လွန်ခဲ့တဲ့တစ်ပတ်လောက်က OCBC App က "Official Store" က သွင်းထားတဲ့ မဟုတ်တဲ့ App တွေရှိတယ်ဆိုရင် Uninstall လုပ်ခိုင်းတာကိုကျွန်တော်တွေ့တော့ Post တစ်ခုတင်လိုက်တယ်။ ကျွန်တော့်အသိထဲက တစ်ချို့တွေက App တွေသွင်းလိုက်ရင် Data တွေခိုးသွားတာကို ကြုံရတယ်ပေါ့။ ဒီတော့ Play store က မဟုတ်ရင်ပိတ်တာ အဓိပ္ပာယ်ရှိတယ်ဆိုပြီး ပြောကြတယ်။ ကျွန်တော်ကတော့ ဒီအမြင်ကို လက်မခံဘူး။ ဘာလို့လက်မခံလဲဆိုတာ အကျယ်တဝင့် ပြောပြမယ်။
Free as in Freedom
Android က iOS နဲ့ကွဲတာက Open source ပေးထားတဲ့ Operating System ဖြစ်တယ်။ Open source ဆိုရင် Free ရတယ်ဆိုပြီး တွေးကြတယ်။ ဒါပေမဲ့ဒီမှာ Free ဆိုတာက အလကားရတာကို ပြောတာမဟုတ်ပဲ "Free as in Freedom" လို့ပြောကြတဲ့ လွတ်လပ်ခွင့်ကို ရရှိတာကိုပြောတာဖြစ်တယ်။ Android OS ကို ကြိုက်တဲ့ hardware ပေါ်တင်ပြီး run ခွင့်၊ ဖြန့်ဝေခွင့်၊ လေ့လာခွင့်၊ ပြင်ခွင့် အစရှိသဖြင့် လွတ်လပ်ခွင့်ပေးထားတယ်။ ဒီမှာ အရေးကြီးတာက ဘာလဲဆိုတော့ အသုံးပြုသူအနေနဲ့ ကြိုက်တဲ့ App ကို ကြိုက်တဲ့နေရာကနေ သွင်းခွင့်ပေးထားတာပဲ။ Android မှာ "Official Store" ဆိုတဲ့ သဘောတရားမရှိဘူး။ ဒါက်ို Play Store Team နဲ့ Video call တုန်းက ကျွန်တော်ကိုယ်တိုင် မေးဘူးတယ်။ သူတို့ကိုယ်တိုင်ကလည်း Play Store သည် "Official Store" မဟုတ်ပါဘူးလို့ဖြေတယ်။ ဘာလို့ မရှိရလဲဆိုရင် Play Store မပါတဲ့ ဖုန်းဆို Huawei Store ကသွင်းမလား၊ Amazon ကသွင်းမလား အစရှိသဖြင့်၊ နောက်ဆုံး မကျေနပ်ရင် Github တို့၊ F-droid တို့ကနေ APK ကို ဒေါင်းပြီး တိုက်ရိုက်သွင်းလို့ပါ ရသေးတယ်။ ဒီလိုလွတ်လပ်ခွင့်ရှိတာ ဘာကောင်းလဲဆိုတော့ ဆိုကြပါဆို့၊ Privacy ကို တန်ဖိုးထားတဲ့ သူတွေအနေနဲ့ Play Store ရဲ့ Privacy Policy ကိုမကြိုက်ရင် Play Store မသုံးပဲနေလို့ရမယ်။ တစ်ချို့ ကုမ္ပဏီထဲမှာ သုံးဖို့ ရည်ရွယ်ထားတဲ့ App တွေကို Play Store ပေါ်မတင်ပဲ Internal software portal ကနေသွားဒေါင်းရတာလည်း ဖြစ်နို်င်တယ်၊ Researcher တွေအနေနဲ့ အရင် APK Version တွေကိုပြန်ရှာပြီး သုံးကြည့်တာမျိုးလည်းဖြစ်နိုင်တယ်။ တစ်ဖက်ကDeveloper အနေနဲ့ကလည်း Play Store ရဲ့ စည်းကမ်းတွေကိုမကြိုက်လို့ တစ်ခြားမှာ တင်တာမျိုးဖြစ်ရင် ဖြစ်မယ်၊ ကျွန်တော်ကိုယ်တိုင်လည်း ရေးထားတဲ့ Open Source App ကို Play Store ရဲ့ စည်းကမ်းတွေများလွန်းလို့ တမင် Play မှာ update မလုပ်တော့ပဲ ထားထားတယ်။ နောက်ဆုံးဗျာ Epic Game ကိစ္စမှာလို Play Store မှာတင်ရောင်းရင် Google ကို ပိုက်ဆံပေးရလို့ ကိုယ်ပိုင် App Store လုပ်တာလည်း ဖြစ်ကောင်းဖြစ်နိုင်တယ်။ ပြောရရင် ဒီလွတ်လပ်ခွင့်ကြောင့် ရလာတဲ့ အကျိူးကျေးဇူးတွေ အများကြီးရှိတယ်။ ဒါကြောင့်မလို့ App တွေအနေနဲ့ Security အယောင်ပြပြီး Play Store ကမဟုတ်ရင် လက်မခံဘူးဆိုပြီး အသုံးပြုသူရဲ့ လွတ်လပ်ခွင့်ကို မပိတ်ပင်ဖို့ အရေးကြီးတယ်။
But what about the risks!?
