The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Анализ несанкционированной записи звука и видео в Android-приложениях

06.07.2018 14:58

Группа исследователей из проекта ReCon, предоставляющего инструменты для анализа мобильного трафика для выявления возможных утечек данных, представила результаты (PDF) изучения 17260 приложений для платформы Android, представленных в каталогах Google Play, App China, Mi.com и Anzhi. Целью проверки была общая оценка отношения к приватности, анализ запрашиваемых расширенных полномочий и фиксация манипуляций с конфиденциальной аудио- и видеоинформацией, полученной с микрофона, экрана и камеры пользователя.

В ходе исследования также было проанализировано наличие скрытых нарушений конфиденциальности, таких как передача информации через создание скриншотов, организацию прослушивания через включение микрофона и нецелевое включение камеры для скрытой видеозаписи. В итоге, исследователи не выявили явных шпионящих или вредоносных действий - всплыло несколько утечек данных, но они скорее были обусловлены неосмотрительным обращением к внешним сервисам, чем злым умыслом.

Но потенциальная возможность вредоносных действий не исключается из-за массового злоупотребления запросом полномочий в приложениях. В частности, 43.8% приложений запрашивали при установке доступ к микрофону, 75.6% - камере, 84.6% - созданию скриншотов, 9.8% - записи видео, 89.9% - дополнительным носителям. При этом подавляющее большинство приложений фактически не использовали запрошенные полномочия, т.е. получали привилегии без явной необходимости.

В качестве ещё одного риска нарушения приватности отмечаются неконтролируемые пользователем процессы отправки видео и изображений для обработки через сторонние сервисы (например, для редактирования фотографии). В большинстве подобных случаев отправка фотографий пользователя через интернет производилась без явного информирования об обращении к внешнему сервису.

Всего из 17260 изученных приложений 21 программа осуществляла запись и отправку мультимедийных данных по сети. 12 программ отправляли информацию без применения шифрования по HTTP. 9 программ отправляли данные неявно для пользователя. Среди причин отправки изображений по сети упоминается обращение к внешним сервисам для редактирования изображений, поиска похожих изображений, сканирования визитных карт и разбора текста на изображениях. В четырёх приложениях, в числе которых приложение GoPuff, насчитывающее более 100 тысяч установок, выявлена отправка содержимого экрана в сторонние службы аналитики для изучения поведения пользователя во время работы с программой с целью улучшения юзабилити.

При этом риск утечки данных может быть связан не только с самим приложением, но и со сторонними библиотеками, которые используются в приложении (например, половина рассмотренных приложений использует библиотеки Google и Facebook). В ходе исследования было выявлено несколько подобных библиотек, которые записывали и отправляли вовне скриншоты и видео содержимого экрана во время работы с программой без информирования пользователя и без запроса полномочий. С учётом уже запрошенных при установке полномочий, разработчики сторонних библиотек могут в любой момент включить в состав очередного обновления код, шпионящий за пользователем.



  1. Главная ссылка к новости (https://recon.meddle.mobi/pano...)
  2. OpenNews: Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами
  3. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  4. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  5. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  6. OpenNews: Анализ безопасности мобильных приложений для управления IoT-устройствами
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48920-android
Ключевые слова: android, privacy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:39, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    ... Явных шпионящих или вредоносных действий не выявлено

    а дальше по тексту

    ... отмечаются неконтролируемые пользователем процессы отправки видео и изображений для обработки через сторонние сервисы.

    Это как так?

     
     
  • 2.4, Аноним (4), 15:49, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например, чтобы кадрировать или масштибировать фотографию разработчики не заморачиваются, а дёргают Web API одного из многочисленных сервисов.
     
     
  • 3.10, Аноним (10), 16:36, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да да да, сфотографировал распечатку персональных данных или переписку, но фото оказалось чуть мыльное, запустил приложение "сделать четче" - все данные утекли и ты оказался на улице.

    Мощностей телефонов хватает на операции с изображениями так что не надо ляля, г_вношлак дергающий веб апи не должен быть в сторах.

     
     
  • 4.22, Аноне (?), 17:00, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Коллеги по электрону знают толк в таких походах, ибо быстро и делать ничего не нужно = профит.
     
  • 4.35, пох (?), 18:40, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Да да да, сфотографировал распечатку персональных данных или переписку

    и в этот момент тебе надо отрезать яйца.
    Потому что у тебя отжали мобило - тебя не жаль, но кто-то, доверявший твоей лавке, внезапно, ощасливлен кредитцем на пяток лямов.

