Похоже, что магазины App Store и Google Play могут содержать легальные приложения, способные отправлять "на сторону" сведения о действиях пользователя, включая вводимые данные банковских карт. Об этом на своей странице в Facebook написал сооснователь компании-разработчика Lodoss Дмитрий Ковалёв. По его словам, популярный сервис аналитики, который встроен во множество приложений, можно настроить так, чтобы записывать видео с экранов гаджетов. В результате работы программы в распоряжении разработчиков оказалась "гора видеозаписей, на которых видно, как люди вводят свои данные".
Сервис, который называется Appsee, регистрирует каждое касание, свайп и действие со стороны пользователя. В теории это должно помочь разработчикам понять, как люди используют их приложения и с какими проблемами сталкиваются. Как это работает - можете узнать на видео ниже.
Из описания несложно догадаться, как именно злоумышленники могли бы применить сервис в корыстных целях.
Мы связались с Дмитрием Ковалевым, попросили его прокомментировать ситуацию и спросили, может ли приложение с этим модулем пройти модерацию в App Store и похитить пользовательские данные. Ответ Дмитрия оказался для нас неожиданным:
Да, я сам немного этим удивлен. Мы делали четыре приложения, которые есть в Apple App Store и в которых подключён этот Appsee. Apple спокойно пропускает эти приложения. Отказа не было ни разу. Причём знаете, иногда приложения запрашивают разные разрешения. Например: "приложение запрашивает доступ к камере", "приложение запрашивает доступ к вашим контактам". Но когда подключаешь Appsee, то ничего не запрашивается.
Если коротко по вашему вопросу, то модерацию [такое приложение] проходит вообще без вопросов, и украсть данные с его помощью довольно легко.
Отметим, что Appsee имеет хорошую репутацию и является популярным в отрасли - например, его услугами пользуется одно из подразделений Virgin Group Ричарда Брэнсона. Всего по данным официального сайта, этим сервисом аналитики пользуется несколько десятков компаний-разработчиков приложений для iOS и Android. В их арсенале - приложения с миллионами установок и со встроенными покупками.
Источник:
вот почему есть люди, которые не ставят гаппс совсем, впрочем как и стим и так далее, но это только пол беды, основная беда это привязка приложения к магазину, купил в маркете? - будь добр пользуйся этим маркетом до скончания компании создавшей его, во что бы он не превратился и сколько бы ложных рейтингов там не мелькало перед глазами.
Недавно пытался сделать скриншот секретного чата телеграмма. Не получилось 🤔
Только что у себя проверил, действительно не дает сделать скриншот
(Комментарий удален)
(Комментарий удален)
Дуров, ты что ли?
Настройки безопасности, и там включи возможность делать скриншоты
В том, что какая-то программа собирает ваши данные нет вины Google play. В чём их вина. Собирать данные не запрещено, и это делает любая программа, которой, например, вы даете права администратора. Другое дело как этими данными разработчики приложения воспользуются, но это вне зоны ответственности Google play
Вина в том, что допускают такие приложения. Причём речь не только о Google но и об Apple.
Ну, это как обвинять машиниста поезда в том, что в одном из вагонов едет воришка. Гугл плей не может контролировать, как будет использоваться собранная информация. Этих программ почти миллион, и все они собирают информацию о нас
И у Apple и у Google есть определённые требования к разработчикам, дописать ограничение на использование разрешений и всё, хочешь попасть на маркет, удаляй разрешение, не хочешь, пользуйся сторонними маркетами для размещения. В чём проблема?
Это да. То, что ОДИН из сервисов не сообщил о сборе информации, можно считать незаконным. Но там написано, что этим сервисом воспользовались НЕСКОЛЬКО разработчиков. Некоторые из них с миллионами скачиваний, но всё равно. Для выводов о качестве работы Гугл Плей мало. Я бы с большим интересом почитал, как они ищут у себя вирусы. Их там нашлось пару десятков...
Давать такие возможности только доверенным разработчикам, а за недобросовестное использование данных, вводить административную или уголовную ответственность. У них есть механизмы и алгоритмы по выявлению вирусов, но суть такова, что чем больше ограничений на разработку тем меньше приложений, а там ведь типа гонки, у кого больше маркет и кол-во пользователей( можете сами удостовериться и посмотреть сколько там хлама которые даром не сдались ), и вероятность того что эти ограничения появятся мала. В общем, они прикладывают не столько усилий как могли бы на самом деле:) P.S. Просто добавлю от себя, в случае с андроидом, в файле манифеста вроде прописываются разрешения, если разработчик не прописал там запрос на разрешение той или иной функции, то она не будет работать в приложений, и тут уже дело за пользователем.
Только вот в приложении не про Гугл плей пишут. Украсть данные карты можно и когда вы их вводите, например, в приложение для заказа пиццы. И кстати говоря, наименьший риск — схоронить данные своей карты в платежном сервисе вроде Apple Pay, и пользоваться ею для оплаты везде. Потому что это меньший риск как для платежей в магазинах (генерация токенов, оплата только при прохождении биоидентификации), так и для оплаты в приложениях/на сайтах (не надо вводить данные карты, все гарантированно пересылается по секьюрному каналу).
Может быть. Только меня не устраивает iOS. Сам iPhone как "железо" - смартфон хороший. Но iOS меня по очень многим причинам абсолютно не устраивает. Поэтому пользоваться iOS не планирую.
