Comments 309
RuStore не устанавливает приложения без активного согласия пользователей. При установке и запуске RuStore пользователь может принять или отказаться от предложенных разрешений. Они нужны, например, для своевременного обновления, предзаказа игр, проверки антивирусом и других функций. Это стандартные инструменты всех магазинов приложений, необходимые для работы сервиса
привет рустор наймите меня к себе работаь пж
Бесполезный ответ на комм с разбором
по “без активного согласия”: PreorderAutoInstallController (tq1/c.java) берёт packageName напрямую из тела пуша (PreorderAutoInstallPushDto.packageName) и передает в установку Среди зависимостей нет ни одного обращения к PreorderApi или PreorderNewRepository из vq1 клиент физически не сверяет присланный пакет с реальными предзаказами пользователя что сервер назвал то и ставится , это слепое доверие серверу, бекдор
по “стандартным инструментам”: покажите мне стандартный магазин приложений, у которого в схеме БД snapshot_records три независимых геофикса, MAC роутера, список сотовых вышек и флаг VPN, привязанные к userId, с интервалом съёмки 120 секунд по heartbeat. Для скачивания приложений это не нужно технической необходимости нет
по "MAX": вы устанавливаете в фоне правительственный мессенджер без E2E-шифрования не предлагаете - устанавливаете. setRequireUserAction(USER_ACTION_NOT_REQUIRED) + привилегия предустановленного системного магазина = установка без единого тапа
по Kaspersky kavsdk: 19 потоков телеметрии включая P2P-узлы, inotify по медиапапкам, в магазине приложений
и финально: 73 удалённо управляемых тоггла через FlipperRepository, все вышеперечисленное - Radar, тихая установка, сбор приложений - включается и выключается с сервера без обновления приложения
Резюме скину на почту?
Ответ из самой статьи который вы не прочитали
Иногда мне кажется они даже статьи не читают, это очень потешно
PR: ...не устанавливает приложения без активного согласия пользователей.
Код: Флаг
SAK_MAX_MESSENGER_INSTALLс сервера и методsetRequireUserAction(USER_ACTION_NOT_REQUIRED). Плюс отдельная очередь тихой установки по пушу без проверки предзаказа.
PR: ..не передает данные третьим лицам...
Код: Отправка телеметрии в
AltCraft(даже для неавторизованных) и раздача VK-токенов по AIDL сторонним приложениям (одобренным сервером VK) без диалогового окна.
PR: Они нужны, например, для своевременного обновления... Это стандартные инструменты...
Код: P2P-сеть Касперского,
inotifyмониторинг папок с фотографиями (DCIM) и отправка на сервер списка ВСЕХ лаунчабл-приложений без их версий (что делает своевременное обновление технически невозможным по этим данным).
Кароче я все еще жду, t.me/owenewans почта zarazaex@tuta.io или nori@memeware.net
ХА!
Поговаривают что гугл плей тоже крадёт все ваши данные и отправляет в массад, думаю надо б приложения сругла разобрать в скором времени
Или банковские.
Впечатляет.
Если есть запись в очередь - очень хотел бы посмотреть, что крадёт META-помойки, типа инсты, вазы или фейсбука. К слову, также предустановленные на множестве устройств приложения.
Но, конечно же, после сервисов гугла! Этот должен быть достойным соперником русторопоганке.
Что крадёт гугл - скорее академический интерес. А вот наши банковские, вк, ок, сбер звук и т.п. - уже интерес практический
Да-да. А ещё есть единороги, а веселые пони какают радугой
Откуда вы такие берётесь, знающие всё. Правда жизни такова, что лет 10 назад, скажи кому-то, что привычных карточек не будет - не поверят и даже посмеются. А сейчас стало вполне обыденностью и тут в том числе обсуждать как оплатить что-то.
Ааа, только сейчас увидел дату регистрации... ну все вопросы отпали. За 10 лет ничего не поменялось) Методы работы в интернете остались прежними. Ладно Пикабу, но почему Хабр не борется с этим?
Можешь повторить всё тоже самое. И убедишься в правдивости поста.
Будет бороться - вылетит из белых списков. Вы как маленький, ей богу.
Хабр разве в белых списках?
В моем регионе хабр открывается на БС, но частично, нет, например картинок (CDN не попал ?) и очень часто не подгружатся стили (опять же скорее всего всегда не подгружаются, просто иногда остается кеш когда заходил с нормального)
https://habr.com/ru/articles/1027276/ Здесь написано что да. Сам не проверял.
Это в данный момент, завтра интерес академический может легко перетечь в плоскость практическую.
И копать уж до конца - разобрать какую-нибудь популярную прошивку на базе AOSP типа LineAge (без GApps) на предмет того, точно ли она ничего никому не шлет. Типа - база, эталон приватности.
А потом наращивать уровень слежки - поставили gapps c https://gitlab.com/MindTheGapps - пошло течь то-то, поставили whatsapp - на такую-то дату течет то-то, госуслуги, рустор, мах... И свести в табличку - кто что тянет с вашего устройства.
Вот это будет серьезное исследование.
Что собирает гугл лично мне начхать, а не начхать на то, что собирает товарищ майор. Помните: то, что законно сегодня, завтра может караться уголовно, а в россии закон имеет обратную силу (прецеденты есть, гугл работает - кому интересно)
Закон, устанавливающий или отягчающий ответственность, обратной силы не имеет.
Это прописано в главном законодательном акте - Конституции РФ. Статья 54.
Продублировано в 10 УК РФ, 1.7 КоАП РФ, и 4 ГК РФ (но там с оговоркой).
Полагаю, все эти "прецеденты" - грубое незнание закона пишущих о них. Человека осуждают не за то, что он запостил свастику 10 лет назад - а за то, что он не удалил это немедленно со страницы вк, когда признано пропагандой.
Длящееся преступление в текущей практике обнуляет ваш аргумент.
в гугле забанили? оговорки-то оно конечно, все на оговорках. Прочтите, как людей судили за посты или комментарии, что раньше были законны, а теперь нет. И без вот этого "эта жи другое вы ни пинимаити". За старое вас посадить могут в россии, даже если вы не нарушали закон
Прочтите, как людей судили за посты или комментарии, что раньше были законны, а теперь нет.
это типичное заблуждение, когда не понимают юриспруденцию, вы путаете момент создание контента и период его распространения,
если бы этот пост был удален до принятия закона, то за него не судили бы
тут проще понять по аналогии с отдельным сайтом, если на сайте есть какая-то статья, то информация из этой статьи распространятся все то время, пока она висит на сайте, и в настоящее время тоже, а не только один раз в момент создания статьи
и то же самое с постами в соцсетях – пока они доступны в сети, законом считается, что эта информация постоянно распространятся (как постоянно работающее радио или ТВ), а не один раз в момент написания (как газета),
и судят за тот период, когда эта информация распространялась уже после принятия закона, который ее запрещает,
тут не применяют обратную силу к тому времени, когда контент еще был законным, тут судят не за создание, а за распространение
А РКН нужно признать соучастником всех подобных преступлений, раз он ввел технические ограничения для доступа к этим ресурсам. Ведь из-за него теперь невозможно устранить подобные нарушения (скрыть или отредактировать сообщения.)
Ну отредактируйте прямо вот это ваше сообщение. Как раз прошла 31 минута от его размещения.
Требования невыполнимых действий юридически ничтожны.
Тут можно тегать модера, возможно, считается.
Требования невыполнимых действий юридически ничтожны.
Невыполнимость должна быть признана юридически, как банкротство например. Иначе возвращайте кредит с пенями 100500% годовых или сидите в тюрьме 1000 лет.
ты же в курсе что буквально 10 минут назад за использование слова "заблуждение" в речи и письме а так же публикациях в сети интернет грозит ответственность от 3 до 5 лет строго режима с конфискацией имущества?
Хорошо, что я книги и статьи в журналах не пишу. И ведь до сих пор могут продавать и перепродавать.
в таком случае судить должны ресурс, не удаливший данный комментарий (за распространение), оказавшийся незаконным, который вчера был законен. Если на момент публикации комментарий был законным, а преследуют потом - значит закон имеет обратную силу (что является нарушением конституции, о чем вы сами раньше писали и это - нарушение конституции - в россии сплошь и рядом, и законно). Ка всегда: "эта жи другое вы ни панимаити!!". Тьфу, гадость, защитники беззакония блин
не один раз в момент написания (как газета)
Прошу прощения, а что случится с газетой после принятия закона? К примеру, лежит где-то на даче Пелевинка и увидел прохожий её корешок. То вот что теперь?
Я не докопаться, а понять эту логику, если вы в ней разбираетесь.