လွတ်လပ်ခွင့်ပေးထားတာကြောင့် ကောင်းကျိုးတွေရှိသလို အချို့သောသူတွေက လွတ်လပ်ခွင့်ကို တစ်လွဲသုံးတာမျိုးရှိတယ်။ ဥပမာ APK ကို Viber ဘာညာကနေ ဒေါင်းခိုင်းပြီး ဖွင့်လိုက်ရင် ကိုယ့်ဖုန်းထဲက ဒေတာကိုခိုးသွားတယ်ဆိုတာမျိုး တွေကြားရတယ်။ ဒီမှာသိရမှာက
နံပါတ်(၁)။ Android App တိုင်းက "Sandbox" လို့ခေါ်တဲ့၊ မြင်အောင်ပြောရရင် App လေးတွေက ကိုယ်ပိုင် အိမ်လေးတွေမှာ နေကြရတယ်။ သူများအိမ်ထဲကို မမြင်ရသလို သူများအိမ်ထဲက ပစ္စည်းတွေကို ခိုးချင်တိုင်းခိုးလို့မရဘူး။ တစ်ဖက်က အိမ်က တစ်ခါတစ်လေမှာ လိုလိုလားလား အလှူလုပ်ရင်တော့ သွားယူလို့ရမယ်။ ဥပမာ Facebook အနေနဲ့ Login ဝင်ထားတဲ့ User ID ကိုတစ်ခြား App တွေအနေနဲ့ ယူသုံးလို့ ရအောင် User Id လေးကို အိမ်ရှေ့မှာ သူများမြင်ရအောင် ထားတာမျိုး ဖြစ်ရင်ဖြစ်မယ်။ ပြောချင်တာက ဒီတိုင်းသူ့ဟာသူ App တွေက ဒေတာကိုယူလို့ရမနေပါဘူး။
နံပါတ်(၂)။ Android က နောက်ပိုင်း Security တစ်အားကောင်းလာတယ်၊ လွန်ခဲ့တဲ့ ၈ နှစ်လောက်ကစပြီး လုပ်ပိုင်ခွင့်ကို သွင်းတုန်းမှာမပေးတော့ပဲ App run တော့မှတောင်းယူရတဲ့ Runtime permission တွေရှိလာတယ်၊ မလိုအပ်တဲ့ API တွေကို ပိတ်ပင်လာတယ်။ ကျွန်တော်တို့ Play Store ကမဟုတ်တဲ့ App ကိုသွင်းမယ်ဆိုရင်တော့ အရင်ဆုံး သေချာလားမေးတယ်၊ သွင်းပြီးသွားရင်လည်း အသုံးပြုသူက မဖွင့်မချင်း အဲဒီ App ကဘာမှလုပ်လို့မရဘူး။ ဖွင့်တဲ့အချိန်မှာလည်း Accessibiltiy hijacking လိုမျိုးနည်းနဲ့ ဖုန်းကို ထန်းချုပ်ဖို့ ကြိုးစားမယ် ဆိုရင်လည်း အရင်ဆုံး အသုံးပြုသူကိုယ်တိုင်က လုပ်ပိုင်ခွင့်ပေးမှ လုပ်လို့ရတယ်။ ဘယ်ဒေတာယူယူ လုပ်ပိုင်ခွင့် ကို အသုံးပြသူကအရင်ပေးရတယ်။ ဒီလောက် System က အသိပေးနေတာကိုမှ စာမဖတ်ပဲ လုပ်ရင်တော့ OS အနေနဲ့ကော တစ်ခြား Appတွေအနေနဲ့ ဘာမှ မကာကွယ်ပေးနိုင်ဘူး။ ပြောချင်တာက သူခိုးဓားပြက အိမ်ထဲဝင်ဖို့ သော့တောင်းတာကို ခင်ဗျားကိုယ်တိုင်က ရော့ယူဆိုပြီး ပေးလိုက်ရင်တော့ ဘယ်လောက်ပဲ Security ကောင်းကောင်း ဟိုက ရှိသမျှအကုန်မသွားမှာပဲ။
နံပါတ်(၃)။ Play Store က သွင်းလို့ရတဲ့ App တွေကို သုံးပြီးတော့လည်း ခင်ဗျားဖုန်းကို exploit လုပ်လို့ရတယ်။ ဥပမာ IT support တွေမှာသုံးတဲ့ တစ်ဖက်ကနေ ကိုယ့်ဖုန်းကိုလှမ်းထိမ်းပြီး ကူပေးလို့ရတဲ့ Remote Desktop Software တွေသုံးပြီး ပိုက်ဆံခိုးသွားတဲ့ ကိစ္စတွေ လည်း ရှိတယ်။ ဒီတော့ Play Store ကမဟုတ်တာနဲ့ မကောင်းဘူး တစ်ထစ်ချပြောလို့မရဘူး။