поддерживаю
А более грамотные люди просто заводят виртуальную интернет-карту и пополняют её только по мере надобности и только на ту сумму на которую на данный момент будет совершаться оплата.
Меня не устраивает сообщать Гуглу даже как меня на самом деле зовут.
Хотя если виртуальная банковская карточка анонимная - тогда можно.
А ещё более грамотные люди делают ограничение на онлайн покупки и подтверждение платежа через смс.
Ага. И злоумышленники, зная как Вас зовут, приедут под Ваш дом с фейковой БС 😁
причем тут гуглплей ?
а ничего что яндекс аналитика/метрика, тоже позволяет показать, что чел вводил,
а он почти во всех магазинах имеется
Фольгой обмотались, где пруф на это?
Пуф на это
Столмэн? Новый супергерой? Как человек-медведь?
Ты ещё слишком зелёный.
Суть в том, что многие компании использовали данные для сбора статистики о предпочтениях пользователей смартфонов, но не знали, что так же можно с помощью него вести запись полностью с действиями пользователя.
если трудно читать, то и в двух словах не поймете.
Госдеп знает о нас все если вкратце)).
достаточно не поддерживать рцблём навязаные сервисы
М-да.... проверил, оказыаается тоже...
www_appsee_com
Ты не поверишь.
"Данные миллионов пользователей iOS и Android оказались под угрозой"
Ты чё, сама компания эпл пользуется данными пользователей и дает их развел службам. Пора это понять. То что они не дали возможность спецслужбам взломать телефон какого-то террориста ( что некоторое время показывали по новостям) это все игра на публику. Сноудена уже забыли?
Да хотелось бы чтобы заодно теперь разработчики огласили те приложения, где встроен данный зловред. Чтобы уже заранее себя обезопасить, как на Windows.
Можешь удалить всё в телефоне
Ну раз ты разрешаешь..
(Комментарий удален)
Они сопрут твои данные карты когда на алишке покупаешь, а если доступ к смс есть то и интернет банк хакнут
Тоже не понимаю, почему, как речь идёт об утечках конф. инфы, то большинство думает что будут смотреть на их прон и котиков?!
А я бы очень хотел чтоб хакеры увидили все собрание порно с карликами и зоонекропорно, а то копил его 10 лет а хвастануть коллекцией некому (((
Роскомнадзору пошли.
Роскомнадзор уже видел.
Это да, они любят в овнах копаться.
(Комментарий удален)
Этож как я буду играть игры на своем смарте в туалете пока cpy они тоже всё увидят???
Я думаю что да:) везде засада:)
Kain71,
Интересно просто это реально уточнить смотреть будет????
можно одно место на экран положить, что-бы тоже увидели))))
Заклеить изолентой камеры))
если к камере доступ не разрешишь, то только услышат) а ты сиди и говори вслух, что ты картошку чистишь
Ахах но для этого по-моему надо рут права ....Которые у циана автоматом :)
Надо телефон от секты, там все четко.
Я конечно мало в этом понимаю, но разве твой каждый шаг не обрабатывается в программном режиме, А потом просто визуализируется и выводится на экран? Если я правильно понял, подобные программы записывают не картинку, а цифры, логи, коды или еще какая там нечисть😂. а работа с текстом гораздо меньше ресурсов жрет.
Правильно понимаете. Обрабатываются в программном режиме. А то что выводится на экран смарта обрабатывается тоже программно и выводится через фрамебуффер. Как думаете как скриншоты смарт делает? Оч просто. В систему посылается всего одна команда с двумя параметрами. Тока когда скрин делает сам пользователь всё это действо сопровождается звуком. Ну и та самая утечка памяти якобы из-за которой оператива в смарте "расходуется" (кто в теме, знает) на сомом деле никакая не утечка...
Неправильный рецепт. Бумажку - в яйцо, яйцо - в утку, утку, ну ты понял... 🤣
В духовку, выпекать при 200°с ~час
Потому что у разработчиков небыло и в мысли того что хакеры могут воспользоваться данным способом взлома.
чет не понятно там как будто ангелы сидят ну либо очень тупые))) не додумались они как же
Ну так то для пользователя. А для системы и сервисов (даже левых, не говоря уже о встроенных) - запросто.
Да нафик им ваши деньги. Их человеческое сообщество интересует как биомасса. Поэтому тотально контролируются всё, социнтересы и интереесы вообще, образование, мышление, географические координаты, маршруты перемещения, платежи, и т.д. и т.п. вобщем всё.
ну да с сименса sx1 особо не войдешь)
Да, он для красоты лежит возле компа)
данная информация была доступна для продвинутых пользователей
сразу можно посмотреть, какие разрешения у приложения, куда подключается
один из признаков - реклама
я не понимаю, почему эту новость не выложили 2 года назад ???
ведь это появилось в 2012 году :/
А почему их это должно напрягать если это ими же и внедрено. Именно такой допуск имеют все встроенные стоковые приложения (при том все приложения, начиная от элементарного блокнота и календаря). А внедряется это через гуглокомпиляторы (среда разработки приложений), т.е. если вы делаете даже очень простое приложение (которе, напрмер показывает результат сложения двух чисел) то даже такое приложение будет иметь доступ к контактам, смс, микрофону и т.д.
Я молчу про сервисы защиты, они вообще становятся владельцами по умолчанию.
А может вспомним окно приветствия при первом включении аппарата?
Так что, господа параноики, используйте двойную авторизацию. Не нравится, ножками в банк, в зону самообслуживания или к кассе :)