Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 101
Вороватые птички, оказывается.
Хаха, побочный эффект пиратства. Старая история, точно так же распространялся образ MacOS для хакинтошей с трояном, а уж про ZverWPI все и так знают.
И при чем тут пиратство? Слышал звон да не знаешь где он? Unlock в данном случае подразумевает собой открытие новых уровней до того, как прошел предыдущие.
Это, скорее, побочный эффект открытости платформы. Свобода ведь распространяется не только на хороших людей.
О чём вы? При чём тут открытость?
Всё можно. Можно написать приложение, которое может натворить дел вне песочницы, собрать юзерские данные и отправить хозяину. Можно выложить его в официальный маркет для распространения — никто не остановит. А в конце, кстати, обвинят пользователя, который скачал и запустил.
Это вы о Windows?
К чему детский сад? В топике явно указан Android, о нём и речь. Про трояны в marketplace.windowsphone.com я пока не слышал. Возможно, у вас больше информации. Поделитесь?
Я не знаю, к чему Вы тут разводите детский сад да ещё делаете вид, что не понимаете о чём я говорю.
К чему тут открытость платформы? Посмотрите на закрытую платформу Windows (десктопную). Описанное в топике — это не побочных эффект открытости платформы, а побочный эффект человеческой глупости, что они дают приложению все права.
И в этой открытой платформе единственный путь для вирусов и троянов: «Дай мне, пожалуйста, все права, я тогда у тебя напакостю»
К чему тут открытость платформы? Посмотрите на закрытую платформу Windows (десктопную). Описанное в топике — это не побочных эффект открытости платформы, а побочный эффект человеческой глупости, что они дают приложению все права.
И в этой открытой платформе единственный путь для вирусов и троянов: «Дай мне, пожалуйста, все права, я тогда у тебя напакостю»
Интересно, вот, качаю я скажем калькулятор. И вижу, что он просит доступ к интеренту. Как мне определить — это разрешение ему нужно для того, чтобы тайно слить мои контакты или для того, чтобы показать рекламу?
А что, если приложение своими функциями может оправдать требуемые резрешения? К примеру, если это какой-то виджет с погодой, который, ну к примеру, разрешает моим контактам отправлять инфу и экспортировать данные о погоде на карточку памяти? Тогда ему нужен и интернет, чтоб получать погоду, и доступ к данным геолокации, чтобы узнавать, для какого города получать ее, и доступ к контактам, и к флэшке. А на заднем плане эта программа может сделать меня частью бот-нета, слить всю мою приватную информацию, удалить все файлы с карточки, ну и т.п.
Нет, система permissions — крайне ненадежна, и будь у пользователя хоть три головы на плечах, он все равно может установить себе качественно сделанного трояна.
А что, если приложение своими функциями может оправдать требуемые резрешения? К примеру, если это какой-то виджет с погодой, который, ну к примеру, разрешает моим контактам отправлять инфу и экспортировать данные о погоде на карточку памяти? Тогда ему нужен и интернет, чтоб получать погоду, и доступ к данным геолокации, чтобы узнавать, для какого города получать ее, и доступ к контактам, и к флэшке. А на заднем плане эта программа может сделать меня частью бот-нета, слить всю мою приватную информацию, удалить все файлы с карточки, ну и т.п.
Нет, система permissions — крайне ненадежна, и будь у пользователя хоть три головы на плечах, он все равно может установить себе качественно сделанного трояна.
А какую систему вы предлагаете?
Ну, лично мне система Apple импонирует гораздо больше. Два основных пункта — премодерация, которая отсеет откровенный шлак и явное malware, и система «песочницы» в самой ОС — даже если каким-то образом в аппстор попал изощернный качественный троян, особо он ничем не навредит — данные не сотрет, личную информацию получить не сможет, запустить какой-нибудь Service в бэкграудне — тоже.
Прошу прощения, я не в теме аппстора, но есть такой сценарий в голове:
— делается приложение. Доступ к инету, записной книжке и всё нужное остальное — прописывается в неободимых свойствах программы
— программа отсылается в аппстор
— проходит контроль, всё заявленное выполняет
— в день Х (возможны варианты) со всех телефонов мне отсылаются Х данные (возможны варианты)
Почему такой сценарий невозможен? Яблоко ведь не сможет понять что затаилось внутри программы?