    если что - я вот щас работаю в лавке, где есть что "сфотографировать", и руки тебе при попытке это сделать - коллеги оторвут прямо вот сразу же. Потому что во-первых не идиоты и прекрасно понимают, что можно, а что нельзя, во-вторых, даже если бы были полные идиоты - тренинг по защите данных сделан на совесть, и вбивает рефлексы качественно.

    > Мощностей телефонов хватает на операции с изображениями

    но котиков совершенно все равно где и на чем вертеть, а мощности телефона лучше освободить гую для верчения. А фотограферов телефоном персональных данных без специприложения _своей_ разработки (и еще парочки, не позволяющих понаставить на этот телефон весь гуглоплей - лучше всего еще и сам гуглоплей выпиливающих) - убивать, пока они маленькие.

     
     
  • 5.102, ВладЦ (ok), 14:27, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще говоря, проблема в том, что у нас в государстве жопа на тему персональных данных. Их приходится сообщать кому ни попадя и надеяться, что они не утекут.
     
     
  • 6.112, rshadow (ok), 18:16, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. Не сообщай кому не попадя
    2. Эта проблема _с технической точки зрения_ нигде не решена. Есть только административная инициатива предписывающая и наказывающая кого смогли найти. Защищающая разве что страхом срока и штрафа.
     
     
  • 7.116, Аноним (116), 09:47, 09/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты не понял - скоро пернуть будет нельзя без предъявления паспорта, и чтобы тебя еще десяток камер не засняло.
     
     
  • 8.119, Аноним (119), 21:56, 09/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже ... текст свёрнут, показать
     
  • 6.121, Аноним (121), 10:16, 10/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему только у нас? У всей европы данные давно лежат где надо. Вон гугл почемуто только родословной моей жучки не интересуется, это видимо выглядит как излишний либерализм.
     
  • 2.5, нах (?), 15:51, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Это как так?

    это функционал, без которого не будет работать то, ради чего пользователь ставил приложение - почувствуй разницу с "программе обработки твоих фоточек нафиг не нужны твои контакты для выполнения своей функции - но они очень пригодятся ее владельцу - поэтому она их, по дороге, слизнула"

    отдельный вопрос, понимает ли пользователь, что обработка выполняется не у него в кармане, но вообще-то, он уже купил ведроед, чего там понимать-то...

     

  • 1.2, Michael Shigorin (ok), 15:41, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Да ерунда это всё, покупайте и оплачивайте персональную телеметрию!
     
     
  • 2.6, нах (?), 15:52, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ерунда это всё, покупайте и оплачивайте персональную телеметрию!

    у тебя есть какой-то более другой ведроид?

     
     
  • 3.9, Michael Shigorin (ok), 16:08, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> Да ерунда это всё, покупайте и оплачивайте персональную телеметрию!
    > у тебя есть какой-то более другой ведроид?

    Ага, нокла (более-менее доверенная) да йолка (недоверенная).

     
     
  • 4.13, Аноним (-), 16:41, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >нокла

    если речь про 3310 и иже с ними - тут палка о двух концах. Да, телеметрии там нет (насколько возможно, когда речь идет про мобилки, лол). Но и организовать сесурное общение не получится.
    Хотя если сабж чисто для нотификаций, то торт, да (сам пользую вышеназванную модель для кодов аутентификации)

     
     
  • 5.28, Michael Shigorin (ok), 17:11, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Да, телеметрии там нет (насколько возможно, когда речь идет про мобилки, лол).

    LBS "там", безусловно, есть.

    > Но и организовать сесурное общение не получится.

    Для такого нужны доверенная клиентская платформа и, скорее всего, доверенный сервер.

     
  • 4.36, пох (?), 18:49, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну и стоишь как дурак на автобусной остановке - то ли он будет через минуту, то ... большой текст свёрнут, показать
     
     
  • 5.41, Michael Shigorin (ok), 18:56, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>>> Да ерунда это всё, покупайте и оплачивайте персональную телеметрию!
    >>> у тебя есть какой-то более другой ведроид?
    >> Ага, нокла (более-менее доверенная) да йолка (недоверенная).
    > ну и стоишь как дурак на автобусной остановке

    На то браузер есть в тех редчайших случаях, когда и впрямь надо.  А так транспорт свой и вполне доверенный. ;-)

     
     
  • 6.55, пох (?), 20:39, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > На то браузер есть

    браузер не умеет сказать, когда будет следующий автобус.

    А свой транспорт либо тупит в пробке, либо не знает дороги вовсе. Опять же - нормальной навигации без трекинга быть не может. То что данные трекинга можно вообще-то и не сливать гуглю - магия забытой цивилизации, нам уже недоступная.