Для меня чьи-то посты десятилетней давности по сути как забытая газета, ждущая шашлыков
это типичное заблуждение, когда не понимают юриспруденцию, вы путаете момент создание контента и период его распространения, если бы этот пост был удален до принятия закона, то за него не судили бы
я конечно все понимаю, 15 рублей это 15 рублей, или сколько там сейчас платят. Но это логика просто за гранью добра и зла )))
А сообщения которые попали в web.archive.org считаются ?
А там прямо текст дела или дослоано обвинение выложено. Дайте ссылку? Вот действительно не хватает информации о таких делах, а то постоянно сначала пишут про выложенный мем десятилеине давности, а потом всплывает текущая пропаганда чегонибудь плохого в закрытых каналах
Само по себе понятие "длящегося преступления" - юридический костыль для обхода конституционного ограничения.
Само по себе понятие "длящегося преступления" - юридический костыль
с чего бы костыль? это просто постоянное действие,
если вы откроете свое радио и будете там читать Майн Кампф – то распространение экстремистских материалов будет идти все то время, пока вы транслируете в эфир книгу, а не только в момент открытия радио
если вы выложите Майн Кампф на сайте – то распространение экстремистских материалов будет идти все то время, пока она доступна у вас на сайте, а не только в момент публикации
посетителю сайта не важно, когда вы выложили там Майн Кампф, для него она доступна в настоящий момент
Это если сайт свой. А сайт может быть чужой который тебя забанил и не даёт удалить.
Вообще, где граница между "я распространяю" и "сайт распространяет"? С теми же авторскими правами на торрент трекере, вроде, обратная связь была, мол пишите - удалим. Блокировали тоже трекер. За удалением каналов идут в телеграм, а не к пользователю (на ют чел жаловался на снос канала за шутку, вряд ли бы он отказался выполнить просьбу, если бы к нему пришли). И владельцы сайта тоже могут не заметить что-то. Это нормально когда там лежит запрещенка, силовики просят удалить, сайт удаляет.
Распространение бездействием уже абсурд. Дальше можно не углубляться.
Вот если был бы закон который обязывает "принять меры к прекращению доступа к публикации" тогда можно было бы судить за бездействие выраженное в отсутствии принятия мер. Но тут есть проблема в том, что налагать подобные обязательства на всех подряд тоже не совсем законно. Это удел должностных лиц с соответствующими должностными обязанностями.
Вообще, где граница между "я распространяю" и "сайт распространяет"?
В действующем законодательстве РФ - в организаторе распространения информации (ОРИ). Если сайт с владельцем не ОРИ - распространяет сайт, если ОРИ - то распространяет тот, кто на сайте это написал (и данные которого ОРИ должен иметь и к которым имеют право получить доступ органы власти).
Хабр, вот, в реестре ОРИ. Иначе бы его после пары требований на удаление информации заблокировали без права разблокировки (всё по тому же законодательству).
В таком случае можно сделать так. Собираем все адреса служб поддержки (офисов) VK, Хабра, и т.д. и отправляем им прямо сейчас письма через Почту России.
Вы можете отправить сообщение (письмо) через «Почту России» прямо на email получателя, воспользовавшись услугой Электронное заказное письмо Почта России | Электронные письма.
Оно доставляется следующим образом:
Вы создаете и оплачиваете письмо на портале.
Система «Почты России» мгновенно переводит его в цифровой формат или распечатывает в отделении и доставляет по нужному адресу.
Если у получателя подключены Электронные извещения, он моментально получает ваше письмо или уведомление на свой e-mail.
с примерно следующим содержанием: "Я, такой-то такойтович, учетная запись такая-то, пароль на дату отправки письма такой-то, прошу удалить все размещенные мной на Вашем ресурсе материалы. При необходимости подтверждения моей личности готов предоставить дополнительные материалы по запросу."
И спокойно спим. Если же возникают вопросы - вы предъявите квитанцию об отправке данного письма. "А что я, это всё они, злыдни, не удалили вовремя!".
Нет. Это однозначно не работает. Есть уже достаточно случаев, когда осудили за старые посты, которые были в последствии удалены. Удаление не спасает.
Есть случаи, когда осудили за размещение запрщённой информации тех, кто обращался к распространителям с просьюой удалить, но получил отказ.
Естественно, что информация на не была запрещённой на момент размещения.
А есть прецеденты такого рода? Было бы интересно почитать мотивировку...
С прецедентами вообще туго, я озадачился как-то и поискал по базе судебной практики, там по пальцам двух рук можно пересчитать вообще все дела в России по таким правонарушениям, причем по большей части из них суд повертел пальцем у виска и дал условную тысячу рублей штрафа. Ибо формально нарушение было, кто-то Конституцию нехорошими словами назвал, кто-то фото со свастикой в паблик выложил...
Но если накидают конкретных ссылок, с решениями судов - буду благодарен.
Так написал один раз, а дальше распространяет какой-нибудь вконтакт, вот их посадить всех поголовно и на лесоповал, транссиб расширять вручную.
Так-то я сказать мог что-нибудь, а кто-то записал и привет, доказывай, что это было когда-то и сейчас я это уже не говорю и забрал свои слова назад.
Эти списки "экстремистских" материалов каждую пятницу пополняют, вы ещё скажите, что нормально следить за движениями левой пятки "госдумы".
Интернет – это интернет, нечего сюда лезть, не госдума его сделала.
Мы говорим чаще всего о платформах, т.е. ресурс принадлежит сторонней компании, которая ничего никому не должна и может ограничивать действия пользователя как хочет (в том числе и показывать/распространять материалы пользователя вопреки его желанию) или предпринимать действия за него. А значит по-хорошему нужны еще доказательства: что код сайта именно в момент совершения нарушения позволял конкретному пользователю это остановить. Т.е. в частности нужна выдача всего кода для экспертного анализа обоих сторон судебного дела и какая-то фиксация, что именно эта версия кода работала. И вместе с кодом также придется анализировать всю инфраструктуру платформы: записи всех СУБД и кешей - вобщем, ровно всех мест. Без всего этого суд исходит из презумпции виновности и безосновательного доверия стороне обвинения.
если вы откроете свое радио и будете там читать Майн Кампф – то распространение экстремистских материалов будет идти все то время, пока вы транслируете в эфир книгу
Ну то есть достаточно один раз прочитать по радио Майн Кампф, и распространение экстремистских материалов будет продолжаться тысячу с лишним лет, пока радиосигнал идет до Омикрон Персея 8.
если вы откроете свое радио и будете там читать Майн Кампф – то распространение экстремистских материалов будет идти все то время, пока вы транслируете в эфир книгу, а не только в момент открытия радио
а теперь тебе говорят, все кто читал эту книгу когда либо - преступники и должны сидеть, а если их уже нет, то сидеть должны их дети/внуки
чувствуешь разницу ?
Человека осуждают не за то, что он запостил свастику 10 лет назад - а за то, что он не удалил это немедленно со страницы вк, когда признано пропагандой.
Даже если вынести за скобки реалистичность исполнения этих требований какая разница?
Есть коммент 20 летней давности и через 20 лет вам за него прилетает. Факт? Факт. А какая псевдоюридическая казуистика это всё сопровождает значения не имеет.
Очень наивно) такая наивность по карману только детям в наше время. Ну или прлностью малозначительным людям которые максимум будут сводкой в статистике
А я вот на хабрп в старых комментах нахожу шутки юмора, которые не всем покажутся только смешными. Но народ их удалять не бежит.. Ах да, на Хабре старые комменты блочатся, и быстро.
Вот и чухай потом в суде, когда навесят длящееся преступление (что вообще являет собой удивительную юридическую норму).
Помните: то, что законно сегодня
можно продать мошенникам которые используют это против вас или ваших пожилых родственников.
Да кому ты нужен то! Чего с тебя майор поимеет? Сдавай себе шерсть, пока мясо сдавать не позвали и радуйся жизни. У тебя есть свое место в пищевой цепи и фиг ты куда оттуда денешься что с майором что без, что с персональным шпионом в кармане что без. Ну следят. И чо?!
У них есть KPI, палки по нашему. Ловить реальных преступников сложно, а найти коммент и человека совсем просто, чтобы погоны получать. В этом опасность для простых граждан
твоей наивности можно только позавидовать. когда тебя оштрафуют за поиск какой-то экстремисткой песни или за комментарий 10-летней давности, по-другому запоешь.
вот когда у нас слово "шерсть" станет уголовно наказуемым (вообще не удивлюсь, вон - квн уже запретили😂) - тогда на скамье будешь о том, что "следят и чо? я же шерсть сдавал..."