Был прецедент, когда раздачу инета через вифи делала программка, маскировавшаяся под фонарик. И только когда весь инет стал про неё говорить, лишь тогда её удалили из аппстора. От чего есть уверенность, что нет других подобных программ? И их могли ещё не найти, ибо и заявленный функционал выполняют, но и втихую делают что-то не совсем задокументированное.
Вот доказательство существования этой истории: www.wired.com/gadgetlab/2010/07/apple-approves-pulls-flashlight-app-with-hidden-tethering-mode/
— делается приложение. Доступ к инету, записной книжке и всё нужное остальное — прописывается в неободимых свойствах программы
— программа отсылается в аппстор
— проходит контроль, всё заявленное выполняет
— в день Х (возможны варианты) со всех телефонов мне отсылаются Х данные (возможны варианты)
Почему такой сценарий невозможен? Яблоко ведь не сможет понять что затаилось внутри программы?
Был прецедент, когда раздачу инета через вифи делала программка, маскировавшаяся под фонарик. И только когда весь инет стал про неё говорить, лишь тогда её удалили из аппстора. От чего есть уверенность, что нет других подобных программ? И их могли ещё не найти, ибо и заявленный функционал выполняют, но и втихую делают что-то не совсем задокументированное.
Вот доказательство существования этой истории: www.wired.com/gadgetlab/2010/07/apple-approves-pulls-flashlight-app-with-hidden-tethering-mode/
Разрешение доступа интернета — это именно то, и ничего более. Если калькулятор, кроме интернета, требует еще и доступ к телефонной контакте — тогда да, должна зажечься лампочка.
Впрочем согласен, что permissions не слишком надежная система, но причина её не техническая и пользовательская. На каждого кто хотя бы просмотрит permissions, придется еще парочка тех кто их тупо проскочит не глядя.
Впрочем согласен, что permissions не слишком надежная система, но причина её не техническая и пользовательская. На каждого кто хотя бы просмотрит permissions, придется еще парочка тех кто их тупо проскочит не глядя.
Возможно, я неправильно назвал это явление. Я не имел ввиду (не к ночи будет сказано) опенсорсность, претензии у меня к открытости платформы для разработки и распространения софта, а в частности великой помойки имени гугла (а по совместительству — официальной системы распространения приложений) — Андроид-Маркету.
Меня не впечатляют ваши умозаключения в сваливании ответственности на пользователя и абсурдные сравнения мобильных и десктопных рынков. Для меня ситуация с трояном, распространяемым официальной системой производителя выглядит почти как купить принтер Самсунг, зайти на samsung.com/support и скачать оттуда вирус :)
Рано или поздно гугл поймёт, что это не работает и пойдёт по пути аппстора (ну, или открестится от маркета, зарегистрировав его на дочернюю компанию, дабы не пачкать имя). Вопрос в том, не порастеряют ли они пользователей. Например, о корпоративном секторе с такими факапами можно и не мечтать…
Меня не впечатляют ваши умозаключения в сваливании ответственности на пользователя и абсурдные сравнения мобильных и десктопных рынков. Для меня ситуация с трояном, распространяемым официальной системой производителя выглядит почти как купить принтер Самсунг, зайти на samsung.com/support и скачать оттуда вирус :)
Рано или поздно гугл поймёт, что это не работает и пойдёт по пути аппстора (ну, или открестится от маркета, зарегистрировав его на дочернюю компанию, дабы не пачкать имя). Вопрос в том, не порастеряют ли они пользователей. Например, о корпоративном секторе с такими факапами можно и не мечтать…
Вне песочницы приложение может обращаться только к задеклорированым ресурсам, которые предъявляются пользователю при установке. В какой-то степени если пользователю не покажется подозрительным, что майнсвипер, который он устанавливает, требует доступ, скажем, к телефонной книге и гпс — в какой-то степени это вина пользователя.
