អ្នកជំនាញសន្តិសុខបានផ្តល់ព័ត៌មានពីរបកគំហើញគ្រោះថ្នាក់ដោយផ្ទាល់នៅក្នុងកម្មវិធី Google-for-android ដែលបានអនុញ្ញាតឱ្យហេគឃ័រទាញយកព័ត៌មាន និងប្រើប្រាស់កំណត់ត្រានៅលើ Google របស់អ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួល។
យោងតាមអ្នកអភិវឌ្ឍកម្មវិធី Oversecured app scanner បានឱ្យដឹងថា ហេគឃ័រអាចប្រើកំហសុ នេះខ្ទប់ព័ត៌មានគ្រប់ប្រភេទរួមមាន៖ សារ SMS, បញ្ជីទាក់ទង (contact lists), camera, microphone logs, ប្រវត្តិនៃការ call និងព័ត៌មានរស៊ើបផ្សេងៗទៀត។
កម្មវិធីដែលត្រូវបានវាយប្រហារត្រូវបានចាប់ផ្តើមនៅពេលដែលការវាយលុកបានសម្រេច។ បន្ទាប់មក វាមានវត្តមាននៅក្នុងកម្មវិធី Google ដោយឯករាជ្យ ទោះបីជាវាត្រូវបានលុបចោលក៏ដោយ ជាងនេះ ទៀត ហេគឃ័រអាចវាយប្រហារដោយមិនទាមទារឱ្យមានការយល់ព្រមពីអ្នកប្រើនោះទេ។
អ្នកវិភាគបានថ្លែងថាអ្នកផ្តល់មាតិកាដែលមាន Content-lengthandroid:grantUriPermissions=”true” មានអ្នកដោះស្រាយដែលអាចផ្តល់ការអនុញ្ញាតដល់កម្មវិធីដើម្បីអាន និងសរសេរឯកសារបាន៖ “កម្មវិធីក៏ប្រើ Google Play Core library ដូច្នេះហេគឃ័រសរសេរ module តាមចិត្ត module classes របស់ហេគឃ័រត្រូវបានបន្ថែម app’s ClassLoader ដែលរងផលប៉ះពាល់ដោយស្វ័យប្រវត្តិ”។
Google ផ្តល់ព័ត៌មានដល់អ្នកអភិវឌ្ឍថាកម្មវិធីដែលរងការវាយប្រហារដោយកំហុសទាំងនេះ អាចត្រូវ បានលុបចេញពី Google Play Store ទោះបីជាមានការផ្តល់សម្រាប់អ្នកអភិវឌ្ឍក្រុមហ៊ុនមួយរយៈ ដើម្បី upgrade កម្មវិធីដែលរងការវាយប្រហារក៏ដោយ។
ក្រុមហ៊ុនបានផ្តល់អនុសាសន៍ដល់អ្នកអភិវឌ្ឍឱ្យធ្វើការត្រួតពិនិត្យ Play Console របស់ពួកគេដើម្បី សុវត្ថិភាពនៅលើកម្មវិធីរបស់ពួកគេ និងស្នើសុំឱ្យធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ Google ក៏បានសន្និដ្ឋានថា មានមធ្យោបាយផ្សេងជាច្រើនដែលអាចធ្វើឱ្យកម្មវិធីដែលមានកំហុសមានលក្ខណៈឯកជន។
អ្នកអភិវឌ្ឍ Oversecured បានព្រមានពីគ្រោះថ្នាក់នៅក្នុងកម្មវិធីទូរស័ព្ទនាពេលថ្មីៗនេះ៖ “ស្ទើតែគ្រប់ កម្មវិធី Android បានទាញយកកូដពីបណ្ណាល័យដើម .iso or .dex files។ អ្នកអភិវឌ្ឍគួរតែយល់ថា ការ ធ្វើបែបនេះ វាគ្មានសុវត្ថិភាពទេ ខណៈពេលដែលក្រុមហ៊ុនបានផ្តល់សិទ្ធិក្នុងការ overwrite នៅពេល ប្រតិបត្តិកូដនៅក្នុងកម្មវិធីដែលងាយរងគ្រោះបែបនេះ”។ នៅពេលដែល Google កំពុងតែកែតម្រូវ កំហុស Oversecured បានរកឃើញបញ្ហាស្រដៀងគ្នានេះនៅក្នុងកម្មវិធីផ្សេងដូចជា TikTok ជាដើម។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២១ ខែមិថុនា ឆ្នាំ២០២១
ប្រែសម្រួលដោយ៖ កញ្ញា