     
     
  • 7.72, Michael Shigorin (ok), 23:46, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> На то браузер есть
    > браузер не умеет сказать, когда будет следующий автобус.

    А мне от этого жарко должно быть или холодно?  Когда будет -- тогда и будет, если нужно гарантированное время -- на своих двоих (ногах или колёсах) плюс метро/электричкой всё равно надёжней.

    Серьёзно -- сервис симпатичный, но просто не про меня.  Как кокошник.

    > А свой транспорт либо тупит в пробке, либо не знает дороги вовсе.

    Мой не тупит ;-)

    > Опять же - нормальной навигации без трекинга быть не может.

    Так то "нормальной" -- у меня с возрастом, конечно, топологический кретинизм тоже появляется потихонечку, но не в такой же степени, чтоб в ванну по компасу ходить.

     
     
  • 8.85, пох (?), 10:32, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот если жарко или холодно, а яндекс говорит что автобуса не будет 40 минут -... большой текст свёрнут, показать
     
     
  • 9.92, Michael Shigorin (ok), 12:29, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На такие случаи как раз ёлкин браузер В целом да Если бы шифровался -- то ход... большой текст свёрнут, показать
     
  • 7.84, Анотоним (?), 08:20, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >браузер не умеет сказать, когда будет следующий автобус.

    какой то неправильный у тебя браузер.
    браузер курильщика показывает кроме автобусов весь значимый транспорт http://transport.orgp.spb.ru/Portal/transport/main

     
  • 7.89, Аноним (-), 12:03, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >нормальной навигации без трекинга быть не может

    вот и подросло поколение, не умеющее пользоваться картами

    >браузер не умеет сказать, когда будет следующий автобус

    man расписание

     
     
  • 8.93, пох (?), 12:41, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    дедушка, тебе в деревне не понять Пользоваться картами посередине трехуровнев... большой текст свёрнут, показать
     
     
  • 9.94, Michael Shigorin (ok), 12:50, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не так давно проверяли правда, на трамваях, которые немножко out-of-band -- ht... текст свёрнут, показать
     
     
  • 10.100, пох (?), 22:53, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    важно вовремя понять, что что-то перекосило и не придет ни через пять, ни через ... текст свёрнут, показать
     
  • 5.82, iPony (?), 04:26, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > некуда уже от гуглешпионов деваться

    Есть же простое решение — Apple

     
     
  • 6.86, пох (?), 10:35, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> некуда уже от гуглешпионов деваться
    > Есть же простое решение — Apple

    и в чем смысл менять одного шпиона на другого, но инкрустированного брюликами? canary report - и то пропал.

     
     
  • 7.103, iPony (?), 14:41, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В том что "шпионит" меньше (намного меньше).
     
     
  • 8.111, рпрарпо (?), 16:33, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это только твоя религиозная убеждённость, не более Эппл и Гугл стучат в АНБ ЦРУ... текст свёрнут, показать
     
  • 3.19, Crazy Alex (ok), 16:55, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вменяемый билд (Lineage, Ressurrection и иже с ними), приложения из FDroid  с очень редкими исключениями вроде банковского клиента, оторванные гуглосервисы (кому сильно надо - MicroG  в помощь). Вполне удобно.
     
     
  • 4.30, marks (?), 17:23, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Вменяемый билд (Lineage, Ressurrection и иже с ними)

    Только если тебе повезло и твоя мобилка поддерживается разработчиками. Да и то, если ты сам лично не чекнул этот билд, то и доверия не может быть и к разработчикам официальных сборок, кто знает, что там приспичит им в голову. Тем более, что их аккаунты взламывают.
    А большинство ставит с форумов сборки. Что потенциально чревато не меньше, чем ставить софт с форпда или типа того.

     
  • 4.37, пох (?), 18:49, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вменяемый билд (Lineage, Ressurrection и иже с ними), приложения из FDroid  
    > с очень редкими исключениями вроде банковского клиента, оторванные гуглосервисы (кому
    > сильно надо - MicroG  в помощь). Вполне удобно.

    ты вот всю эту херню называешь - "удобно"?

     
     
  • 5.77, Crazy Alex (ok), 01:11, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, об "удобно" речи не было, только о телеметрии. А во-вторых - угу, называю. Потому что оно потом работает так, как удобно мне. Ну хрен с ним - потрачу пол-дня на то, чтобы это зашить и настроить - отсуствием тормозов и простотой обращения в последующие пару лет окупится.
     