Так можно дорассуждать до того, что вина пользователя в покупке смартфона с Андроидом :)
Не читают юзеры этих предупреждений. Доказано UAC. То, что вылезает чаще раза в день будет на автомате закрыто нажатием кнопки «Да». Некоторую осознанность можно привнести, заставляя юзера что-то писать перед нажатием кнопки типа «Я понимаю, что даю этой программе доступ к моим личным данным и доверяю ей их обработку.» — но это тоже негуманно (и приведёт к распространению программ за $1.99, которые будут вводить нужный ответ автоматом).
Не читают юзеры этих предупреждений. Доказано UAC. То, что вылезает чаще раза в день будет на автомате закрыто нажатием кнопки «Да». Некоторую осознанность можно привнести, заставляя юзера что-то писать перед нажатием кнопки типа «Я понимаю, что даю этой программе доступ к моим личным данным и доверяю ей их обработку.» — но это тоже негуманно (и приведёт к распространению программ за $1.99, которые будут вводить нужный ответ автоматом).
Я немного не в теме в плане андроид-маркета… Там что, не проверяют приложения перед публикацией?
А его скорее всего и не из Маркета скачали.
Хотя, по сути — нифига там не проверяют =)
Хотя, по сути — нифига там не проверяют =)
Здесь тема раскрыта подробнее.
Вкратце: во-первых, заражённые приложения действительно были в маркете, и их было несколько; во-вторых, было найдено ещё несколько видов вредоносных закладок, некоторые из которых были залиты со взломанных аккаунтов разработчиков.
Вкратце: во-первых, заражённые приложения действительно были в маркете, и их было несколько; во-вторых, было найдено ещё несколько видов вредоносных закладок, некоторые из которых были залиты со взломанных аккаунтов разработчиков.
Гугловцы везде ставят какую-нибудь кнопку типа «Настучать»
А если это приложение установить из apk, при этом выключив интернет, сделать необходимые действия (открыть уровни) и удалить, то, думаю что свои злодеяния она не совершит.
Это займет сотни человекочасов ежедневно.
А Google остановило :(
Потому в Apple и Microsoft почти нереально добавить свою даже бесплатную программу не потратив кучу времени и не заплатив кучу денег. В Microsoft проверял лично.
И самое главное, по политическим и финансовым соображением компании (не пользователей и девелоперов!). Посмотрите на эппл, они регулярно снимают с маркета или не пропускают приложения которые, по каким-то причинам они считают не этическими или конкурирующими со своими продуктами. Опере пришлось целый компейн устроить, чтоб заставит эппл пропустить броузер на маркет не смотря на требование о «недупликации функциональности» или сейчас он хотят снять (или уже сняли) все приложения, которые позволяет отслеживать засады ментов, так как это, якобы, поощряет вождение в нетрезвом виде.
Хотя конечно отсутствие скрининга аппликаций — это палку о друх концах. С одной стороны это дает огромную свободу пользователям и удобство девелоперу (не надо платить за сертификацию, не надо неделями ждать чтоб загрузить тривиальный апдейт), но с другой стороны это перекладывает ответственность и риски на плечи пользователей, и далеко не все из них на это готовы. Система, где при установки видно, к чему вне песочнице может обращаться аппликация, отлично подходить для более или менее сознательных пользователей, но чайники просто жмут ок не глядя.
Хотя конечно отсутствие скрининга аппликаций — это палку о друх концах. С одной стороны это дает огромную свободу пользователям и удобство девелоперу (не надо платить за сертификацию, не надо неделями ждать чтоб загрузить тривиальный апдейт), но с другой стороны это перекладывает ответственность и риски на плечи пользователей, и далеко не все из них на это готовы. Система, где при установки видно, к чему вне песочнице может обращаться аппликация, отлично подходить для более или менее сознательных пользователей, но чайники просто жмут ок не глядя.
Как в серии про iPad в South Park 15s1e, «Я просто нажал, Я согласен, я его даже не читал =\»
Да достаточно только на приложения в Маркете взглянуть, даже на платные. Половина разработчиков даже гайдлайны официальные не читают, все приложения выглядят по-разному, и в большинстве случаев — банально некрасиво.
Apple правильно делают, что посылают таких нафиг.
Apple правильно делают, что посылают таких нафиг.