Да, как бэ, вопрос ещё и в том, что гагл хотя бы умеет шифровать данные. А не как эта помойка, что все твои дарные (какая интересная опечатка вышла 😂😂) доступны не только преступникам у руля, но и всем другим их видам. Вторые могут у тебя более беззаконно и безнаказанно отобрать деньги и имущество, как минимум.
Как гражданину России мне абсолютно фиолетово куда сливает данные ГП, на тамошних диктаторов мне в принципе наплевать. Ни в пиндостане, ни в ЕС среднестатистическому пролетарию не побывать и с их карателями не пересечься никак. А вот местные диктаторы, которые по хотению левой пятки охраны могут подогнать пепелац и увезти в эцих с гвоздями - вот это напрягает ещё как.
Ну то есть вас не напрягают аресты граждан на отдыхе, по запросу американских и прочих (третьих стран) органов?
Когда археолога арестовали на конференции, когда программистов в тае задержали а потом в штаты выдали.
З.Ы. я понимаю вашу оговорку про "среднестатистического пролетария", но как показывает практика, пролетарий никому нахрен не нужен. Нужен как раз непролетарий и далеко не среднестатистический.
Ну то есть вас не напрягают аресты граждан на отдыхе, по запросу американских и прочих (третьих стран) органов? Когда археолога арестовали на конференции, когда программистов в тае задержали а потом в штаты выдали.
Это все плохо, но порядки цифр разные. Счет одних только политзаключенных идет на тысячи (и мы явно не всех знаем). Третьи страны по политическим причинам (т.е. вне явных преступлений) тысячами наших граждан не арестовывают.
программистов в тае задержали
Это который из Fancy Bear?
Нигде , кроме Китая не был и не собираюсь! Если "патриотичные" личности катаются по вражеским странам в поисках ништяков и их там прихватывают, то кто им виноват? Пусть отвечают за свои хотелки.
"Когда археолога арестовали на конференции" - вы сами ответили на свой вопрос. Конкретно этот случай явно не связан со сливом данных с его телефона и личных сервисов гугла или прочих таких компаний.
Как гражданину России мне абсолютно фиолетово куда сливает данные ГП, на тамошних диктаторов мне в принципе наплевать
Это которые заявляют, что делятся с партнерами разведданными? Представьте, что они потом попадают и тем, кто звонит вам или вашим пожилым родственникам.
А гугл плей тоже макс втихую устанавливает?
Гугл тоже умеет втихоря ставить приложения. Вы можете с одного своего устройства установить приложение на другое. Либо восстановить установленные приложения на новое купленное устройство. В остальном - капец полный.
Чудесный, избитый и почему-то до сих пор считающийся рабочим риторический приём под названием whataboutism!
Что за массад? Это вид массажа такой?
Знакомая история. Как то у близких проверял телефон. Говорили виснет безбожно,думаю в чем же причина. Удалил им rustore, надо же сразу летает)
Справка: без нашего ведома и согласия в фоне скачивается и устанавливается MAX
а потом от нашего имени отправляет нарушающие закон сообщения, и за нами приезжает чёрный воронок с беспилотным управлением.
// хабратег: будущее здесь
А как он получает геоданные, если стоит запрет на доступ к ним на уровне ОС?
Про автообновление не могу подтвердить поведение, рустор на одном устройстве видит кучу обновлений для приложений, но ничего не устанавливает. В настройках у него есть для этого флаг.
Есть штука такая priv-app называется
Далеко не везде рустор стоит как привелигированное приложение. И для priv-app нельзя запретить доступ через обычные настройки.
Ну вот именно, там где он не прив ап - без разрешения он ничего собирать не будет
То есть беречь надо раритетные смартфоны. А не менять по свистку.
За пределами необъятной и в новых смартфонах этого рака нет.
Там свой. Xiaomi не даст соврать: рустор покажется вам лишь слабым отголоском того, на что способны реально отбитые политизированные помойки!
В Google Pixel ничего подозрительного не нашёл. А если я про Xiaomi что-нибудь напишу, меня опять за мат забанят. Я всё понял ещё лет 6 назад.
Перешивал сыну Xiaomi 11 Lite 5G NE на ту же LineAge. Впечатления были самые приятные - все бегает, время работы заметно выросло.
И естественно, от сяомитского безобразия и следов не осталось.
В Huawei из магазина в России нет сервисов Гугла, нет рустора, на Макс только значок на установку. Хотя вот Касперский стоит.
Интересно, далеко ли Huawei от xiaomi о котором пишут рядом. Может, не такой уж это и плюс 🤔
Надо просто ориентироваться для "серого" устройства на те модели, которые позволяют установку сторонних прошивок, без ненужного вам софта внутри.
А как насчет GraphenOS на Pixel? Нормальный вариант?
Вполне нормально, и остальные прошивки на базе AOSP - тоже хорошо. Линейка просто самая популярная и сравнительно беспроблемная. Вот прямо сейчас пользуюсь на планшете.
Когда поставил - уже писал, что положил чистый планшет на недельку и уехал в отпуск, за это время ни байта левого трафика, и батарея от силы на треть ушла.
А зачем мучиться на раритетном хламе, если можно взять современную модель которая перешивается ну хотя бы на ту же линейку?
мы еще по вашей прошлой статье так и не увидели примера, где приложениe реально в priv-app, и опять же этого мало, чтобы права иметь нужно privapp-permissions.xml , где пример хоть с одного устройства, что там? какие привилегии если в priv-app?
В теории приложение конечно может и сумеет... если у нее есть полные права через privapp-permissions.xml , а на практике?
лежать в priv-app это еще не значит что может лезть куда попало или вы думаете что производители смартов пустили рустор в priv-app с максимальными правами. описанными в privapp-permissions.xml?
ну разве что китайцы какие по договоренности.
А так... прям вот Самсунг, к примеру, взял, и вшил в прошивку рустор там и макс и дал по доброте душевной максимальные права через privapp-permissions.xml?
Вы сами то в это верите?
причем тут сасунг во первых, во вторых если приложение прямо пишется так чтобы работать в priv-app то оно там скорее всего работать и хотело.... тут прямо просятся расширения доступные только для priv-app, аналогии я не придумал
ну т.е. у вас опять "в теории оно может это", а на практике примеров устройств и примеров реальных прав, что указаны в privapp-permissions.xml у вас конечно же нет. Поэтому статья ни о чём!
положить в priv-app недостаточно же!
я вас прошлый раз посылал повысить свою грамотность и изучить как это работает, и что такое privapp-permissions.xml и сейчас даю тот же совет, преждем чем такие статьи писать и такие коментарии выдавать.
а то пока это все только как кармадрочерство выглядит.
Без реальный примеров - это всё фуфло.
Ну да приложение в теории могло бы это все делать если бы у него были бы такие права.
Только кто такие права даст?
лежать в priv-app - ещё ни о чем ни говорит, что приложение что-то может.
У меня телефону уже несколько лет, установлен был вручную. Но прям бесит, что рустор пытается обновить приложения, которые устанавливались не через него. Отключал скачивание - все равно зараза лезет не в свои
.... Очень нравятся твои посты, но самое главное не рассказываешь, что грозит обычным людям, какие последствия и что делать? У меня был скачан rustore, теперь мои данные 24/7 сливаются, или после удаления приложения у них в базе остался мои данные и мой след, тоесть при установке например max или вк или rustore они поймут кто это? Можно ли обезопасить себя. 😮💨
Как минимум, тихое обновление приложений из rustore, позволяет подменить любое из них на версию с их трояном, т.е. побоку все защитные механизмы android и linux, и даже тех крох приватности что были, больше нет.
Как пользоваться этой властью, остается на совести тех кто приказал внедрить эти механизмы (а у этих людей есть совесть?)... кража вашей криптовалюты. отдать чувствительную информацию вашему конкуренту (а в стране вообще осталась конкурентная экономика?). секретные переписки бизнеса или личное. Если вы мелкий и незаметный, ваша приватная переписка никому не нужна, но ее ценность растет экспоненциально от уровня вашего богатства и власти, ее можно и будут использовать против вас, в самый неприятный для вас момент. Ваши приватные студенческие фото, кому они могут навредить,.. через 10 лет, когда вы уже директор крупной компании,... и вот эти фото становятся совсем не безопасными. Ваши контакты будут бережно сохранены в общем графе, кто когда зачем почему о чем... все может быть сохранено и проанализировано. Нет никакой нужды удалять эту информацию, законодательная база к этому уже давно подготовлено, мы как население за это уже платим давно.
Никаких сдержек и противовесов, никаких страхов что кого то накажут за использование этой власти,.. это ружье висит на стене, и оно будет стрелять.
Тихая установка поможет обойти проверку подписи? Или речь про выкладывание самим разработчиком "спецверсии"?