     
  • 6.96, пох (?), 18:17, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вполне удобно - это твои враги взломали акаунт мне удобно a не приобретать м... большой текст свёрнут, показать
     
  • 3.23, Аноним (23), 17:01, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кнопочный, S40-подобный
     
     
  • 4.38, пох (?), 18:50, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кнопочный, S40-подобный

    о, наш человек. А платить за восстановленную s40 дороже чем за восьмиядерный ведроид - тебя не напрягает?

     
     
  • 5.44, Michael Shigorin (ok), 19:02, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Кнопочный, S40-подобный
    > о, наш человек. А платить за восстановленную s40 дороже чем за восьмиядерный
    > ведроид - тебя не напрягает?

    Да ладно, две с половиной тыщи (RM-443) уже восьмивёдерный ведроид?
    Всё, надо-надо бежать-покупать.

     
     
  • 6.56, пох (?), 20:45, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ладно, две с половиной тыщи (RM-443) уже восьмивёдерный ведроид?

    а где тут s40? Моя 5310 - 6-10 в зависимости от жадности и качества замененной китайцем клавиатуры.
    ну да, сейчас такого размера вообще не делают.

    (и да, это - смартфон. Правда, с софтом под него стало хреново донельзя.)


     
     
  • 7.73, Michael Shigorin (ok), 23:52, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Да ладно, две с половиной тыщи (RM-443) уже восьмивёдерный ведроид?
    > а где тут s40?

    RM-443, написал же.  Как по мне так S40v6 весьма оптимальна для звонилки.

    Причём как-то искал замену утопленной, напоролся в Москве на китай (сообразил не сразу, уже по "не тем" ощущениям на кнопках и быстро садящейся батарее, даже новенькой -- интересно, что они там с начинкой нахимичили).  Потом на ali купил как раз refurbished, состояние на твёрдые пять, так что теперь ещё одна запаска на полочке.

    А вот S60 "не зашла" ещё тогда, когда была на излёте жизни...

     
  • 3.26, псевдонимус (?), 17:04, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ведроид и не нужен.
     
  • 3.42, Аноним (42), 18:57, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, ноунайм телефон на котором даже java-машину запустить нельзя а памяти всего 4 мегабайта. Наверное то, что у него нет камеры а если вставить наушники то и микрофон перестаёт работать говорить не надо.
     
  • 2.63, Назар (??), 21:14, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И что ты предлагаешь, фимозник? Проводная связь и смс от ФCБ? Спасибо, уж улчше ватсап.
     

  • 1.8, Аноним (8), 15:57, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > они скорее были обусловлены неосмотрительным обращением к внешним сервисам, чем злым умыслом

    Реквестирую в тред докторов конспирологических наук, которые докажут, что причина именно в злом умысле.

     
     
  • 2.39, пох (?), 18:51, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Реквестирую в тред докторов конспирологических наук, которые докажут, что причина именно
    > в злом умысле.

    яйца пусть берегут - у чувака по имени Хэнлон бритва очень острая.

     
     
  • 3.54, Аноним (54), 20:24, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > яйца пусть берегут - у рептилоида, маскирующегося под чувака по имени Хэнлон, бритва очень острая.
     
     
  • 4.57, рептилоид (?), 20:46, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> яйца пусть берегут - у рептилоида, маскирующегося под чувака по имени Хэнлон, бритва очень
    >> острая.

    мы тоже любим полезных идиотов.

     

  • 1.12, Аноним (12), 16:39, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Проблема в том, что при установке софта нету возможности отключить те функции, которыми вы не собираетесь пользоваться хотя бы даже с точки зрения приватности (рут-способы в счёт не идут, ибо это не политика Google). Вы либо пользуетесь тем, что вам сливают, либо идёте лесом. Обидно, но многим на приватность наплевать, поэтому их совершенно не парит, что 90% установленного софта и сама ОС собирает и отправляет кучу информации куда-то, и это как минимум ест их трафик, а в запущенных случаях влияет на энергоэффективность. Странный какой-то рынок получается, не вижу свободы выбора
     
     
  • 2.15, Аноним (15), 16:42, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В новом андроиде немножечко можно.
     
  • 2.16, Аноним (-), 16:43, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > не вижу свободы выбора

    Выбор, ставить фонарик с доступом в интернет или нет - в Ваших руках. Касаемо возможности накатить цыган/линейку и ставить только жпэль с фдроида - тоже

     
     
  • 3.21, Аноним (12), 16:58, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Выбор, ставить фонарик с доступом в интернет или нет - в Ваших руках

    Ещё раз, в магазине нереально трудно (чаще всего, если нашёл, то там всё из рук вон плохо) или невозможно найти альтернативный софт, который можно было бы настроить полностью по правам. И это на данный момент относится ко всем смартфонам, попадающим по крайней мере на российский рынок (не знаю, что там в Китае и других забугориях, но это скорее исключения из правил). Ответ в форме "Либо жри, что дают, либо не пользуйся" - глупый ответ.

