Похоже, что магазины App Store и Google Play могут содержать легальные приложения, способные отправлять "на сторону" сведения о действиях пользователя, включая вводимые данные банковских карт. Об этом на своей странице в Facebook написал сооснователь компании-разработчика Lodoss Дмитрий Ковалёв. По его словам, популярный сервис аналитики, который встроен во множество приложений, можно настроить так, чтобы записывать видео с экранов гаджетов. В результате работы программы в распоряжении разработчиков оказалась "гора видеозаписей, на которых видно, как люди вводят свои данные".
Сервис, который называется Appsee, регистрирует каждое касание, свайп и действие со стороны пользователя. В теории это должно помочь разработчикам понять, как люди используют их приложения и с какими проблемами сталкиваются. Как это работает - можете узнать на видео ниже.
Из описания несложно догадаться, как именно злоумышленники могли бы применить сервис в корыстных целях.
Мы связались с Дмитрием Ковалевым, попросили его прокомментировать ситуацию и спросили, может ли приложение с этим модулем пройти модерацию в App Store и похитить пользовательские данные. Ответ Дмитрия оказался для нас неожиданным:
Да, я сам немного этим удивлен. Мы делали четыре приложения, которые есть в Apple App Store и в которых подключён этот Appsee. Apple спокойно пропускает эти приложения. Отказа не было ни разу. Причём знаете, иногда приложения запрашивают разные разрешения. Например: "приложение запрашивает доступ к камере", "приложение запрашивает доступ к вашим контактам". Но когда подключаешь Appsee, то ничего не запрашивается.
Если коротко по вашему вопросу, то модерацию [такое приложение] проходит вообще без вопросов, и украсть данные с его помощью довольно легко.
Отметим, что Appsee имеет хорошую репутацию и является популярным в отрасли - например, его услугами пользуется одно из подразделений Virgin Group Ричарда Брэнсона. Всего по данным официального сайта, этим сервисом аналитики пользуется несколько десятков компаний-разработчиков приложений для iOS и Android. В их арсенале - приложения с миллионами установок и со встроенными покупками.
Источник:
В двух словах суть можно, много букв
Аки windows 10 отправляет скриншоты, теперь и приложения так делают.
Вот почему данные своей банковской карточки я никогда не доверю Google Play ☝
ecology,
вот почему есть люди, которые не ставят гаппс совсем, впрочем как и стим и так далее, но это только пол беды, основная беда это привязка приложения к магазину, купил в маркете? - будь добр пользуйся этим маркетом до скончания компании создавшей его, во что бы он не превратился и сколько бы ложных рейтингов там не мелькало перед глазами.
=HACKERMAN=,
Недавно пытался сделать скриншот секретного чата телеграмма. Не получилось 🤔
Тогда выкини телефон, ибо скриншотит на всех мобилках
LenHarper,
Только что у себя проверил, действительно не дает сделать скриншот
(Комментарий удален)
(Комментарий удален)
kozlovskyi,
Дуров, ты что ли?
kozlovskyi, можно запретить вобще в телеграмме делать скрины. А не только в секретных
kozlovskyi,
Настройки безопасности, и там включи возможность делать скриншоты
ecology,+1. Есть мобильный номер, с его счета и плачу)
ecology,
В том, что какая-то программа собирает ваши данные нет вины Google play. В чём их вина. Собирать данные не запрещено, и это делает любая программа, которой, например, вы даете права администратора. Другое дело как этими данными разработчики приложения воспользуются, но это вне зоны ответственности Google play
Vlad.ua,
Вина в том, что допускают такие приложения. Причём речь не только о Google но и об Apple.
4pdaUL,
Ну, это как обвинять машиниста поезда в том, что в одном из вагонов едет воришка. Гугл плей не может контролировать, как будет использоваться собранная информация. Этих программ почти миллион, и все они собирают информацию о нас
Vlad.ua,
И у Apple и у Google есть определённые требования к разработчикам, дописать ограничение на использование разрешений и всё, хочешь попасть на маркет, удаляй разрешение, не хочешь, пользуйся сторонними маркетами для размещения. В чём проблема?