А подменить подписи через центральный сертификат разве невозможно? Я не в курсе, но, как мне кажется, современная криптография, основанная на доверии к сертификационным центрам, уязвима к атаке через подброс корневого сертификата. А p2p криптография, без сертификационных центров, не позволит гуглу отзывать сертификаты и контроллировать рынок приложений, а значит он никогда такое не введёт в своей экосистеме.
я совсем забыл нюанс, для подмены приложения, потребуется удалить старое (только так игнорируется цифровая подпись), вместе с данными, т.е. подмена возможна но для пользователя это будет выглядеть как установка с нуля.
Старый способ через резервное копирование уже не работает но так как все продаваемые смартфоны проходят через требование установки торяна от госсударства, возможно это на этом уровне фиксится (что может быть безопаснее - интегрировать 'нормальный' механизм резервных копий)
ваша приватная переписка никому не нужна
Слышал, что в Китае есть рейтинг поведения в интернетах. Смотришь местного Навального, оставляешь комментарии против линии партии - отрубают интернет. В запущенных случаях могут постучать в дверь. Как в анекдоте
Два года по политической статье получил сантехник ЖЭКа за фразу: - "Да тут всё прогнило, всю систему нужно менять"
Насколько это правда про Китай, не знаю. Но, чем больше данных и мощностей всяких тспу, тем это реальнее. А дальше уже даже не закон Мерфи, а банальная экстраполяция тренда.
ваша приватная переписка никому не нужна
Именно поэтому всех с таким упорством перегоняют из неподконтрольных мессенджеров с возможностями шифрования в прозрачный МАХ.
Зачем заморачиваться с подменой, скоро просто выкатят обязательную обнову системы, которая выключит проверку подписей для "доверенных" пакетов
Ничего не грозит. Если обычный человек не понимает такую статью, ему уже поздно пить боржоми.
Для того, чтобы обезопасить себя не будучи специалистом, надо соблюдать правила информационной гигиены, не регистрироваться, удалять, не пользоваться и не устанавливать. Но это не удобно.
Вообще не понимаю, зачем нужны все эти сторы, плеи и прочее: реклама меня бесит, карточки нникуда не привязаны, а значит современные мобильные приложения для меня не подходят. А те, что всё-таки стоят - стоят с лучшего в мире стора для андройда - 4pda.
F-droid? Obtainium? Не?
Я предпочитаю сам контроллировать обновления.
Да и использовать взломанный софт в современном мире всего этого раболепия перед лицензиями и соглашениями мне тупо приятно. Тошнит от того, что люди дают правообладателю право диктовать условия лицензирования, условия сделки. Хочется политически бунтовать, и пиратство становится таким вот вариантом выплеска усталости от подписок, рекламы и "жри что дают или вали прочь". Просто психологический комфорт.
Каждому своё. Я бунтую путём написания и использования FOSS.
"жри что дают или вали прочь"
Судя по рассказам из геймдева и тому, что я сам видел, утрированный путь: слушать комьюнити - разочароваться в комьюнити - готовить жричодали - организовать аналитику агрегированной обратной связи.
А что там в мире разработчиков онлайн-казино?
SEO оптимизаторов?
Разработчиков скриптов подбора цен на авиабилеты?
Производителей оружия/наркотиков, в конце концов?
Зачем вообще мериться на говноедов, геймдев давно превратился, в массе своей, в хтоническую хтонь про мобилки/приставочки и донаты, ролбоксы, подписки.
предпочитаю сам контроллировать обновления
Obtainium как раз для вас. В будущем, надеюсь, может будет и чпда туда прикрутить.
Вот уж форумные сборки, как по мне, с точки зрения ИБ ниже официальных сторовых стоят. У меня нет никакого контроля над тем, что автор этой сборки в неё включил.
Выход всегда найдется. Самому освоить ADB с помощью AdbAppControl, или воспользоваться услугами специалистов для удаления нежелательного софта. В дальнейшем приложения можно скачивать в виде apk и устанавливать вручную, тем более что реально необходимых апликух не так уж много. Лично я предпочитаю широко известный сайт с модами, почищенными от рекламы и трекеров. На браузеры накатить рекламодавы (например uBlock Origin), вручную ограничить энергопотребление и фоновую работу большинству приложений. Показателем здоровья устройства является энергопотребление в режиме покоя, т.к. скрыть это на данный момент практически невозможно даже самым хитрым следилкам. Если за ночь съедается более двух...трех процентов батареи - желательно найти и устранить излишнюю активность.
что грозит обычным людям, какие последствия и что делать?
Он исследователь технической части, а не юрист или кремлевед. На основе этого доклада каждый думает сам, ставить эту помойку или нет.
да ничего вам не грозит, гео посмотрят, приложения по скачивают, последят, телефоны ваши по захватывают, проблема ли это для тебя ? наверное нет, если да то просто удали все ру приложения связанные с ВК
Судя по описанию собираются также "карты связей", условно, Васян Х находится на позиции гео-такойто в среднем каждую ночь, рядом вышки такие то , роутер такой-то, и так далее.
Аналогичная картина у Лены Г, то есть можно предположить что они проживают в одной локации с точностью до роутера.
Ну а как это потом использовать - компетентные товарищи разберутся.
КОмпетентные товарищи будут предлагать кредиты, страховки и ещё уйму несомненно случайных рекламных предложений по телефону и во всплывающей рекламе на сайтах.
А Другие компетентные товарищи будут предлагать невероятно точно персонифицированное участие в тайных операциях с распродажей имущества и передаче средств на хранение компетентным товарищам. Или что ещё поинтереснее.
А Третьи компетентные товарищи будут просить друзей из списка контактов срочто одолжить пятеру. И тоже с точной персонификацией
ВСё для компетентных товарищей
Нет, есть ещё четвёртые. Которые накинут вам цену за страховки (как авто, так и медицинский), проценты по кредитам, билеты на самолёты и всё подобное. Чем больше такие люди о вас знают, тем точнее их предсказания о том, сколько конкретно денег можно из вас вытащить. И они будут покомпетентнее любителей одолжить пятёру - там ставки выше. А ещё они вроде-бы как и заняты деятельностью легально, и для вас свою работу позиционируют как "подбор индивидуальных скидок", не уточняя, что эти скидки всегда отрицательные.
Фиксирование фактического проживания в реестре.
Не Васян, а Василий Х. Уважаемый человек. И люди компетентные, но не те. Даже нагрузку сложную делать не надо - все уже создано, сохранено и готово к отправке.
Камеры в Тегеране тоже были для компетентных.
Если оступиться и отключить по просьбе Яндекс.Карт ограничение на фоновый поиск сетей в меню параметры разработчика, чтобы "улучшить навигацию" - они даже не стесняются показывать вам ваших предполагаемых коллег, знакомых и тех, кем вы посидели рядом какое-то время, чтобы на них подписаться. Стоит ли говорить, что все эти взаимосвязи заботливо записываются куда надо для "вашей безопасности".
Увы, остаётся только взять жилетку и тихо плакать в неё.
А ещё больше хочется плакать от того, что пролиферирующие анальные зонды - повсюду. Банковские приложения самых разных банков; магазины приложений Гугла, Хуавея и Самсунга тоже собирают больше, чем нужно пользователю. И т.д..
Как бы использование GrapheneOS и F-Droid не стало квалифицироваться как "склонен к побегу" (из цифрового концлагеря) с де-факто поражением в правах.
С другой стороны, какой смысл о чём-то говорить после того как почти все мы добровольно и с песнями стали носить с собой персональных шпионов в виде смартфонов...
Как бы использование GrapheneOS и F-Droid не стало квалифицироваться как "склонен к побегу" (из цифрового концлагеря) с де-факто поражением в правах.
Устроиться на работу в США, если у тебя нет FB, linkedin, WA, практически не реально. Для HR'ов это red flag. Так что, всё уже тут, увы.
Никто не мешает вести двойную цифровую жизнь, когда у тебя и FB, и WA и все остальное есть, но там только котики и открытки с Покровом Пресвятой Богородицы фото с митапов, ссылки на умные статьи по работе и мотивирующие ролики. Ну иногда, раз в два года - фото с короткого отпуска (и то с рабочим ноутбуком на фоне) :)
А шатание режимов и антикорпоратские высказывания - на другом устройстве, "сером". Причем устройства максимально друг от друга изолированы...
Если б всё так просто было. Никогда не знаешь, когда мотивирующий ролик окажется шатающим режим.
Ну уж не преувеличивайте, в теории прямо сейчас к вам могут вломиться сатрапы Темного Властелина, напихать в карманы патронов, кокаина и подсолнечных семечек и увезти в темные подвалы Замка Отчаяния. И без всяких комментов и роликов. :)
А в реальности никому вы нафиг не сдались, как и я. Обидно, да...