Я не говорю, что полное отсутствие скрининга — это идеальный вариант. Впрочем, рейтинг на маркете вполне не плохо работает, всякую фигню почти и не видно, она глубоко в жопе. Такая саморегуляция — тоже вполне себе метод. А насчет некрасиво — действительно бывает. Кстати не только на Андроиде, на Эпплстор тоже достаточно уродски выглядящих, но соответствующих гайдлайнам аппликаций, хотя и меньше. К тому же, иногда бывают полезные аппликации, но без нормального дизайна.
> Посмотрите на эппл, они регулярно снимают с маркета или не пропускают приложения которые, по каким-то причинам они считают не этическими или конкурирующими со своими продуктами.
Смотрю на Apple: они в неделю пропускают несколько тысяч, а то и десятков тысяч, приложений. Было бы это не так, у них не было бы 450 000 приложений в AppStore :-\
Смотрю на Apple: они в неделю пропускают несколько тысяч, а то и десятков тысяч, приложений. Было бы это не так, у них не было бы 450 000 приложений в AppStore :-\
Это ничего не решит, учитывая, как в AppStore проморгали Camera+ (у которой было пасхальное яйцо в виде хака) и приложение фонарик-тетеринг. Apple изъяли этот софт лишь тогда, когда сами создатели раструбили всему миру о недокументированных возможностях в своих прогах.
Как это спасает с точки зрения безопасности?
Причем здесь качество софта? Пользователь сам выберет. Речь о скрытых особеностях, которые, как показывает практика, не полностью выявляются предмодерацией.
Вы говорите об абсолютном средстве, но серебряной пули нет. У каждого варианта есть сильные и слабые стороны.
Не соглашусь. Лично для меня рейтинг и осторожность лучше, чем бюрократия и беспечность.
А вам, как девелоперу, приятно если ваше приложение зарубают из за какой-то фигни?
Вообщем-то в теории так и есть, но на практике это страшный геморрой. Всё зависит от настроения и въедчивости ревьювера, внутренних предписаний (эппл может зарубить аппликацию не объясняя причин) и погоды в Сомали. Иногда пинг понг с тривиальными изменениями может растянутся на месяцы.
А вы можете рассказать об этом более конкретно? Например, какое приложение было завернуто без единого объяснения? Просто на моей памяти наши приложения реджекали тоже не один раз, и в каждом случае приходило подробнейшее описание причин (чуть ли не несколько страниц, даже если недочеты были мелочными). Может, в вашем случае приложения нарушали один из этих пунктов?..
2.11
Apps that duplicate apps already in the App Store may be rejected, particularly if there are many of them, such as fart, burp, flashlight, and Kama Sutra apps.
2.12
Apps that are not very useful, are simply web sites bundled as apps, or do not provide any lasting entertainment value may be rejected
2.13
Apps that are primarily marketing materials or advertisements will be rejected
2.14
Apps that are intended to provide trick or fake functionality that are not clearly marked as such will be rejected
Да и вначале они предупреждают:
If your App looks like it was cobbled together in a few days, or you're trying to get your first practice App into the store to impress your friends, please brace yourself for rejection. We have lots of serious developers who don't want their quality Apps to be surrounded by amateur hour.
Также было бы интересно услышать, из-за каких «тривиальных» причин эппл не допускала программы? Подозреваю, это какие-то мелочи, связанные с юзабилити. Да, эти парни действительно на них помешаны. И мне, как пользователю, такая полтика очень нравится.
2.11
Apps that duplicate apps already in the App Store may be rejected, particularly if there are many of them, such as fart, burp, flashlight, and Kama Sutra apps.
2.12
Apps that are not very useful, are simply web sites bundled as apps, or do not provide any lasting entertainment value may be rejected
2.13
Apps that are primarily marketing materials or advertisements will be rejected
2.14
Apps that are intended to provide trick or fake functionality that are not clearly marked as such will be rejected
Да и вначале они предупреждают:
If your App looks like it was cobbled together in a few days, or you're trying to get your first practice App into the store to impress your friends, please brace yourself for rejection. We have lots of serious developers who don't want their quality Apps to be surrounded by amateur hour.
Также было бы интересно услышать, из-за каких «тривиальных» причин эппл не допускала программы? Подозреваю, это какие-то мелочи, связанные с юзабилити. Да, эти парни действительно на них помешаны. И мне, как пользователю, такая полтика очень нравится.