4pdaUL,
Это да. То, что ОДИН из сервисов не сообщил о сборе информации, можно считать незаконным. Но там написано, что этим сервисом воспользовались НЕСКОЛЬКО разработчиков. Некоторые из них с миллионами скачиваний, но всё равно. Для выводов о качестве работы Гугл Плей мало. Я бы с большим интересом почитал, как они ищут у себя вирусы. Их там нашлось пару десятков...
Vlad.ua,
Давать такие возможности только доверенным разработчикам, а за недобросовестное использование данных, вводить административную или уголовную ответственность. У них есть механизмы и алгоритмы по выявлению вирусов, но суть такова, что чем больше ограничений на разработку тем меньше приложений, а там ведь типа гонки, у кого больше маркет и кол-во пользователей( можете сами удостовериться и посмотреть сколько там хлама которые даром не сдались ), и вероятность того что эти ограничения появятся мала. В общем, они прикладывают не столько усилий как могли бы на самом деле:) P.S. Просто добавлю от себя, в случае с андроидом, в файле манифеста вроде прописываются разрешения, если разработчик не прописал там запрос на разрешение той или иной функции, то она не будет работать в приложений, и тут уже дело за пользователем.
ecology,
Только вот в приложении не про Гугл плей пишут. Украсть данные карты можно и когда вы их вводите, например, в приложение для заказа пиццы. И кстати говоря, наименьший риск — схоронить данные своей карты в платежном сервисе вроде Apple Pay, и пользоваться ею для оплаты везде. Потому что это меньший риск как для платежей в магазинах (генерация токенов, оплата только при прохождении биоидентификации), так и для оплаты в приложениях/на сайтах (не надо вводить данные карты, все гарантированно пересылается по секьюрному каналу).
kolyanok,
Может быть. Только меня не устраивает iOS. Сам iPhone как "железо" - смартфон хороший. Но iOS меня по очень многим причинам абсолютно не устраивает. Поэтому пользоваться iOS не планирую.
ecology,
поддерживаю
ecology,
А более грамотные люди просто заводят виртуальную интернет-карту и пополняют её только по мере надобности и только на ту сумму на которую на данный момент будет совершаться оплата.
Vikonrob,
Меня не устраивает сообщать Гуглу даже как меня на самом деле зовут.
Хотя если виртуальная банковская карточка анонимная - тогда можно.
Угу. И бегать в шапочке из фольги её пополнять в банкнот. Ну а чо, вариант
Vikonrob,
А ещё более грамотные люди делают ограничение на онлайн покупки и подтверждение платежа через смс.
egoronlin,
Ага. И злоумышленники, зная как Вас зовут, приедут под Ваш дом с фейковой БС 😁
ecology,
причем тут гуглплей ?
а ничего что яндекс аналитика/метрика, тоже позволяет показать, что чел вводил,
а он почти во всех магазинах имеется
Maxonih,
Фольгой обмотались, где пруф на это?
vitali1978,
Пуф на это
vitali1978, если вбить в поисковик "Windows 10 отсылает скриншоты экрана в Microsoft" то можно найти видео. Если tcp dump просканировать сеть, то там реально много данных идет на серваки мелкомягких. Тот же дебиан заметно меньше пакетов отсылает.
Maxonih, и всё что касается данного вброса упирается на твит WZor`а, и только августа 2015 года, когда появилась первая тестовая сборка предварительной оценки. WZor сам говорил (ещё тогда) что не уверен будут ли отправляться скриншоты в финальной версии. И поскольку с тех пор больше подтверждений не было, значит такое практиковалось только в первых открытых бета сборках Windows 10. В финальной версии такого нет, и если отключить всё остальное то и отправляться ничего не будет. Хватит пороть чушь. А если уж совсем быть параноиком то можно сказать что и systemd мягко говоря не внушает доверия, и дистрибутив Ubuntu, да и вообще бинарные дистрибутивы. Так что думаю о конфиденциальности личных данных можно не беспокоится.
aquavis, и да, и GSM телефонами пользоваться нельзя, слушайте дядюшку Столмана, он плохого не посоветует.
aquavis,
Столмэн? Новый супергерой? Как человек-медведь?
kozlovskyi,
Ты ещё слишком зелёный.