Вы же даже на выборы не ходите ;)))
Не устанавливайте, не носите и другим рассказывайте, с кем нормально общаетесь, даже если кажется что это бесполезно
Где-то с полгода назад мне предложка Ютуба принесла с коротким интервалом сразу несколько роликов с названиями типа "Graphene OS - illegal?!?!"
Там, разумеется, учёный изнасиловал журналиста блогера, но дым не без огня: в какой-то стране (Испании? не помню...) действительно полиции дали инструкции отслеживать ОС, и если это Графен - проверять задержанного особо тщательно.
RuStore это не приложение, это магазин приложений. Он по определению должен иметь больше разрешений. И, сравнивать его поведение надо с аналогичным функционалом самого Гугла. Так что, скажите, что из всего перечисленного выше не делают Гугловские сервисы?
Я вообще не понял, как он качает без спроса, если я каждый раз захожу в рустор сам и там висит обновление для мах?
Если я правильно понял, там отдельно настраиваются автоматическое скачивание обновлений и автоматическая установка. Скачивать можно и без подтверждения а установить нужно подтверждение. Это экономит время пользователя, когда он нажимает кнопку "обновить".
Я не всё прям прочитал (знаний не хватило), но может это как раз разное поведение для скачанного и предустановленного на устройство?
Но заголовок буквально "качает макс без спроса".
У меня рустор установлен, а макс - нет. И ничего без спроса не качается почему-то
Потому что на некоторых смартфонах есть дополнительные настройки защиты, которые ограничивают права некоторых приложений. Это упоминается здесь в комментариях, к слову.
Ничего он не ставит сам и не качает. Автор в очередной раз кормит всех нейрослопом, а местные с радостью за обе щеки хавают, ведь тут столько слов - триггерров, от которых у них каждый раз перевозбуждение случается. Хабр 2026 итоги.
А по теме - стандартные пермишены для любого стора, а вокруг них уже нанейрослопили альтернативную реальность
На недавно купленном Xiaomi 15 google play без спроса сам ставил игры и приложения, даже после того, как я отказался их ставить сам.
На 12x тоже само что-то появлялось. Не смотрел откуда поставилось. Рустора точно не было. На realme у мамы тоже, но у неё и рустор есть.
У ксиоми своя помойка, он не из гугла ставит.
У меня HONOR и недавно приехало обновление системы. Перезагрузил смартфон и он высветил неудаляемое сообщение "типа надо поставить эти приложения", а там макс, яндекс и ещё что-то, уже не помню. Он мне надоело - постоянно появляется в сообщениях, нажал согласие - он начал все это качать на смартфон. Пришлось обрубить всю связь и срочно разбираться.
Хорошо, что я постоянно инспектирую приложения и увидел, что в там появилась какое-то странное приложение inapp или как-то так называлась, я его удалил и диалог загрузки исчез.
Там ещё что-то было, вроде как я еще ещё в системных что-то удалял, но, к сожалению, времени разбираться не было, надо было уже выезжать....
Даже странно. Самый заплюсованный и самый заминусованный комменты предлагают одно и то же - расковырять гугл стор и сравнить с ним.
поговаривают гугл делает не то что меньше а даже больше
https://codeberg.org/mi6e4ka/openstore
На здоровье
Давно пора ВСЕ эти "гос. приложения" выпилить со всех нормальных площадок...
Кому надо - найдет способ и установит.
;0)
поясните, как rustor приложение по тихому обновляет приложения, если на любой чих установки требуется системное подтверждение установки apk?
поясните, как rustor монитори dsim каталог, если ему не выдавались права на доступ к хранилищу, вот открываю свойства приложения, написано - разрешения не предоставлены, а в списке всего там местоположение, список вызовов, телефон и файлы и медиаконтент.
по любому поводу рустор предлагает обновить большую часть установленных приложений, естественно ему не разрешаю,.. это вопрос, в какой момент это разрешение по ошибке не будет представлено (там один неловкий тап по экрану).
Нейроспам от школотронов снова на хабре. Вот в каком виде он пользуется гитхабом. Может уже пора перманентный бан выдать?
Что сказать-то хотел этой ссылкой? Кто "он" то?
И если школота с помощью ИИ может собрать такой вот разбор, то я хочу продолжать читать такую вот школоту. А банхаммером размахивать ты тут мордой не вышел!
Он про zarazaexe
zarazaex69 или zarazaexe?
Ок, даже если так. Мне по нраву такая "школота", пусть я с ним и не согласен местами. Позиция его прозрачная и... как бы вырозиться... светлая. И технические навыки на высоте. Такие нужны Хабру!
такой вот разбор
Так это и не разбор, а нейрофантазии
И пруфы, разумеется, будут?
Для справки: предыдущая статья автора, как и весь реверс, были проведены ИИ; пытаясь оправдаться, автор начал сам себе противоречить: https://habr.com/ru/articles/1036222/comments/#comment_29984758 (читайте весь тред).
Третья атака на личность автора с обвинением в нейрофантазии без конкретных аргументов. Первая в начале ветки, вторая ниже https://habr.com/ru/articles/1046710/comments/#comment_30100898
У них там какая-то своя атмосфера. Мож друганы. И ваще, ты сейчас апеллируешь к личности, а не фактам. Не делай так.
Исторически так сложилось что оппонировали написанному люди двумя способами:
собственно обсуждая написанное
обсуждая личность автора
Не знаю почему, но второй способ всё ещё популярен. В основном, конечно же, среди маргинализованной части населения, но встречается повсюду. Увы.
говорят я маты пишу, вроде истину матушку несут из уст своих
С баном вы перегнули, кмк, а касаемо нейрослопа - жирный плюс.
У меня не так давно в чатике были претензии к его проекту olcrtc, касаемо того, что это жуткий нейрослоп как по написанию кода так и по логике работы (я молчу о каждодневном рефакторинге (на самом деле полное переписывание проекта агентом с каждым промптом) в МРах и соответственно постоянно обновляемой кодовой базой, которую невозможно использовать стороннему пользователю) и выкладывать такое в опенсорс как минимум стыдно. На что я получил ответ, что ему не нужно писать поддерживаемый и читаемый код, если он работает.
В целом все эти проекты (olcrtc и подобные) уже расплодились в сотни штук на гитхабе и каждый написан нейросеткой, практической пользы от них никакой.
Будущее хабра, кстати
Да там давно уже все расписано. Было интересно че там щас вкатунам в ойти впаривают, ходил смотрел курсы. Вот буквально месяц назад. С чистого хрома на компе, без логина, через личный квн с лично арендованной впской. Ниче там не нажимал, нигде данные свои не оставлял.
Через полчаса на телефон начинают звонить 2 из 3 просмотренных популярных продавцов курсов со своими предложениями "а вот вы интересовались, а не хотите курсы кобола для чайников и 3 месяца олбанского фпадарок?"
где они взяли мой телефон(симке хорошо если полгода и знают этот номер полтора человека), как они его сопоставили с моей активностью в сети с голландского айпишника - так и не понял.
У рустора по-умолчанию нет разрешений на чтение списка приложений, у меня до сих пор ноет при каждом запуске. А автообновление - это вообще первое, что я отключаю во всех сторах, начиная с гугла.
Ну и как он может скрытно ставить приложение, если он после скачивания каждого пакета требует нажатия кнопки "установить"?
Или у вас был рустор как системный магазин, а не как юзером установленный?
Статья разбирает всё приложение, как я понял, но поведение для системного отличается.
Просто системный магазин любой может молча софт ставить - гугл, сяоми, самсунг. А несистемный требует подтверждения на установку - рустор, фдроид, аппгалери (если не на хуавей).
Потому мне странно видеть про "качает без спроса". Да и мониторинг гпс тоже - у меня вот рустору вообще никакие разрешения не даны. Как он может к локации доступ получить?
Да, я вспомнил, что у меня рустор на читалку пришел с прошивкой. Там у него прав больше и он сам себе их выдаёт при запуске, даже если отобрать принудительно.
Ну и приложения ставит молча, без подтверждения. Хотя про работу в фоне спрашивал отдельно, я не разрешил - но он и сам мог себе разрешить.
Сейчас все приложения вк с сюрпризом? У меня к старым почему-то нормальное отношение осталось, но во всём насаждаемом вредоносном мобильном по, как будто, замешаны вк. Сам вк стоит на телефоне и, похоже, зря. К Касперскому тоже отношение нормальное и тоже, похоже, зря. Зрелая, по меркам айти фирма, в которой работали крепкие ребята и чей основной продукт стабильно где-то в топе был + будь я безопасником, мне кажется, я из-за профдеформации был бы параноиком и на любое предложение залезть куда не нужно и, тем более, передать данные не самым надёжным партнёрам, кидал бы ноут в предложившего, стараясь попасть углом в голову. А ТС немного проехался по касперскому.
