Comments 52
Простой пользователь смотрит на количество скачиваний и рейтинг.
Ему ничего не известно про опенсорс, проприетарщину и прочие вещи.
И это задача магазина ограничивать влияние и возможности программ, а не обычного юзера следить за исходниками и проводить аудит безопасности каждого обновления.
Стоит гуглу или эплу удалить любое приложение — все начинают визжать, что это не правильно. И пользователи должны сами решать. Это из устройстви и бла-бла-бла.
Стоит пролезть зловреду и начинает обратное верещание: про гугл и эпл, которые должны тщательнее следить за тем, что можно скачать из их стора.
Надо уж определиться, что в приоритете. Выбрать из двух надо что-то одно. Либо корпорация за вас решает что ставить, на что смотреть и что слушать. Либо будьте добры сами нести ответственность за мусор, который хозяйничает на вашем устройстве.
Проблему можно было бы решить, разделив стор на две категории: Secure Store (стоит по умолчанию, очень жёстко модерируется) и Permissive Store, куда можно кидать всё подряд и даже без подписей. Этот второй стор требуется сперва установить на девайс, причём процедура установки должна быть не самой очевидной, чтобы те, кому это не нужно, не могли наткнуться на неё случайно.
Хочешь огороженность со всех сторон — бери Apple.
Хочешь свободну(пока еще) — Android
звонилка… которая защищает от спама/мошенников
В iOS есть API для идентификации или блокирования спам-звонков. Есть приложения (и для России), которые его используют. Очень privacy focused API: приложения только поставляют справочники, и никогда не узнают, кто вам на самом деле звонил.
Есть ещё антиспам-API для SMS, но для него русскоязычных приложений пока не видел
Можно не удалять, а помечать, мол софт не соответствует нашим стандартам безопасности, устанавливайте на свой риск. И все будут довольны.
Вроде, рекламный SDK заразили.
Они наверное и пользуют ZXing, либо Google MLKit — выбор невелик.
даже подключаться к wi-fi по qr коду.
Ничего необычного нет, фича библиотеки ZXing
Т.е. как можно включать код SDK после разработки?
Ну так можно редактировать байт-код и внедрять вредоносы в уже готовый апк. Если на стадии разработки, значит на стадии сборки из исходников. И тут либо сделал разраб, либо произошла утечка паролей/ключей/исходников.
И так мы доходим до отказа использования Play Store в пользу собрания коллекции apk-шек у себя на sd-карте.
Некоторые так и делают изначально. Удаляют (неудалимые по-легкому) GMS вместе с магазином и все, что нужно, ставят вручную. Расплата за это — увеличение времени работы от одной зарядки, нередко чувствительное.
пользователи Android начали жаловаться на навязчивую рекламу, которая открывалась через браузер по умолчанию
Однако в случае со сканером штрих-кода в него был добавлен вредоносный код… использовал обфускацию, чтобы избежать обнаружения.
И где здесь зловредный код? Здесь просто-напросто разработчики оборзели, что в наглую пихают пользователю рекламу, вот и все. Неудивительно, что алгоритмы гугла не распознали в этом угрозу, потому что потенциально любое приложение, открывающее ссылку в браузере (коих миллионы), может приводить к тем же «зловредным» последствиям. Кстати, в последних версиях андроида уже нельзя открывать активити из фона, что очень даже хорошо
Вот и наступило время когда ни миллионы скачиваний, ни топовый рейтинг ничего не значат.
Берешь что-то супер-пупер и вроде доверенное, а оно вдруг превращается в злобного буратину даже не дожидаясь Рождества...
Собственно, поэтому мы и добавляем новые функции в браузер нативно, а не надеемся на расширения.
Вот именно поэтому я никогда не понимал, почему "в целях безопасности" везде рекомендуется держать автоматическое обновление включенным. Мне всегда казалось, что это, наоборот, дырища в безопасности. И, видимо, я не ошибся. "Работает — не трогай", мудрость проверенная десятилетиями. А будешь постоянно обновляться — не подсунут малварь, так интерфейс попортят.
Какая "приятная" новость в связи с тем, что Гугл периодически включает обновления для всех установленных приложений.
Приложение Barcode Scanner в Google Play заразило 10 млн пользователей одним обновлением