Приложение Barcode Scanner в Google Play заразило 10 млн пользователей одним обновлением

[Sam86]

К слову есть опенсорсный от ZXing Team. Не понятно зачем использовать этот странный проприетарный, когда есть от разработчиков достаточном мощно опенсорсной либы.

[fougasse]

Простой пользователь смотрит на количество скачиваний и рейтинг.
Ему ничего не известно про опенсорс, проприетарщину и прочие вещи.
И это задача магазина ограничивать влияние и возможности программ, а не обычного юзера следить за исходниками и проводить аудит безопасности каждого обновления.

[Sam86]

Ну да, ну да.
Стоит гуглу или эплу удалить любое приложение — все начинают визжать, что это не правильно. И пользователи должны сами решать. Это из устройстви и бла-бла-бла.
Стоит пролезть зловреду и начинает обратное верещание: про гугл и эпл, которые должны тщательнее следить за тем, что можно скачать из их стора.

Надо уж определиться, что в приоритете. Выбрать из двух надо что-то одно. Либо корпорация за вас решает что ставить, на что смотреть и что слушать. Либо будьте добры сами нести ответственность за мусор, который хозяйничает на вашем устройстве.

[Alexey2005]

Так визжат-то разные люди. Есть те, кто сам не способен сделать оптимальный выбор — они с удовольствием делегируют эту напряжную обязанность кому-то ещё. И есть те, кто выбирать способен (или, по крайней мере, им так кажется), и вот они-то как раз хотят, чтобы этот выбор по крайней мере присутствовал.
Проблему можно было бы решить, разделив стор на две категории: Secure Store (стоит по умолчанию, очень жёстко модерируется) и Permissive Store, куда можно кидать всё подряд и даже без подписей. Этот второй стор требуется сперва установить на девайс, причём процедура установки должна быть не самой очевидной, чтобы те, кому это не нужно, не могли наткнуться на неё случайно.

[Sam86]

Ну так он и есть.
Хочешь огороженность со всех сторон — бери Apple.
Хочешь свободну(пока еще) — Android

[mig126]

Но огороженность не значит защищённость. К примеру для андроида есть гугловская звонилка(и куча альтернатив, даже от МВД) которая защищает от спама/мошенников(в бета версии ещё и разговор умеет записывать), а у Эппл как выяснилось, аналогов не нашлось.

[eps]

звонилка… которая защищает от спама/мошенников

В iOS есть API для идентификации или блокирования спам-звонков. Есть приложения (и для России), которые его используют. Очень privacy focused API: приложения только поставляют справочники, и никогда не узнают, кто вам на самом деле звонил.

Есть ещё антиспам-API для SMS, но для него русскоязычных приложений пока не видел

[jryj]

Не всякое приложение можно скачать в виде .apk с официальных источников.

[jryj]

Тут вот с ГПлэя установили себе заразу, а вы предлагаете с каких-то источников качать.

[darthmaul]

Можно не удалять, а помечать, мол софт не соответствует нашим стандартам безопасности, устанавливайте на свой риск. И все будут довольны.

[forever_live]

У приложения от ZXing Team сейчас проблема — ему сливают рейтинг в сторе с коментариями про малварь, видимо по ошибке.

[isden]

Вот этот?
Я тоже им пользуюсь, но вот сейчас обнаружил там

вот такое

[karabas_b]

Хомячий бунт, бессмысленный и беспощадный. Barcode Scanner от ZXing Team обновлялся последний раз в 2018 году.

[AndreyHenneberg]

На самом деле, 25 февраля 2019 года. Но в остальном Вы правы.

[forever_live]

Выглядит так, как будто недовольные пользователи забаненного приложение находят другое с таким же именем и сливают ему карму рейтинг.

[AndreyHenneberg]

Похоже на то.

[Jeka83]

Вроде, рекламный SDK заразили.
Они наверное и пользуют ZXing, либо Google MLKit — выбор невелик.

[Akuma]

А стандартное приложение камеры разве не умеет распознавать QR коды?

[mig126]

В новых да. В старых где как. У меня валяется самсунг J5 Prime c андроид 8 и он не умеет. И есть Redmi 4x с 7 андроидом, он умел распознавать с самого начала, даже подключаться к wi-fi по qr коду.

[proninyaroslav]

даже подключаться к wi-fi по qr коду.

Ничего необычного нет, фича библиотеки ZXing

[mig126]

И фиче уже десять лет в обед. Но встроили в андроид её вероятно только в 9-10 версии. До этого реализация была по желанию производителя.

[anwender95]

Сейчас попробовал своим Realme 6 pro с 10 андройдом считать QR код стоковым приложением камеры — не давало. В итоге использую приложение из f-droid'а.

[mig126]

Я проверял на самсунгах m31s, a30s, работает сразу с магазина. Но не нашёл информации чьё там приложение камеры.

[b100d1e55]

В 10 андроиде можно добавлять wi fi по QR коду. Рядом с надписью Добавить сеть в настройках wi fi есть значок для добавления сети по QR коду.

[batyrmastyr]

Камера в 10 андроиде на Huawei P30 не умеет считывать QR коды вообще. Добавление вайфая по qr-коду через настройки вафли, как описал b100d1e55, есть, но это всё же не то, что нужно.