калперский это гос отдел чекистов, это в каком-такое "топе" их "зрелый" ойти продукт был? в топе spyware?
Когда я еще ставил антивирусы, допустим, на win xp, если я помню правильно, он был высоко в рейтингах
Его даже до февраля 2022го вполне себе и зарубежные компании использовали. Сам лично в такой работал в Европе, и стоял Касперский, но потом быстро он в запрещенный софт ушел и быстро сменили на другое.
Вероятно, отказались не потому что продукт плохой или вредоносный, а по политическим соображениям и на всякий случай. В СМИ тоже не помню ничего об этом, а как бы могли посмаковать, если бы поймали за руку.
В СМИ полно всего написано, даже сейчас прекрасно гуглится. И про взаимодействие с ФСБ и посадки за госизмены и даже про разного рода "киберраследования инцидентов". Но суть даже не в этом.
В современной России уже невозможно быть нейтральным производителем ПО и "просто выпускать хороший продукт", все равно к тебе придут и найдут как на тебя надавить своими "рекомендациями", от которых не выйдет отказаться живым и здоровым, пребывая на свободе и превратят твой продукт в инструмент кибервойны и шпионажа. Для этого не надо даже обладать сверхразумом, с учетом всех последних событий, когда любая российская IT-контора на задних лапках предавала любых своих пользователей и контрагентов, даже без оглядки на законность данных действий.
Одно другому не мешает.
Если бы Касперский был в версии 1.0 бета, я бы терпимо относился к косякам. Но для столько лет разрабатываемого продукта сохраняющиеся баги это кринж.
На работе легально пользуемся корпоративной версией, постоянно гимор с несоблюдением исключений, постоянно блокирует mesh (удаленное управление ПК), портит дату создания файлов внутри архивов, присланных почтой, при обновлении баз скачивает и бросает временные гигабайтные папки в temp, глючный фильтр портов usb, повреждает данные на сменных носителях при сканировании. Спамит "критическими" угрозами в уведомления, максимально хрупкая система обновлений.
Хорошие были идеи администрирования/сбора инфы в сети предприятия, в духе "с какого ПК заходил имярек" но реализованы, как будто школьник отыскал сидюк с Делфи и в гридс пробует.
Это я деликатно не упоминаю, что Каспер любую тачку на колени ставит в ходе сканирования(
Мы вынуждены были его ставить т.к. nod32 оплатить превратилось в квест.
А говорят максп лохой. Вон сколько хайпожоров развелось))). Любой пуньк в сторону макса и сразу писать нейростатью)))
Две атаки на личность с одинаковым обвинением в использовании нейросети (в надежде на то, что хабровчане этого не любят и запустят аутофагию) без доказательств
Вторая рядом https://habr.com/ru/articles/1046710/#comment_30100800
Нейроспам
Не встречал вроде такого, но лично у меня каждый раз в голове всплывает уровень ЧСВ разработчиков MAX, которые назвали себя ru.oneme.app - One Messenger, так?
Похоже здоровых приложений, как и людей, нет, есть необследованные..
Зачем каталогу приложений следить за появлением новых фото в галерее пользователя?
ну например вот за этим - LANDFALL Spyware Campaign / CVE-2025-21043
Интересно, а как дела обстоят с NashStore?
Не надо.искать заговора там где его нет. Все сами добровольно носим анальные зонды, наше импортозамещенное по не исключение. Для объективности автор, проверь западные и китайские свистоперделки там все тоже самое. Самое простое что можно делать использовать Андрюш с открытым загрузчиком ставить AOSP прошивки,на них ставить тулзы ,которые управляют доступом к ресурсам смарта и сети. Но скоро и эту лавочку прикроют, 17. Андрюша тому показатель. Так что смиритесь и просто учитывайте при работе в сети ,что вы открытая книга для всей аналитики из установленного ПО на вашем телефоне и это данность.
Свято место пусто не бывает, тем более на таком высококонкурентном рынке. Если в массмаркетовых телефонах ограничат возможность разлочки, тут же вылезет какой-нибуть Lilygo с открытым смартфоном - опенсорсный кнопочник у них в ассортименте уже есть... Собрать сейчас открытый смартфон с внешним модемом запросто для любой небольшой конторы, условный SimCom SoM размером с мелкую монетку сейчас, и висит на usb, то есть полностью контролируется хостом.
Согласен полностью, но как минимум барахтаться надо чтобы мозги не закисли.
автор, проверь западные и китайские свистоперделки там все тоже самое
НЕ МОЖЕТ БЫТЬ НЕ МОЖЕТ БЫТЬ! КАК ТАК КАК ТАК! НЕ ВЕ РЮ!
\s
Интересно, насколько облегчается работа хакеров?
Полезный разбор. Делайте такой же для самсунг/хуавей маркета и гугл плей - они стоят как системные и имеют куда больше прав. А еще это большая помощь ромоделам - становится понятно, какие данные надо фальсифицировать. Спуфинг геолокации, например, уже есть во многих кастомах, и если приложение не в белом списке, ему отдаются заранее установленные левые координаты.
Я впервые в жизни проникся уважением к Эплу и оценил по достоинству закрытость её систем.
Эпл просто берёт и лепит звонкую пощёчину людям, которые себя считают уважаемыми, выбрасывая на помойку их парковочный скам из эппстора, вынуждая аж целого министра блокировок приходить с челобитной и выяснять, что случилось.
Андроид же распахивает все двери перед разработчиками приложений, позволяет им неограниченно собирать и выгружать все без исключения данные обо всём, что происходит на устройстве, и отправлять кому угодно вообще. Зато если ты, как пользователь, захочешь выпилить из системы предустановленный Гуглом или вендором мусор, или выполнить настройки на уровне системы под себя - то хрен тебе, нельзя, запрещено, а то сломаешь чего, а мы о тебе заботимся же изо всех сил, аж спать не можем, как за твою безопасность переживаем. Ну или ломай рут права и лишайся гарантии.
Я удивлён не скотскому поведению разработчиков рустора, это наоборот ожидаемо от них. Я удивлён, что сам андроид делает всё возможное, чтобы помочь им.
Не думаю, что Эппл выпнули мах из лучших побуждений и в качестве заботы о пользователях. VPN они выпинывали ничуть не менее активно.
Скорее, дело вот в этом - "Федеральная служба безопасности РФ возбудила уголовное дело за системный кибершпионаж через смартфоны".
А дальше пошло как в старом анекдоте :)
https://www.anekdot.ru/id/-10050219/
Звонят из горкома партии в церковь.
Батюшка снимает трубку:
- Алло.
- Здравствуйте, батюшка! Из горкома Вас беспокоят. Вы понимаете тут у нас должно быть партийное собрание, а скамеек нету, одолжите, а?!
- Хрен вам Скамейки! В прошлый раз дал, так Вы их пахабщиной разной исписали!
- Ах, хрен нам скамейки?! Тогда хрен вам пионеров в церковный хор!
- Ах, хрен нам пионеров?! Тогда хрен вам монахов на субботник!
- Ах, хрен нам монахов?! Тогда хрен вам комсомольцев на Крестовый ход!
- Ах, хрен нам комсомольцев?! Тогда хрен вам монашек в финскую баню!
Google планомерно закручивает гайки ограничений и на горизонте будет близок к iOS. Apple же дает больше свободы в «кастомизации» считавшейся преимуществом.
Но это все в официальном русле. Неофициально вендор по требованию государства будет шить нужное и разрешать установку откуда разрешит государство. В первую очередь Индия.
Андроид же и выиграл конкуренцию в том числе свободным магазином. В первых версиях там каких-то вирусов куча была. Будь сейчас времена 1.6 , но с блокировками, каждый бесплатный впн шпионил бы, сливал всё что можно и ещё слал бы смски на короткие номера и оформлял подписки. Я один раз видел жалобу на слив фото что ли, в котором человек подозревал впн и... всё. Магазин теперь уже не такой дикий и куда ближе к Эпл.
Обе корпорации прекрасны по-своему, просто у них разные бизнес-модели монетизации твоей приватности
Ничего.
Остался 81 день https://keepandroidopen.org/ru/
Подскажи, как удалить с телефона Фейсбук который я не устанавливал?
Только сделать disabled. Смотри отключение встроенного программного обеспечения, pm disable , точнее сейчас не вспомню.
На ксиоми от него был установщик который отсутствовал не только в приложениях, а в adb list. я его нашел когда удалял по нагугленному списку. вместо "приложение не установленно" он мне написал что "невозможно удалить". Я подозреваю, что это даже мимо гугла прошло - мордокнига напрямую с вендором договорилась.