6__Alex__6,
Суть в том, что многие компании использовали данные для сбора статистики о предпочтениях пользователей смартфонов, но не знали, что так же можно с помощью него вести запись полностью с действиями пользователя.
6__Alex__6,
если трудно читать, то и в двух словах не поймете.
6__Alex__6,
Госдеп знает о нас все если вкратце)).
Конечно под угрозой, они нужны дядьке в сварочных ,очках и балаклаве
Вот те на...
Ну это как бы не серьёзно уже...
Мораль - хочешь чтобы тебя не имели, не имей ничего.
Всё, удаляю прошивку со смартфона, буду в рекавери колупаться просто.
touch5800,
достаточно не поддерживать рцблём навязаные сервисы
В ios тоже? не верится...
dogz5,
М-да.... проверил, оказыаается тоже...
www_appsee_com
dogz5,
Ты не поверишь.
"Данные миллионов пользователей iOS и Android оказались под угрозой"
dogz5,
Ты чё, сама компания эпл пользуется данными пользователей и дает их развел службам. Пора это понять. То что они не дали возможность спецслужбам взломать телефон какого-то террориста ( что некоторое время показывали по новостям) это все игра на публику. Сноудена уже забыли?
У народа есть видео, где ты вводишь свои приватные данные.
Так а в какие проги он встроен,что удалять то?
artemplus11,
Да хотелось бы чтобы заодно теперь разработчики огласили те приложения, где встроен данный зловред. Чтобы уже заранее себя обезопасить, как на Windows.
artemplus11,
Можешь удалить всё в телефоне
eco_buble,
Ну раз ты разрешаешь..
Пойду повешусь((
(Комментарий удален)
Они могут слямзить моих котиков в галерее?! Это просто конец света....
bambucha2014,
Они сопрут твои данные карты когда на алишке покупаешь, а если доступ к смс есть то и интернет банк хакнут
guanare,
Тоже не понимаю, почему, как речь идёт об утечках конф. инфы, то большинство думает что будут смотреть на их прон и котиков?!
bambucha2014,
А я бы очень хотел чтоб хакеры увидили все собрание порно с карликами и зоонекропорно, а то копил его 10 лет а хвастануть коллекцией некому (((
NanoBelyash,
Роскомнадзору пошли.
vitali1978,
Роскомнадзор уже видел.
DaceNT_DNT,
Это да, они любят в овнах копаться.
Да они ещё и не такое видели
(Комментарий удален)
encore621,
Этож как я буду играть игры на своем смарте в туалете пока cpy они тоже всё увидят???
Простой Юзер))),
Я думаю что да:) везде засада:)
encore621,
Kain71,
Интересно просто это реально уточнить смотреть будет????
Простой Юзер))),
можно одно место на экран положить, что-бы тоже увидели))))
Простой Юзер))),
Заклеить изолентой камеры))
Простой Юзер))),
если к камере доступ не разрешишь, то только услышат) а ты сиди и говори вслух, что ты картошку чистишь
=HACKERMAN=,
Ахах но для этого по-моему надо рут права ....Которые у циана автоматом :)
То есть, тимвьювер какой нить так может далеко не везде (в смысле удаленно показывать экран) а вот эта штука может.. офигенно че, а как она еще ресурсы при этом жрет..
Суть в том,что мы пришли к экранизациям начала 2000-ых о глобалном контроле и другой сути нет.Как там в последнем теминаторе?
Странно. Прога для записи видео с экрана телефона у меня лагает дичайшим образом при записи, а тут типо нет лагов во время записи. Забавно чо)
strelok(misha),
Надо телефон от секты, там все четко.
strelok(misha),
Я конечно мало в этом понимаю, но разве твой каждый шаг не обрабатывается в программном режиме, А потом просто визуализируется и выводится на экран? Если я правильно понял, подобные программы записывают не картинку, а цифры, логи, коды или еще какая там нечисть😂. а работа с текстом гораздо меньше ресурсов жрет.
lucart,
Правильно понимаете. Обрабатываются в программном режиме. А то что выводится на экран смарта обрабатывается тоже программно и выводится через фрамебуффер. Как думаете как скриншоты смарт делает? Оч просто. В систему посылается всего одна команда с двумя параметрами. Тока когда скрин делает сам пользователь всё это действо сопровождается звуком. Ну и та самая утечка памяти якобы из-за которой оператива в смарте "расходуется" (кто в теме, знает) на сомом деле никакая не утечка...