     
     
  • 4.33, Аноним (33), 18:09, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ответ глупый, но другого ведь нет.
     
     
  • 5.34, Michael Shigorin (ok), 18:15, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для потребителя -- пожалуй.
     
  • 4.91, Аноним (91), 12:19, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Пиши сам. Кто-то запрещает?
     
  • 2.20, Crazy Alex (ok), 16:57, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А какое нам дело, что - политика гугла, а что - нет? рут, своя прошивка, FDroid, MicroG, Xposed  в тяжёлых случаях - и будет счастье.
     
     
  • 3.24, Аноним (12), 17:02, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Стабильность и затраченное время. Многие не умеют, некогда или просто не хотят разбираться в софте. Конкретно у меня не возникло сложности в установке кустарной прошивки, но за что я в таком случае плачу деньги вендорам?
     
     
  • 4.53, Celcion (ok), 20:24, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Стабильность и затраченное время. Многие не умеют, некогда или просто не хотят разбираться в софте. Конкретно у меня не возникло сложности в установке кустарной прошивки, но за что я в таком случае плачу деньги вендорам?

    А прошивки, даже кастомные - из воздуха, что ли, берутся? Их как раз и делают на основе того, что делается общими усилиями "вендоров", за старания которых и платят те, что со "шпиёнами". Ну а ты на этом банально паразитируешь, ощущая себя самым умным.
    Но ты ж в этом, разумеется, не признаешься никому, даже самому себе. :-)

     
  • 4.65, Аноним (-), 21:17, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Современные прошивки ставятся довольно просто.
     
  • 4.75, Crazy Alex (ok), 01:06, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    За то, чтобы было удобно вам, а не вендору, вы ему не платите.
     
  • 3.40, пох (?), 18:52, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А какое нам дело, что - политика гугла, а что - нет?
    > рут, своя прошивка, FDroid, MicroG, Xposed  в тяжёлых случаях - и будет счастье.

    а деньги - из тумбочки? Или ты еще и работать успеваешь, с таким графиком?

     
     
  • 4.78, Crazy Alex (ok), 01:19, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Телефон меняется максимум раз в два года - можно пол-дня потратить на своё удобство, чем более, что хотелки у меня один хрен нестандартные (например, так уж выросло, что на все устройства я хожу по ssh/scp, и исключения в виде андроидфона мне не нужны).
     
  • 3.58, AnonPlus (?), 20:46, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> рут, Xposed

    Я наоборот пришёл к тому, что нет рута - нет и шанса вредоносному софту получить доступ к чему не надо. У приложений отозвать ненужные с моей точки зрения права можно и стандартным способом, начиная с 6 или 7 андроида. Для брандмауэра (на всякий случай, если даже приложение что-то возжелает передать, то не сможет) рут тоже не нужен.

     
     
  • 4.79, Crazy Alex (ok), 01:23, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У меня самое "вредоносное" приложение - бансковский клиент, всё остальное - довольно проверенный набор, с открытым кодом, разумеется. В общем-то я бы совсем не возражал, если бы все они вообще не разделялись, а ходили, как в десктопном линуксе, от одного пользователя и с одним набором полномочий, только над андроидом так надругаться - слишком много усилий уйдёт.
     
  • 2.64, Аноним (-), 21:15, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Обнови свое ведро или выкинь свой сосунг.
     

  • 1.14, Аноним (15), 16:41, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это вам не J2ME, где на каждое действие диалог.
     
     
  • 2.71, Аноним84701 (ok), 21:48, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это вам не J2ME, где на каждое действие диалог.

    Справедливости ради: тогда мобильный тырьнет стоил столько, что дешевле было дискеты по почте пересылать (100KB ~ $1+), поэтому обычно по умолчанию его старались отключать. Плюс мотивация на поиск "зловреда" и неплохой шанс для производителя приложения "попасть" на иск/возмещение ущерба.


     
     
  • 3.83, iPony (?), 04:41, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  Плюс мотивация на поиск "зловреда" и неплохой шанс для производителя приложения "попасть" на иск/возмещение ущерба.

    Чего?
    Вообще причина была другая и простая. В JME возможностей меньше.
    Поэтому кроме отправки платных СМС вроде как ничего и не было.