Пробовали?
в гугл плее мб, это у сасунга партнерка
Можно отключить работу в фоне, рустор будет периодически ныть, что ему очень нужна эта привилегия, но и без нее он работает.
И отключить фоновую работу сети и установку неизвестных приложений, включать права только явным порядком при необходимости и сразу выключать. Так и гугль плей вообще отключил. Если что припирает поставить, ставлю с 4pda. А когда запретят всё кроме рустора и гугль плея - уйду на кнопочный, когда старые приложения на этих будут нефункциональные.
Можно отключить работу в фоне
Может быть. Но типичный пенсионер этим заниматься не будет. И его смартфон насильственно обмахают.
Обратил внимание, что телефон иногда самопроизвольно перезагружается. И происходит это исключительно ночью, а утром начальный экран и выключенные приложения, которые были запущены с вечера (ежедневник и проигрыватель для аудиокниг). Удалили RuStore, чтобы проверить без него, т.к. грешил на само железо или системные службы.
З.Ы.
Заодно поискал приложения, которые я не устанавливал. И нашел целых два:
первое с обновлением дроида приходит
первое с обновлением дроида приходит
А разве дроид обновляется не по запросу? Вроде всегда было отдельная команда обновить, а не втихаря по ночам. И вряд ли дроид мне установил “МИР СПБ Привет!”
Новый андроид обновляется с гугла сам втихую. Мимо вендора даже. И отключить никак нельзя.
Обновляться может и не по запросу, может в фоне по WiFi ночью основу скачать и сам поставить. Особенно если настройки обновлений системы не менялись. Сейчас очень много устройства идут сразу с A/B разделами, в фоне скачанный образ обновления копируется в второй раздел, а при перезагрузке устройства происходит переключение на второй раздел, на первый потом будет происходить переключение. Телефон может ночью сам быстро это сделать и ночью перезагрузить. У меня так пару обновлений на Poco установилось.
Проверил смартфон. Признаков обмахивания смартфона (тайной и подлой установки МАХа) не обнаружено. Но возможно МАХ очень хорошо замаскирован. Исследования и наблюдения будут продолжены.
Установка MAX Messenger и аналогичного ПО происходит по серверному флагу SAK_MAX_MESSENGER_INSTALL
Может SUX_MAX_MESSENGER_INSTALL ?
Исходя из текста статьи (да и остальных разборов отечественного Spyware), можно сделать только один вывод: имея вагон вариантов организации изоляции и реальных песочниц, начиная от нативных неймспейсов, заканчивая предоставлением системных API с жёстко за данными полномочиями, система сама светит дырами направо и налево и отвечает на ненужные вопросы каким-то левым приложениям, которым никакие разрешения не выданы. Вопросы больше к ядру ОС, нежели к тому, что софт вовсю эксплоитит эти дыры.
На таких статьях наше МВД взрослеет)
Я даже не придумал как их оправдать.
Достаточно было в гугле вбить два слова «vk radar». И обнаружится что у вк существует сервис для телекома, которому нужны координаты для мониторинга сети
https://habr.com/ru/news/863030/
А это что - хорошо? Пользователю какая от этого польза? Никакой? Ну значит это spyware очередное.
Ну если для вас улучшение качества интернета — не дает никакой пользы, то ок
Пардон, как именно вконтакт, к которому я никаким боком не отношусь, "улучшит" качество моего интернета, следя за мной? Здравый смысл говорит, что никак, инструменты для мониторинга покрытия и загрузки каналов у каждого провайдера и опсоса есть свои, и вконтакт тут никаким боком не уперся. Если конечно там нет функции моментального улучшения качества сигнала при произнесении "ФСБ, бомба, террорист", как в баянном анекдоте.
оправдать а не сделать все еще хуже*
Кстати вот после чтения статьи по ссылке еще больше вопросов - там заявлено что radar этот - для мониторинга сети на просмотре видео? С каких RuStore стал активно проигрывать видео?
Безопасность уровня ключа под ковриком, зато модный JNI прикрутили)
Пора уже так....
Но нельзя )
А кто-нибудь изучал работу приложений из RuStore в Shelter?
MirPay перестал запускаться в основном профиле при установке второй копии и помогла только чистая установка с повторым добавлением всех карт. Альфа-Банк отключил вход по биометрии в рабочем профиле и не включил его даже после пометки устройства доверенным.
Гугл кстати тоже собирает тогда бывает приятно зайти посмотреть где когда и сколько ходил
Ну а рустору да лишние права лучше не давать
Получается, что любое российское ПО ставить как минимум нежелательно. Печально что мы до этого докатились... в принципе талантливые айтишники, и занимаются (вынуждены заниматься?) вот всем этим. Пора уже создавать независимый от государства "черный список" приложений... Ну и "белый" - то что с полностью открытым кодом, не содержит ничего шпионского и не связано ни с какими государствами и корпорациями.
Справка: без нашего ведома и согласия в фоне скачивается и устанавливается MAX - правительственный мессенджер, в котором полностью отсутствует E2E-шифрование.
Если человек не будет использовать МАХ, то шифрование не имеет значения. А если будет использовать, то нет резона указывать на отсутствие согласия на установку. Готовность использовать как бэ предполагает и согласие на установку.
Возможный сценарий - пенсионер заходит на Госуслуги, ему предлагают установить МАХ, он нажимает кнопку “Ага, давай ставь”, и без лишних движений и напряжения мозга, МАХ устанавливается на смартфон пенсионера. Это позитивный сценарий.
А какой может быть зловредный сценарий?
Я таки виню Google за такой Android где всё это можно проворачивать
Сравните как с этим в GrapheneOS и стандартном Android - почему стандартно было так не сделать? (выдача фейковых разрешений приложениям, настоящий sandbox, не давать приложениям вести себя как дома и читать всё и вся и знать всё о системе и её настройках)
Гугл начинает говорить про “приватность” и “безопасность” только когда он хочет заблокировать или усложнить установку сторонних ОС и приложений на телефон (вроде тек что как раз и нацелены на приватность), но делать что-либо с самой архитектурой позволяющий такую антиутопию совершенно отказывается (и нет, это не только у нас так в регионе, а уже давно и много где - привет Индия например)
Вопрос: что реально может Rustore с такими настройками?
Спасибо за труды, дружище.
ОК ! А теперь вопрос - это дерьмо желательно совсем удалить с телефона или достаточно не давать ему разрешений ?
Если я айфон куплю, я буду защищён?
Очередной отборный нейрослоп от школьника, и это лайкают...
привет
пока
Но вы же и правда школьник, который пишет нейрослоп
Если в статье есть правдивая информация, которой нет в сети, и которую никто не потрудился опубликовать, то нюансы не столь важны. Здесь выбор между наличием информации, и отсутствием информации. Если информация достоверна и уникальна, то вопрос о ее происхождении не принципиален.
Если в статье есть неправда, то нужно указать именно на это, а не на личность автора (или AIвтора).
В комментариях очень мало разбора статьи с технической точки зрения, и очень много оценок с идейной и эмоциональной позиции. Пикабу-стайл комментарии, а не айтишные. Вот это печалит больше чем нейрослоп.
RuStore не устанавливает приложения без активного согласия пользователей. При установке и запуске RuStore пользователь может принять или отказаться от предложенных разрешений. Они нужны, например, для своевременного обновления, предзаказа игр, проверки антивирусом и других функций. Это стандартные инструменты всех магазинов приложений, необходимые для работы сервиса
привет рустор наймите меня к себе работаь пж
Бесполезный ответ на комм с разбором
по “без активного согласия”: PreorderAutoInstallController (tq1/c.java) берёт packageName напрямую из тела пуша (PreorderAutoInstallPushDto.packageName) и передает в установку Среди зависимостей нет ни одного обращения к PreorderApi или PreorderNewRepository из vq1 клиент физически не сверяет присланный пакет с реальными предзаказами пользователя что сервер назвал то и ставится , это слепое доверие серверу, бекдор
по “стандартным инструментам”: покажите мне стандартный магазин приложений, у которого в схеме БД snapshot_records три независимых геофикса, MAC роутера, список сотовых вышек и флаг VPN, привязанные к userId, с интервалом съёмки 120 секунд по heartbeat. Для скачивания приложений это не нужно технической необходимости нет
по "MAX": вы устанавливаете в фоне правительственный мессенджер без E2E-шифрования не предлагаете - устанавливаете. setRequireUserAction(USER_ACTION_NOT_REQUIRED) + привилегия предустановленного системного магазина = установка без единого тапа
по Kaspersky kavsdk: 19 потоков телеметрии включая P2P-узлы, inotify по медиапапкам, в магазине приложений
и финально: 73 удалённо управляемых тоггла через FlipperRepository, все вышеперечисленное - Radar, тихая установка, сбор приложений - включается и выключается с сервера без обновления приложения
Резюме скину на почту?