ပြန်ခြုံငုံပြီးပြောရရင် Play Store ကမသွင်းထားတဲ့ App တွေကလည်း အသုံးပြုသူလက်မခံရင် သူဟာသူ ဘာမှလုပ်လို့ရမနေဘူး။ Play Store ကိုပိတ်လိုက်လို့လည်း ဒီပြဿနာက ပြီးသွားမှာ မဟုတ်ပဲ Play Store ပေါ်က App တွေကိုသုံးပြီးတော့ exploit လုပ်လို့ရနေသေးတယ်။ ဒီတော့ ဒီလိုပိတ်လိုက်တာက အကျိုးအမြတ်နည်းတဲ့အပြင် တစ်ဖက်မှာ တစ်ခြားနေရာကနေ မဖြစ်မနေ App တွေသွင်းထားရတဲ့သူတွေမဖို့ နစ်နာမှုတွေက များနေတယ်။ အသုံးပြုသူတွေအနေနဲ့ နားလည်ရမှာက ဒီလို hacker တွေတိုက်ခိုက်ခံရတယ်ဆိုတာ တစ်ခါတစ်ရံမှာ ဘဏ် App ကြောင့်မဟုတ်ပဲ အသုံးပြုသူကိုယ်တိုင်က အလို့ ခံရတာလည်းဖြစ်နိုင်တယ်။ ဘဏ်တွေကလည်း အတိုင်းအတာ တစ်ခုထိပဲ ကာပေးလို့ရနိုင်မယ်။ (Digital literacy က ဒီဘက်ခေတ်မှာ အရမ်းကို အရေးပါတဲ့ အရာဖြစ်လာလို့ ကျွန်တော့်တို့ community တွေအနေလည်း အသိပညာပေးတွေ အများကြီးလုပ်ရဦးမယ်။) တစ်ခါတစ်ရံမှာ အကာလွန်သွားရင်လည်း ဒါက အသုံးပြုသူရဲ့ လွတ်လပ်ခွင့်ကို ထိခိုက်တဲ့အထိဖြစ်သွားမယ်။
What can you do?
Devleloper တွေအနေနဲ့ မျှတတဲ့ နည်းလမ်းရအောင် ဘာလုပ်သင့်သလဲဆိုရင် ကျွန်တော့်မှာလည်း အဖြေတစ်ခုတည်း ရှိမနေဘူး။ အခြေအနေအပေါ် မူတည်တာကြောင့် Threat Modelling လုပ်ကြည့်ပြီးတော့ ကိုယ်တွေ ကာကွယ်ရမဲ့ Attack vector က ဘယ်လို exploit လုပ်လို့ရမလဲ၊ ဒီ exploit ကို တစ်နည်းနဲ့ ကာလိုက်ရင်ကော ယိုပေါက်က တကယ်ကော ပိတ်သွားရဲ့လား၊ လုပ်မယ်ဆို ဘယ်လောက်လွယ်မလဲ၊ ဘာ Risk တွေရှိမလဲ အစရှိသဖြင့် ကိုယ့်ဟာကိုယ် အဖြေရှာတာ ပိုကောင်းတယ်။
နောက်ဆုံးတစ်ချက် Frotend client ဆိုတာဘယ်တော့မှ ယုံလို့မရတဲ့အရာဖြစ်လို့ Frontend ကိုအခြေခံတဲ့ Security သည် ဘယ်သောအခါမှ အရာရောက်မှာမဟုတ်ပါဘူး။ တတ်နိုင်ရင် Backend မှာ Security ပိုင်းဆိုင်ရာကို ကောင်းအောင်လုပ်တာ ပိုထိရောက်ပါတယ်။
ဒီလောက်ဆို ဘာလို့ ကျွန်တော် OCBC ရဲ့ နည်းလမ်းကို မကောင်းဘူးပြောလဲ သိလောက်ပြီနဲ့ တူပါတယ်။ ဒီကိစ္စက controversial ဖြစ်လို့ အမြင်မတူကွဲလွဲတာလည်း ဖြစ်နိုင်လို့ ကျွန်တော် ရေးထားတာကြီးပဲ အမှန်လို့လဲ မထင်ကြပါနဲ့ လို့ မေတ္တာရပ်ခံချင်ပါတယ်။ လုံခြုံရေး အကြောင်းပြုပြီး လွတ်လပ်ခွင့်ကိုပိတ်ပင်တဲ့ အာဏာရှင်မဖြစ်ပါစေနဲ့။