     
     
  • 4.87, пох (?), 10:41, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вообще причина была другая и простая. В JME возможностей меньше.

    возможностей шпионажа - да, меньше.
    А та же навигация (и с маршрутизацией) в jme - была и вмещалась в крохотную память (кто там губами шлепал про 4 мега? Там хорошо если один.) Но вот слить ничего о тебе не могла, потому что было не принято (а не потому что api не позволял).

    > Поэтому кроме отправки платных СМС вроде как ничего и не было.

    все было, но не было прекрасного гуглостора, нафаршированного шпионским софтом.
    Что несколько осложняло задачу.

     
     
  • 5.105, iPony (?), 14:50, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но вот слить ничего о тебе не могла, потому что было не принято (а не потому что api не позволял).

    Почему на Opennet мне постоянно что-то доказывают люди, которые имели в этом меньший опыт чем я?

    Ну вот пробую пробить первое, что пришло в голову — список контактов. Можно было только на Sony Ericsson. С остальными облом. И динамической проверки не было. Это только отдельную версию зловреда пилить под Sony.

     
  • 4.90, Аноним84701 (ok), 12:19, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чего?
    > Вообще причина была другая и простая. В JME возможностей меньше.
    > Поэтому кроме отправки платных СМС вроде как ничего и не было.

    Того. Интересная у яблофанатов реальность. Небось и мини-оперы у вас не было и браузеры только в яблофоне появились (а потом андроидщики, как обычно, скопировали)?
    https://docs.oracle.com/javame/config/cldc/ref-impl/midp2.0/jsr118/javax/micro

    Не успели тогда еще сформировать настолько наплевательское отношение к сбору личных данных всеми, кому не лень.
    Можете поискать реакцию в СМИ/пользователей на попытку интеля в ~1999 ввести уникальный [для каждого CPU] идентификационный номер -- в итоге от этого оказались. Зато сейчас до интелвендорлоков и МЕ считай что почти  никому и дела нет.

     
     
  • 5.104, iPony (?), 14:45, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И что ты мне это рассказываешь? Я сам писал JME приложения.
    Песочница очень жесткая, с минимальными мостами во внешний мир. С точки зрения зловреда (и их я ковырял). Развернуться некуда толком.
     
     
  • 6.107, Аноним84701 (ok), 14:57, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И что ты мне это рассказываешь? Я сам писал JME приложения.
    > Песочница очень жесткая, с минимальными мостами во внешний мир. С точки зрения
    > зловреда (и их я ковырял). Развернуться некуда толком.

    А теперь прочитай еще раз ветку с самого начала вместо придумывания и опровержения чего-то своего, айпоньского.


     
     
  • 7.108, iPony (?), 15:05, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да пожалуйста

    > Это вам не J2ME, где на каждое действие диалог.

    Тут в основном обходилось методом "задолбать пользователя, на пятый раз нажмёт что угодно".
    Дурацкий вопрос 1? – Ok
    Дурацкий вопрос 2? — Ок
    ....
    Вы хотите отправить СМС на платный номер? — Ок

     
     
  • 8.110, Аноним84701 (ok), 15:42, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ясно Понятно Придумать и опровергнуть - наше фсе , да Ладно, еще раз см ... текст свёрнут, показать
     
  • 5.106, iPony (?), 14:54, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто вместо кучи вот этого бреда про религию и прочего.
    Мог бы (на самом деле не смог бы) привести реальных векторов использования зловредного поведения в JME кроме как SMS.
    Это практика, а не диванная теория. Чуй разницу.
     
     
  • 6.109, Аноним84701 (ok), 15:32, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто вместо кучи вот этого бреда про религию и прочего.

    Просто читать желательно целиком, а не высматривая знакомые слова и додумывая что-то еще.

    > Мог бы (на самом деле не смог бы) привести реальных векторов использования  зловредного поведения в JME кроме как SMS. Это практика, а не диванная теория. Чуй разницу.

    Еще раз, для поней с длинной, пятнистой шеей, объясняю причину-следствие:
    Тырьнет был в то время о*уенно дорогим, поэтому использование ограничивали. Плюс слив данных пользователей был еще не в моде. Как только тырьнет подешевел, ограничения с [новой, т.е. на замену] платформы и поснимали (на самом деле J2MЕ для мобилок закапывали еще по ряду других причин, в том числе и из-за необходимости заноса бабла за приложение [использование protected API без 100500 подтверждений _каждый_раз_]  "всем кому не лень").

