Veli losinj

0
Rate this post

Lijepljenje

  • Dobijte referencu na uslugu sustava međuspremnika
  • Provjerava postoje li podaci u međuspremniku pomoću metode hasPrimaryClip().
  • Koristite metodu getPrimaryClip().getItemAt(0) za pristup podacima unutar međuspremnika i rukovanje njima

Izgleda super jednostavno. Svaka aplikacija može dobiti referencu na ovu uslugu bez potrebe za bilo kakvom vrstom dopuštenja.Za one koji nisu upoznati s programiranjem za Android, prilikom implementacije aplikacije programer mora koristiti alate koje pruža okvir za podršku funkcionalnosti međuspremnika putem metoda klasa usluge Clipboard.

Vrijedi zapamtiti da od Androida 10 samo aplikacija koja je u prvom planu može pristupiti međuspremniku i čitati/uređivati ​​njegov sadržaj.

Sada dobro pogledajte točku 2.b:

Provjerava postoje li podaci u međuspremniku pomoću metode hasPrimaryClip().

Aplikacija (u prvom planu za Android 10+) ne mora nužno koristiti značajku međuspremnika, ali i dalje može neprestano ispitivati ​​sadržaj međuspremnika. Ne samo to; također je moguće modificirati sve prisutne podatke.

Sada se vratimo na našu bezopasnu aplikaciju za svjetiljku i zamislimo da radi na uređaju s Androidom 9 ili manje (koji je prema StatCount-u, od travnja 2021., podržavao gotovo 50% korisnika).U ovom scenariju, aplikacija svjetiljke može instancirati metodu koja neprestano provjerava promjene međuspremnika.

Kada dobije obavijest, ta ista aplikacija može pozvati metodu

ClipboardManager.getPrimaryClip().getItemAt(0), obraditi podatke koji su bili prisutni u međuspremniku i koristiti/izmijeniti ih kako želi, uključujući promjenu u nešto zlonamjerno.

  • Bankovni računi koji će biti uneseni u bankovnu aplikaciju za prijenose;
  • Privatni WhatsApp razgovori, Telegram itd.;
  • Veze – mogu se koristiti za phishing napade ili ciljano oglašavanje;
  • Lozinke, bez obzira jesu li kreirane od strane korisnika ili od upravitelja lozinki;

Crtični kod ulaznice

Kada dobije obavijest, ta ista aplikacija može pozvati metoduZlonamjerna aplikacija koja može pristupiti i mijenjati te podatke ima veliki utjecaj na privatnost i sigurnost korisnika. Podsjećajući, opet, da ako platforma ima verziju jednaku ili veću od verzije 10, tada se prozor napada mijenja. Te informacije bilo bi moguće dohvatiti samo dok je zlonamjerna aplikacija u fokusu.

Dakle… što možete učiniti u vezi s tim?

Prvo, uvijek održavajte svoj uređaj što je više moguće ažuriranim. Kako se promjene uvode u platformu, dodaju se veća zaštita privatnosti i sigurnosti. Od Androida 10, rizik od napada kao što je opisano u ovom postu mnogo je manji, budući da samo lebdeće aplikacije mogu pristupiti međuspremniku.

Postoji i ulaznica na AOSP-u (projekt Android koda) koja postavlja točno ovo pitanje. Međutim, ova karta je otvorena 2015., zatvorena 2020. kao „neće raditi“ i smatra se zastarjelom, odnosno zanemaruju ovu kartu kao potencijalni sigurnosni/privatni problem te su odlučili ne mijenjati funkcionalnost.

Vjerojatno rješenje bilo bi uključiti dopuštenje “opasne” razine koje bi prisililo aplikacije da komuniciraju i tražilo od korisnika da u redu pristupi međuspremniku, ali to ovisi o tvrtkama koje uključuju ovu dozvolu i logiku u nadolazećim verzijama Androida.

Za sada, najbolji način da se zaštitite od mogućih zlonamjernih aplikacija koje zloupotrebljavaju funkcionalnost međuspremnika je da uvijek imate na umu da se ta funkcionalnost može zloupotrijebiti, selektivniji prema onome što se zalijepi/kopira iz međuspremnika, kao i da budete svjesni rizici njegove uporabe.

ELEKTRONIKA