А вы, извините за нескромный вопрос, хоть раз читали требования, выдгиваемые программам на аппсторе? Я например, читал. И полностью согласен с подавляющим большинством из них. Да и чего там быть не согласным — требования до ужаса банальны. Приложение должно быть стабильным, соотвествовать описанию, не обманывать пользователей, использовать только public API ну и т.д., и т.п. Есть также пара немного спорных пунктов, и обычно из них в желтых новостях и раздуваются импровизированные «скандалы», а также постоянно приводятся в пример одни и те же, уже надоевшие до ужаса примеры (Opera, VLC… )
У эппл часть требований — совершенно нормальные, а часть — напрямую вредящие пользователю, девелоперам и здоровой конкуренции (например запрет на дублирование существующей функциональности и возможность эппл рубить по своему желанию все, что угодно). Я вообще не говорил — что скрининг — это плохо, у этого есть и плюсы и минусы, как я писал выше. Но в любом случае это длинный процесс с кучей бюрократии.
Могу ошибаться, но по-моему запрет на дублирующий функционал уже давным давно не действует. На аппсторе полным-полно браузеров, календарей, записных книжек, видео-плееров, навигационных программ.
Да и еще, у эппл около сотни правил. Вы сказали, что «часть» из них — напрямую вредит пользователям и здоровой конкуренции. Вы можете назвать по пунктам хотя бы 4-5 правил из этой «части»? Ну чтобы они действительно вредили пользователям?
Я не ищу просто в категории, обычно ввожу ключ.слово, а уже потом отсеиваю. Когда нахожу нечто подобное тому, что я ищу, то вдобавок просматриваю секцию «похожие». В целом, не идеально, но похожее творится в AppStore, там разработчики высчитывают фазу Луны, чтобы их приложение кто-то заметил.
Я о таком же сценарии написал выше. Может никто и не знает про существование таких скрытых функций с виду нормальных программ. Но, право, считать аппстор безопасным, только потому что там проверяют что делает какая кнопочка в программе, я бы не стал.
А за что мы платим им 30% с продаж приложений?
30% не им идет, а провайдеру и платежной системе. Это одна из причин, почему сотовые провайдеры так любят андроид — они получают долю с приданого контента.
Пруф: www.android.com/us/developer-distribution-agreement.html пп. 3.2
Пруф: www.android.com/us/developer-distribution-agreement.html пп. 3.2
s/приданого/проданного/
спелчекер :(
спелчекер :(
Ага, так и написано, сбор идет авторизованному провайдеру, если тот существует. Такая авторизованность влечет за собой возможность пользователей этого провайдера покупать приложения в маркете, оплачивая их потом в своем счете за телефон. А много ли таких провайдеров?
А платежная система — родной Google Checkout.
А платежная система — родной Google Checkout.
За площадку для продажи приложений. Вы ведь платите арендодателю за помещение для вашего магазина? Плюс еще и налоги государству.
Причём сначала нужно запилить какую-нибудь систему автоматического предварительного аудита кода, иначе «сотнями» не обойдёшься.
«обнаружены такие пакеты, как plankton_v0.0.3.jar и plankton_v0.0.4.jar»
По-моему у хакеров предвзятое отношение к любителям Angry birds :))
По-моему у хакеров предвзятое отношение к любителям Angry birds :))
Нормальное отношение.
Каким нужно быть планктоном, чтобы на такую игру да еще и анлок искать?
Смысл тогда вообще?
Давайте еще начнем юзать самоигралку — сама играет — а ты смотришь. Что-то типа бота.
Каким нужно быть планктоном, чтобы на такую игру да еще и анлок искать?
Смысл тогда вообще?
Давайте еще начнем юзать самоигралку — сама играет — а ты смотришь. Что-то типа бота.
Это дыра в голове пользователей. Там вообще-то надо дать разрешение приложению на доступ в интернет при установке. А тут уже вопрос: зачем такому приложению доступ в интернет?
Дыры никакой нет. При установке прекрасно видно, что нужно приложению. Кто в здравом уме будет установливать живые обои, разрешив им совершать звонки и отсылать СМС?
Плюс часто умалчивают, про то, на каких телефонах зловред работает — обычных или рутованных. В последнем случае у программы больше возможностей, но и пользователь явно не блондинко.