Пойду все свои данные на бумажный носитель перенесу, и в сундучок под замок запру, что бы не боятся подобного
sssr-28,
Неправильный рецепт. Бумажку - в яйцо, яйцо - в утку, утку, ну ты понял... 🤣
arashodchikov,
В духовку, выпекать при 200°с ~час
Мм.. вот интересно, запрет на снятия скриншота самому при вводе данных карты существует (не раз проверял) в Android .. а вот левый сервис прямо вот так возьмет и отследит мои действия в вызванном активити?.. почему-то складывается впечатление что хтота врот..
barsuk_aav,
Потому что у разработчиков небыло и в мысли того что хакеры могут воспользоваться данным способом взлома.
DaceNT_DNT,
чет не понятно там как будто ангелы сидят ну либо очень тупые))) не додумались они как же
barsuk_aav,
Ну так то для пользователя. А для системы и сервисов (даже левых, не говоря уже о встроенных) - запросто.
да пусть берут на здоровье! мне скрывать нечего!
seka33,
Да нафик им ваши деньги. Их человеческое сообщество интересует как биомасса. Поэтому тотально контролируются всё, социнтересы и интереесы вообще, образование, мышление, географические координаты, маршруты перемещения, платежи, и т.д. и т.п. вобщем всё.
Так вот почему Яндекс закатывал истерику
Коротко-все бойтесь за нами следят все !!!
Вот к чему приводит добровольное использование зондов.
Я в интрент с мобильного устройства вообще не захожу) так что мне без разницы:D
Finker_Emo,
ну да с сименса sx1 особо не войдешь)
pituka,
Да, он для красоты лежит возле компа)
как же всё тормозит . . .
данная информация была доступна для продвинутых пользователей
сразу можно посмотреть, какие разрешения у приложения, куда подключается
один из признаков - реклама
я не понимаю, почему эту новость не выложили 2 года назад ???
ведь это появилось в 2012 году :/
Именно поэтому у меня QVC
К стати при необходимости а что если ввести данные карты с помощью клавиатуры через otg кабель)))
Афигеть новость. А когда скачиваешь блокнот и там, нужен доступ к контактам, смс, интернету, камере, вайфай, микрофону и т.д, это гугл с эпплом не напрягает?
Antimah,
А почему их это должно напрягать если это ими же и внедрено. Именно такой допуск имеют все встроенные стоковые приложения (при том все приложения, начиная от элементарного блокнота и календаря). А внедряется это через гуглокомпиляторы (среда разработки приложений), т.е. если вы делаете даже очень простое приложение (которе, напрмер показывает результат сложения двух чисел) то даже такое приложение будет иметь доступ к контактам, смс, микрофону и т.д.
Всё в ваших руках, кастомов прошивки полно, программ которые могут вырезать права тоже полно. Play Market только умеет батарею сажать. Программы можно взять тут, для особо одарённых есть фаерволы которые блокируют весь трафик. Всё в ваших руках. Удалил Маркет и все гугло сервисы, батареи хватает на 1,5 дня активного пользования телефон Xiaomi Mi Note
WP отдыхает)
Давайте по сути новости. Вы сами инсталируете программу. При её установке автоматом жмёте Далее и не читаете текст. Сбор информации с пересылкой производят все программы для работы с удалённым сервером. Например, почта, мессенджеры и т.д.
Я молчу про сервисы защиты, они вообще становятся владельцами по умолчанию.
А может вспомним окно приветствия при первом включении аппарата?
Так что, господа параноики, используйте двойную авторизацию. Не нравится, ножками в банк, в зону самообслуживания или к кассе :)