ဟာ တည်နေရာ permission မရှိဘဲ ကိုယ်ပိုင်ဆာဗာဆီ geolocation အချက်အလက် အတိအကျကို ပေးပို့နေတယ်လို့ သိရပါတယ်။ အဲဒီပြောဆိုချက်တွေကို ကုမ္ပဏီက ငြင်းဆိုခဲ့ပြီး permission ရှိမှပဲ သုံးစွဲသူ အချက်အလက်တွေစုဆောင်းတယ်လို့ ပြောခဲ့ပါတယ်။

Ref: PCMag