Плюс часто умалчивают, про то, на каких телефонах зловред работает — обычных или рутованных. В последнем случае у программы больше возможностей, но и пользователь явно не блондинко.
С точки зрения уязвимости это дыра.
Видимо имелось ввиду «С точки зрения безопасности это дыра.»
DR.Web, как обычно не вдаётся в подробности и совершенно непонятно, как приложение смогло скачать и установить другое приложение. Для этого нужны рут привелегии (для скрытой установки) или прямое разрешение пользователя. Если второе, то это из серии «скачал вирус под линукс, скомпилировал, запустил — работает!», если первое, то шуму было бы гораздо больше, из серии: «Алярм! Алярм! Обнаружена уязвимость в анроиде, позволяющая скачивать и устанавливать вредоносное ПО!»
А премодерация не факт что закрыла. В апсторе есть премодерация, это не спасло от приложений со скрытым функционалом. Премодерация даёт небольшую защиту, но накладывает много ограничений.
Это как с терорризмом. Люди согласны на реальное ограничение своих свобот и раскрытие частной жизни в обмен на призрачную защиту от страшной угрозы.
по данным указанной компании, был скачан из Android Market уже более 150 тысяч раз
На Android Market. Анлокер. На Маркете!
Звонки и СМС без подтверждения можно отправлять или подменять сообщения и журнал вызовов? Если да — простор для фантазии огромный открывается. От банальных звонков на номера с особой тарификацией или террора — отправка сообщений по адресной книге типа «я тебя ненавижу».
При установке показывается список требуемых для приложиния прав. Если в какой-то левой проге есть управление адресной книгой, отправка СМС и прочие, никак не связанные с функционалом вещи, то разрешив его установку — ССЗБ.
Левая прога скачана с официального стора. Полезно, конечно никому не доверять и быть подозрительным, но если при покупке каждой вкусняшки в магазине задумываться а так ли нужен конкретно этот идентичный натуральному Е667, можно умереть от голода.
Вы сами привели отличную аналогию: наличие Е123 в продуктах. Есть разрешённые пищевые добавки, ест некие требования к продуктам, но это отнюдь не гарантирует, что вы не отравитесь, поэтому надо при покупке смотреть состав, если покупаете в первый раз.
То есть если вы раньше у этого продавца в маркете ничего не покупали, подумайте присмотритесь к продукции внимательно.
То есть если вы раньше у этого продавца в маркете ничего не покупали, подумайте присмотритесь к продукции внимательно.
Это все только начало. Руты. Кастомные прошивочки…
Да это в общем-то не троян. Если юзер использует рутованный телефон и тем более софт не от производителя, он сам виноват. Если он дает игре расширенные привелегии, то тоже сам виноват.
Троян, это когда на сайт заходишь или документ OpenOffice открываешь, а тебе в систему всякая гадость сама собой устанавливается.
Троян, это когда на сайт заходишь или документ OpenOffice открываешь, а тебе в систему всякая гадость сама собой устанавливается.
Android BotNet v3.0 coming soon…
Злоумышленники начали распространять особый троянец через «анлокер» новых уровней для Angry Birds Rio.
Offtopic: а вы знаете, почему троянцем терминологически правильнее было бы называть не программу-троянский конь, а пользователя, поставившего эту программу?
А я то думаю, что за «глюки» начались с трубкой, хотя может и ошибаюсь в виновнике.
вообщето сам подумывал для школоты хуню пихнить злачную!
виднм=ий народ то поймет и разберется чо к чему…
виднм=ий народ то поймет и разберется чо к чему…
Жесть, людям уже лень Птиц Зла самим проходить…
Я ставил эту прогу. Как лечиться_то теперь?
подскажите, а почему .jar, ведь в андройде вроде .apk?
Кстате вот вам материал для размышлений: Линуксоиды очень любят аргументировать свой выбор тем, что Линукс такой крутой, что под ним «вирусы не работают». Оппоненты возражают, мол «Ваш Линукс никому не нужен, поэтому и не пишут под него вирусы». Тут мы имеем популярнейшую платформу, под которую вирусов больше чем под айФон или WP7.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый троян для Android распространяется с приложением Angry Birds Rio Unlock