[zuzzz]

Приложения для камеры тоже отличаются, наверно зависит от фирмы производителя. Некоторые могут, но не все.

[Dr_No]

Ну так Barcode бывают разные, гуглкамера и прочие штатные штуки не очень умеют в Datamatrix, GS1, code128 и еще десяток-другой.

[ZyXI]

То, что у меня и в QRCode не очень умеет. Я как‐то отсканировал серийный номер мультиметра им, так он его корректно отсканировал, после чего показал сообщение с общим смыслом «я насканировал X, это не URI и я не знаю, как открыть, поэтому пошёл ты нафиг, скопировать не дам».

[pewpew]

Прочитал, но так и не понял что за «вредоносный код». И что значит фраза «делают это путем включения рекламного SDK в код приложения еще на стадии разработки». Т.е. как можно включать код SDK после разработки? И что не так с обфускацией?

[proninyaroslav]

Т.е. как можно включать код SDK после разработки?

Ну так можно редактировать байт-код и внедрять вредоносы в уже готовый апк. Если на стадии разработки, значит на стадии сборки из исходников. И тут либо сделал разраб, либо произошла утечка паролей/ключей/исходников.

[pewpew]

А какая разница, как встроили код если этот код вредоносный? Всё равно в статье подытоживается, что «скорее всего, разработчики популярного приложения в какой-то момент встроили рекламу», ссылаясь на какой-то широко популярный в узком кругу форум.
Т.е. сплошные догадки.

[mig126]

Показ рекламы вне приложения классифицируется как зловред. Т.е. приложение стало фактически вирусом, поставив себя вне закона. По хорошему программы с таким поведение нужно и со смартфонов автоматически удалять или хотя бы предупреждать пользователей о вредоносном поведении программы.

[DurRandir]

У вас все еще включены автоапдейты? Тогда мы идем с малврью в вам!

[Ztare]

Именно. Если софт на мобилке работает исправно и нет интересных новых фич — не обновлять. Своевременно нужно обновлять только мессенджеры (если стоят) и браузеры. Сейчас уже бывает что просто калечат софт даже не вирусами, а просто топ менеджеры решившие обменять репутацию и аудиторию на деньги

[qw1]

И так мы доходим до отказа использования Play Store в пользу собрания коллекции apk-шек у себя на sd-карте.

[remzalp]

Да еще поправить в манифесте название приложения и подписать собственным сертификатом, чтобы уж точно больше ничего лишнего не пролазило :)

[Astroscope]

И так мы доходим до отказа использования Play Store в пользу собрания коллекции apk-шек у себя на sd-карте.

Некоторые так и делают изначально. Удаляют (неудалимые по-легкому) GMS вместе с магазином и все, что нужно, ставят вручную. Расплата за это — увеличение времени работы от одной зарядки, нередко чувствительное.

[mig126]

Ладно бы малварь. Не каждый рискнёт своим приложением, а вот сломать что то в приложении(или даже перестаёт запускаться) с обновлением, делают регулярно многие. Но механизма отката версии насколько я понимаю нет и тогда либо ждать фикса, либо качать с непроверенных источников(с неизвестными последствиями).

[batyrmastyr]

Откат тоже не факт, что поможет так как приложение может свои данные в новый формат переделало и старой версией их не открыть.

[androidovshchik]

пользователи Android начали жаловаться на навязчивую рекламу, которая открывалась через браузер по умолчанию

Однако в случае со сканером штрих-кода в него был добавлен вредоносный код… использовал обфускацию, чтобы избежать обнаружения.

И где здесь зловредный код? Здесь просто-напросто разработчики оборзели, что в наглую пихают пользователю рекламу, вот и все. Неудивительно, что алгоритмы гугла не распознали в этом угрозу, потому что потенциально любое приложение, открывающее ссылку в браузере (коих миллионы), может приводить к тем же «зловредным» последствиям. Кстати, в последних версиях андроида уже нельзя открывать активити из фона, что очень даже хорошо

[Tangeman]

Вот и наступило время когда ни миллионы скачиваний, ни топовый рейтинг ничего не значат.

Берешь что-то супер-пупер и вроде доверенное, а оно вдруг превращается в злобного буратину даже не дожидаясь Рождества...

[eigrad]

Не, тут пользователи ССЗБ — берут накрученную поделку вместо официального приложения (от разработчиков используемой повсеместно opensource библиотеки) у которого >100млн скачиваний.

[Shpankov]

Собственно, поэтому мы и добавляем новые функции в браузер нативно, а не надеемся на расширения.

[oswxp]

Хз… вопросов не возникает, в MIUI, бар/кьюар-код ридер встроен и весьма юзабильно.

[BMXer_V]

Вот именно поэтому я никогда не понимал, почему "в целях безопасности" везде рекомендуется держать автоматическое обновление включенным. Мне всегда казалось, что это, наоборот, дырища в безопасности. И, видимо, я не ошибся. "Работает — не трогай", мудрость проверенная десятилетиями. А будешь постоянно обновляться — не подсунут малварь, так интерфейс попортят.

[honor8]

Какая "приятная" новость в связи с тем, что Гугл периодически включает обновления для всех установленных приложений.