    Ах да, почему-то "недиванные нетеоретики" не в курсе, что "жесткие ограничения" песочницы таки  обходились заносом бабла и переводом приложения в "доверенные"(trusted).
    Логично, что позволить себе такое "мамкины писетели приложений" (ну и до кучи все остальные, вплоть до мелких и не очень фирмочек) не могли.
    А вот "untrusted" приложения "радовали" пользователя 100500 диалогами на каждый чих, это да. Бают, что именно из-за необходимости (далеко небесплатной) подписи каждого приложения у кучи вендоров, собственно приложения на j2me особо не взлетели, только игрульки. Врут наверное.


     

  • 1.17, Crazy Alex (ok), 16:53, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хм, я поражён - думал, такого добра будет минимум на порядок больше. А тут - практически тишь, гладь и благодать, какие-то доли процента
     
     
  • 2.25, trdm (ok), 17:02, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Думаю это вранье. Админки в андроиде - никакие.
    Запретить приложению ВЕСЬ интернет трафик тупо нереально, а это уже дыра.
    ИМХО исследование - заказное.
     
     
  • 3.49, фоточан (?), 19:10, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Запретить приложению ВЕСЬ интернет трафик тупо нереально

    Враньё, NoGAPPS + AFwall и кроме отмеченых приложений (в том числе системных) никто с телефона в Интернет не попадёт. Даже сам AFwall не сможет ходить в Интернет, пока ему не разрешиш.
    Из системных я дал доступ только NTP-клиенту, VPN-клиенту и Download Manager

     
     
  • 4.88, Аноним (88), 12:01, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Молодец! Знаешь через какой компонент обновляется и отправляет статистику gsf? Ни за что не поверишь…
     
     
  • 5.120, Аноним (120), 09:43, 10/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Через какой?
     
  • 3.76, Crazy Alex (ok), 01:08, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там при желании хоть iptables рулить можно. Максимум - придётся для исследования приложений кастомную прошивку накатать, а скорее просто рутом обойдётся.
     

  • 1.18, Аноним (18), 16:53, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не видел разрешения для записи видео с экрана или скриншота. Получается любая программа может подсматривать что происходит в сторонних приложениях, например в банковском клиенте?
     
     
  • 2.29, Аноним (29), 17:17, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше пользоваться наличкой.
     
     
  • 3.66, Аноним (-), 21:19, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Биткоин, братишка, лучше пользоваться криптой.
     
     
  • 4.74, Michael Shigorin (ok), 23:54, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ...чем грузины (ц)
     

  • 1.27, Аноне (?), 17:07, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На хабре же кто-то писал, что втентакль собирает списки приложений, сетей, айдишки и контакты вроде. А фоточки не так страшно.
     
     
  • 2.59, AnonPlus (?), 20:48, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > На хабре же кто-то писал, что втентакль собирает списки приложений, сетей, айдишки
    > и контакты вроде. А фоточки не так страшно.

    Ну, айдишки собирает чуть ли не каждое третье приложение. Но для этого, чтобы получить IMEI приложению нужен доступ к телефонии. Разумеется, если приложение не связано со звонками, давать ему доступ к телефонии совершенно необязательно.

     
     
  • 3.68, Аноним (119), 21:24, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато доступ к мак-адресу телефона, беспроводной сети и телефонов и кмпьдтеров в этой же беспроводной сети совсем без разрешения. Вернее с разрешением (для совместимости), скрытым, автоматически даваемым всем подряд.
     

  • 1.43, 123 (??), 19:00, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вся суть самого популярного юзер-френдли линукса.
     
     
  • 2.47, Michael Shigorin (ok), 19:04, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вся суть самого популярного юзер-френдли линукса.

    Казалось бы, при чём тут маркетинг, рынок, права человека, договороспособность и прочие отличительные черты наших партнёров и их идеологии.  Разумеется, дело в линуксе!

    PS: ну вот, OdessIT'у не повезло -- сообщения с того src ip уже на автомате ботом удаляются по признаку "TrollIPUA" :(

     
     
  • 3.60, AnonPlus (?), 20:49, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, поменять IP в 2018 году это так сложно...
    В отдельных случаях достаточно переподключить сетевое соединение.
     
  • 3.113, Sluggard (ok), 20:44, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Казалось бы, при чём тут маркетинг, рынок, права человека, договороспособность и прочие отличительные черты наших партнёров и их идеологии.
    > наших партнёров

    Ну да, наши-то, родные, Яндыксы, Малыру и прочие Раблера — святые. Помолимся, братья!

     
     
  • 4.114, Michael Shigorin (ok), 20:50, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    #43 перечитайте :)
     
     
  • 5.115, Лентяй (??), 22:02, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > #43 перечитайте :)

    Читал. Ты, типа, встал на защиту Linux. Вот только политоту свою извечную притащить чот не забыл...