Ответ из самой статьи который вы не прочитали
Иногда мне кажется они даже статьи не читают, это очень потешно
PR: ...не устанавливает приложения без активного согласия пользователей.
Код: Флаг
SAK_MAX_MESSENGER_INSTALLс сервера и методsetRequireUserAction(USER_ACTION_NOT_REQUIRED). Плюс отдельная очередь тихой установки по пушу без проверки предзаказа.
PR: ..не передает данные третьим лицам...
Код: Отправка телеметрии в
AltCraft(даже для неавторизованных) и раздача VK-токенов по AIDL сторонним приложениям (одобренным сервером VK) без диалогового окна.
PR: Они нужны, например, для своевременного обновления... Это стандартные инструменты...
Код: P2P-сеть Касперского,
inotifyмониторинг папок с фотографиями (DCIM) и отправка на сервер списка ВСЕХ лаунчабл-приложений без их версий (что делает своевременное обновление технически невозможным по этим данным).
Кароче я все еще жду, t.me/owenewans почта zarazaex@tuta.io или nori@memeware.net
А ты чего у них хочешь? :) переписать чтобы этого не было или чтобы никакая другая зараза не увидела?
денег....
Блок на негатив губит
я бы за деньги статью эту удалил, ну на месяц, типо я бы вот устроился в рустор работать типо - каждый месяц платят по 300к руб просто чтобы я эту статью скрывал, за 600к мб и макс буду \шутка
ХА!
я так и не понял каким образом он что-то устанавливает, это прям установка или реклама которую этот недомагазин подсовывает в обновлениях, где вместо обновления приложений весит пак с предложением скачать тиньковы и т.д (один раз попался на этот скам, теперь внимательней смотрю) ещё и на каждой обнове подтверждать установку надо
и как он может следить,если у него по умолчанию вообще никаких прав нет (новый телефон с предустановленным стором)
О, раз у вас новый телефон с предустановленным стором – будьте добры, проверьте, куда именно он установлен (если adb под рукой):adb shell pm path ru.rustore.app
Собственно, интересно – хоть где-то он установлен, как системное приложение с соответствующими правами?
ничего не выдает.
fleur:/ $ pm path ru.rustore.app
1|fleur:/ $ pm list packages | grep rustore
1|fleur:/ $ потому что не ru.rustore.app, а ru.vk.storeесли не сложно то
adb shell pm path ru.vk.store
adb shell dumpsys package ru.vk.store
и...
adb shell
потом на приглашение
$
ввестиfor f in 
f" done
и там уже секцию про ru.vk.store поискать...
не знаю что ты хотел увидеть, но оно не системное, его можно удалить, кстати называется оно ru.vk.store
в том то и дело, что ни как, а фантазии автора статьи, что там приложение в priv-app с максимальными правами, указанными в privapp-permissions.xml для приложения (правда ни одного примера и доказательств этого мы от автора не увидели), тут все его доводы строятся на том что "если приложение положить в priv-app и дать ей системные права соответствующие... (да да... все вендоры телефонов так и сделали и дали рустору там... Максу и т.п. такие права).
ну разобрал он апк-шку, ок, увидел возможности что приложение могло бы... но в том то и дело что БЫ :)
зато статья, и куча плюсиков... Хабр уже не тот
Хабр уже не торт!!
А теперь сейчас же ответь на вопрос: если малварь требует судо для кражи паролей он перестает быть малварем?
ВТОРОЕ: код прямо требует права которые невозможны без priv-app, тоесть по твоему разработчики рустора совершенно случайно написали туда тихую установку, совершили 100 строк ошибок в 100 строчках кода ?
напомню старую клюкву:
"Скачал вирусов себе на линух.Распаковал.Поставил под root.Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.
Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.
Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.
В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать..."
"ВТОРОЕ: код прямо требует права которые невозможны без priv-app, тоесть по твоему разработчики рустора совершенно случайно написали туда тихую установку, совершили 100 строк ошибок в 100 строчках кода ? "
ну... на каких-нибуть яндексо-фонах это всё же может сработать, конечно же (если вендор не против, а там есть шанс что он будет не против). Только кто в здравом уме такое купит...Для 95% рынка смартфонов - эти все предположения про опасность рустор - не больше чем фантазия.
у меня тоже есть АПКшка моей разработки в т.ч. и с "тихая установка" и многое другое, я больше скажу, клиенты рады бы чтобы это работало на всех девайсах. Потому что там b2b приложение. Только вот работает оно в таком режиме только на Zebra через Profile Manager, а bluebird и honeywell подобной возможности не даёт.
И даже для такого специфичного рынка - возможности использовать priv-app привелегии нет, хотя там в целом подразумевается установка и распространение без сторов каких-либо (на некоторых железках вообще нет ни каких сторов).
так вот... я там тоже закаладывал чтобы через привелегии это работало, в коде это предусмотрено... на случай если всё же вдруг будут права. 100 строк кода на объем приложения же не влияют.
ну разобрал он апк-шку, ок, увидел возможности что приложение могло бы… но в том то и дело что БЫ :) зато статья, и куча плюсиков…
Статья все равно интересная. А потенциальные возможности программы характеризуют разработчиков определенным образом. Ну и никто другой пока эту тему не копает. Плюсы за инфу и оригинальность вполне оправданы.
А разработчики пусть знают - за ними следят. Пакости будут разоблачены и обнародованы.
В любом случае глупо доверять рустору, так что более интересным выглядит не его реверс-инжениринг (который лишь подтверждает подозрения), а исследование ограничений от OS – при каких условиях он может получить соответствующие права (например, есть ли хоть один телефон, в который рустор установлен в /system/priv-app или в /vendor/priv-app), какие данные он может получить, а какие ему не даст система, как ограничить его ещё больше, если он всё-таки нужен (у меня живёт во втором пространстве, где видит только ограниченный список приложений – предустановленные и те, что поставлены через него).
Да и вообще, сегодня рустор, завтра мессенджер, фонарик или какая-нибудь игрушка начнёт проявлять лишнюю активность. Проблемы надо решать глобально, на уровне полного отсутствия лишних прав.
раз у нас теперь как в сша может еще зарплаты вырастут?
Специально зарегистрировался, т.к. статья откликнулась. Но действительно не хватает описания рисков и что с ними можно сделать. Я очень далек от IT сферы, но саммари статьи хватило, чтобы понять, что риски есть.
К примеру, эфемерная ситуация само собой, что государству понадобится найти человека, а его нет по месту жительства из цифровых реестров. Может случится исключительно эфемерная ситуация, что RuStore будет с этим сильно помогать и из-за Android ID ничего с этим сделать нельзя, кроме как избавившись от телефона.
В итоге вывод какой? Покупать телефоны без RuStore? Если уже купил, сливать телефон на Авито/выбрасывать? Вдруг ещё что-то забыл.
У меня стоит рустор на смартфоне, проверил логи adguardhome и не одного указанного домена за неделю логов там нет (и да у меня перехватывается весь трафик на 53 порту и отправляется на роутер).
"Может втихаря поставить" по вашему равно "обязательно поставит по воле товарища майора"? ДА? Паранойю свою лечить не пробовали?
Вот например ГуглПлей. Я захожу на сайт на компьютере, говорю "поставь мне на телефон (или на телевизор)" такую-то программу. Гугл делает вжух, и эта программа устанавливается. На телефоне в этот момент я ничего не делаю.
С точки зрения телефона, - это инициатива гугла.
Давайте теперь дружно бросимся паниковать, что господин мейджор какой-нибудь из ЦРУ не навставляет всем шпионских программ? Или Сергей Брин не захочет чего-нибудь помайнить? Копеечка к копеечке, знаете ли.
Пишу в былинной нити.
простите не совсем по теме.
тоесть макс он может втихую установить и обновить..
а все остальные лядские приложения надо нажать 50 подтверждений чтобы он их просто обновил.....
Еще один анальный зонд...
Помню время, когда тем, кто предполагал подобное, рекомендовали надеть шапочку из фольги и пойти полечиться.
Надо, наверное, беречь старые телефоны.
А новые рассматривать только те, которые позволяют разлочить загрузчик и накатить кастомную прошивку.
Кстати, с Ali еще можно что-то заказать без всей этой малвари? ?
Разумеется, это все паллиативы, да. Проблема не техническая.
RuStore качает MAX без спроса и мониторит GPS каждые 5 минут и ему даже не стыдно