     

  • 1.46, фоточан (?), 19:02, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня на телефоне 70% приложений не имеют доступ к сети (AFwall+), ибо нефиг моих котиков сливать ) А тем, которые выпущены в Интернет, обычно запрещаю доступ на SD-карту/камеру/микрофон
     
  • 1.50, Аноним (50), 19:43, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гугл же анонсировал новую операционку. Вот и "сливает" Андроид. "Идите на новую ОС, тут не шпионят! Правда-правда!"
     
     
  • 2.51, анонимус (??), 19:51, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая шпионаж операторов связи надо для начала VPN осилить или собирать ядро к ведроиду с Wireguard. Sailfish есть, KDE mobile подтягивается. Sailfish в умных часах кажется то, что надо, чтобы можно было ими пользоваться ввиду низкого энергопотребления.
     
     
  • 3.52, soarin (ok), 20:18, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > KDE mobile подтягивается

    Куда и Как?

     
     
  • 4.69, Ramzanchik (?), 21:25, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сюда и в темпе.

    https://puri.sm/shop/librem-5/

     
  • 2.61, Аноним (61), 21:02, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Fuchsia и правда лучше чем-то.
     
  • 2.98, Аноним (98), 22:30, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Fuchsia скорее для IoT и устройств типа умных часов.
     

  • 1.62, Ivan_83 (ok), 21:04, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В /dev/null гугл плеймаркет.
    Рутанул гандройда, вычистил гугловый шлак, поставил f-droid и через него нормальные приложения, без регистрации, без рекламы и прочего шлака.
    Ещё и сторонние репы подключаются.

    А вы продолжайте давится тем что вам дают.

     
     
  • 2.67, Аноним (-), 21:22, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот это герой! Все берите пример с него!
     
     
  • 3.95, Аноним (54), 18:07, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот это герой! Все берите пример с него!

    Во-во, правильно! Так его! Ату! Как вообще посмел вольнодумствовать и сопротивлятся, вместо того чтобы покорно и с радостью, спустив штаны, принять позу зенитной пушки в ожидании внимания Хозяина!

     

  • 1.80, user90 (?), 02:50, 07/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тоже мне новость! Я в этом и не сомневался. Только рут и только нормальный менеджер прав доступа (который может подсовывать фейковые, если иначе никак) может спасти ведроид.. хотя что это я, его уже не спасет ничто :)
     
     
  • 2.99, Аноним (98), 22:50, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Была хорошая редакция Android -  CopperheadOS, но основатели разругались и проект похоже сдулся.
     
     
  • 3.117, Аноним (-), 10:52, 09/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот они разругались не безосновательно, видимо, на одного слишком сильно давили (может, не только угрозами, но и деньгами за лояльность).

    По-сути, никому из государств, корпораций-операторов, корпораций-производителей, корпораций-софт-девелоперов не выгодна прозрачная, честная и защищенная коммуникация пользователей. И всеми силами, по всем фронтам, проблему стараются настолько замылить, что караул. Простый юзеры сами готовы навесить на себя ярмо, ради сомнительных возможностей. Хотя, с какой стороны не взгляни, ситуация порочна. Например, - набирающее популярность, шпионство за своими детьми.

     
     
  • 4.118, Аноним (118), 15:16, 09/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Прежде всего, это не надо самим юзверям. Им, как ты правильно заметил, с детства пофигу, что за ними следят и их имеют. С теми, кому западло даже половинкой жoпы шевельнуть даже ради себя, любимого, никто и никогда не церемонился. "К чему стадам дары свободы? Их должно резать или стричь."(с)
     
  • 4.123, Аноним (123), 18:28, 10/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто будет шпионить за детьми, лет через 10 будет краснеть от роликов, снятых "продвинутыми детишками" в спальне родителей. :)

    Какое вообще доверие может быть в семье, где члены ШПИОНЯТ друг за другом?!!!

     

  • 1.81, Аноним (81), 03:44, 07/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    не там надо копать андроид понятно
    комп - телефон 3ж - (а тут что то темное) - сервак - интернет
     
  • 1.122, Аноним (123), 18:26, 10/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > подавляющее большинство приложений фактически не использовали запрошенные полномочия

    Внимание, правильный вопрос: а не ЗАБАНИТЬ ли этим ушлёпкам из Гугла подобные приложения? Чтобы разрабы перестали давать всяким нотепадам функции, которые они даже в принципе не способны осилить? Скриншоты, камера, микрофон... чё вообще за дела?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру