как же я мог ошибиться в интерпретации одного флага или названия!!!
Это не просто «класс логгера, который есть во всех приложениях». Это инициализатор из библиотеки app-startup, который автоматически запускает систему логирования до того, как пользователь выполнил хоть какое-то действие. сам по себе он не проблема. Проблема в том, что именно он начинает логировать и куда эти логи потом уходят. в связке с другими трекерами он есть частью инфраструктуры, которая собирает данные без явного уведомления пользователя.
и вопрос как минимум не упомянуто в гдпр странно да? где же прозрачность в "безопасном" мессенджере. но справедливости ради вы и за одного DpsInitProvider раздули драму вселенского масштаба
в манифесте нет обфусцированных ключей( (да немного ввел в заблуждение), потому что они не обязаны быть прямо в XML - они в кодеDpsInitProvider. Сам провайдер присутствует в манифесте. вопрос о провайдере смотрим ru.p027ok.tracer.startup.InitializationProvider и смотрим на ключи meta-data. Видите вот это?ru.ok.tracer.startup.Initializer@ca60b3bb-9ba5-4307-8c3f-5218111e10c5ru.ok.tracer.startup.Initializer@b7b8ba75-c336-4dee-8e2a-64ef488e0218 . Сервисы - mytracker,apptracker условные
смешиваете два принципиально разных понятия - стандартную обфускацию кода (proguard/r8, переименование классов в p000.a) и целенаправленное шифрование строковых ключей в метаданных манифеста.
первое - это защита интеллектуальной собственности, и мы это не ставим в вину. второе - это уже скрытие от пользователя фактов, которые должны быть прозрачны.
зачем прятать ключи аналитики в androidmanifest.xml через обратимую обфускацию (z9e.h), если эти трекеры действительно используются для невинной «стандартной проверки»? почему бы не написать их открыто, как это делают тысячи других приложений?
ответ прост - потому что пользователи не должны знать, какие именно сервисы (которые, кстати, скрыты в gdpr, что вас почему-то не смутило) и с какими ключами активируются до старта приложения. вот в чем проблема.
тогда возникает еще один вопрос - почему придирка только к одному провайдеру? или у нас использование sdk возможно только «по книге» и никаких иных сценариев не существует?
Вы проигнорировали факт обфускации имен ключей аналитики. Зачем прятать названия ключей в манифесте, если это «стандартная проверка»?
К тому же я не претендую на непогрешимость. Но вы пытаетесь меня упрекнуть словами: «Информация некорректная, автор не ответил ни на одну существенную претензию». При этом вы не задали ни одного конкретного технического вопроса. Ни одного.
Вы не сказали: «Вот в этом классе на самом деле происходит другое, и вот доказательство». Кроме одного удобного для вас случая, я привел читателям конкретные имена классов и пакетов. Любой желающий может открыть APK и убедиться лично
Ну, опыт я извлёк для работы с дальнейшими статьями, но, скажем, это ваше предпочтение к «статье», так как это первая моя статья. ИИ использовал т.к. статьи писать не умею. Статья была бы, скажем, перегружена чуть большей частью «воды», что тоже бы многих не устроило
он собирает список ВСЕХ установленных приложений, и EventBus перехватывает каждое сообщение. и, кстати, иронично, но ни в ToS, ни в GDPR об этом не сказано, что собирается и кто партнеры
Ну, я поэтому и сказал «думаю». До нативных библиотек у меня пока руки не дошли, но, думаю, с появлением времени возьмусь за них или выберу другую тему но такая возможность тоже не исключена, так как там работают далеко не последние люди в этой области. кстати, спасибо за статью, ознакомился. различие в том, что там аргументы весомее за счет анализа трафика, но она как раз подтвердила, что vpnDetector.isActive не просто «костыль», унаследованный от какой-то библиотеки
не совсем понял вывод «раз не автор, так и не писали бы». Это была моя первая статья на такую тему, и я этого не скрывал ИИ и не пытался выдать себя за профессионального публициста, и это первая статья а уж тем более на Хабре. я принимаю материал можно было лучше структурировать, спрятать большие листинги под спойлеры и четче сформулировать выводы
ну, смотрите, в том-то и дело, что это допущение, а не убеждённость я так думаю, всё равно макс найдёт лазейку в правах, а уж тем более, возможно, через с++, хотя его я пока не сильно изучал либки
про детект ВПНа я узнал чуть позже, когда статья уже была на модерации и отредактировать её не мог. я, конечно, не могу до конца это утверждать, но сам факт того, что архитектура позволяет ему делать некоторые вещи без ведома юзера (например, определять наличие VPN через vpnDetector.isActive() в экранах звонков, списка контактов и чатов, после чего показывать VpnConnectedWarningBottomSheet и блокировать дальнейшее действие или делать дампы), уже заставляет задуматься
там, скорее, вопрос в том, в каком виде оно лежит, а не вопрос: "А лежит ли моё сообщение на сервере?" ибо оно сохраняется везде, кроме P2P-мессенджеров с E2EE. сомневаюсь, что, условно, ВК боится скандалов это гиганты с огромным административным ресурсом, а уж тем более им плевать, пока приложение предустановлено на миллионах устройств или навязано корпоративно
статья могла бы быть написана лучше согласен, я не профессиональный автор(ибо это 1 статья на такие темы). Но для меня важнее, чтобы она точной и проверяемой и более читаемой. ИИ редактировал текст, я этого не скрываю. и чем "нечитаема"?
Возможно, так и есть, но что смущает, что Макс должен быть аналогом ушедшим мессенджерам и "безопасным", но я что-то не припомню подобного в условном Телеграмме
А проверка VPN тоже считается «примесью»? А проверка всех установленных приложений? (про VPN в статье не сказано, хотя соответствующую проверку можно обнаружить в "one.me.chatscreen.ChatScreen" условно)
как же я мог ошибиться в интерпретации одного флага или названия!!!
Это не просто «класс логгера, который есть во всех приложениях». Это инициализатор из библиотеки
app-startup, который автоматически запускает систему логирования до того, как пользователь выполнил хоть какое-то действие. сам по себе он не проблема. Проблема в том, что именно он начинает логировать и куда эти логи потом уходят. в связке с другими трекерами он есть частью инфраструктуры, которая собирает данные без явного уведомления пользователя.и вопрос как минимум не упомянуто в гдпр странно да? где же прозрачность в "безопасном" мессенджере. но справедливости ради вы и за одного DpsInitProvider раздули драму вселенского масштаба
в манифесте нет обфусцированных ключей( (да немного ввел в заблуждение), потому что они не обязаны быть прямо в XML - они в коде
DpsInitProvider. Сам провайдер присутствует в манифесте. вопрос о провайдере смотримru.p027ok.tracer.startup.InitializationProviderи смотрим на ключиmeta-data. Видите вот это?ru.ok.tracer.startup.Initializer@ca60b3bb-9ba5-4307-8c3f-5218111e10c5ru.ok.tracer.startup.Initializer@b7b8ba75-c336-4dee-8e2a-64ef488e0218. Сервисы - mytracker,apptracker условныесмешиваете два принципиально разных понятия - стандартную обфускацию кода (proguard/r8, переименование классов в p000.a) и целенаправленное шифрование строковых ключей в метаданных манифеста.
первое - это защита интеллектуальной собственности, и мы это не ставим в вину. второе - это уже скрытие от пользователя фактов, которые должны быть прозрачны.
зачем прятать ключи аналитики в androidmanifest.xml через обратимую обфускацию (z9e.h), если эти трекеры действительно используются для невинной «стандартной проверки»? почему бы не написать их открыто, как это делают тысячи других приложений?
ответ прост - потому что пользователи не должны знать, какие именно сервисы (которые, кстати, скрыты в gdpr, что вас почему-то не смутило) и с какими ключами активируются до старта приложения. вот в чем проблема.
тогда возникает еще один вопрос - почему придирка только к одному провайдеру? или у нас использование sdk возможно только «по книге» и никаких иных сценариев не существует?
Вы проигнорировали факт обфускации имен ключей аналитики. Зачем прятать названия ключей в манифесте, если это «стандартная проверка»?
К тому же я не претендую на непогрешимость. Но вы пытаетесь меня упрекнуть словами: «Информация некорректная, автор не ответил ни на одну существенную претензию». При этом вы не задали ни одного конкретного технического вопроса. Ни одного.
Вы не сказали: «Вот в этом классе на самом деле происходит другое, и вот доказательство». Кроме одного удобного для вас случая, я привел читателям конкретные имена классов и пакетов. Любой желающий может открыть APK и убедиться лично
боты такими темпами себе пенсию на мальдивах купят
Насчёт новой политики тг в курсе. тут вопрос ВПНа для обычных юзеров
Ну, опыт я извлёк для работы с дальнейшими статьями, но, скажем, это ваше предпочтение к «статье», так как это первая моя статья. ИИ использовал т.к. статьи писать не умею. Статья была бы, скажем, перегружена чуть большей частью «воды», что тоже бы многих не устроило
ты читал ToS или его GDPR? вот и сравни противоречия
он собирает список ВСЕХ установленных приложений, и EventBus перехватывает каждое сообщение. и, кстати, иронично, но ни в ToS, ни в GDPR об этом не сказано, что собирается и кто партнеры
это традиция для майоров
Ну, я поэтому и сказал «думаю». До нативных библиотек у меня пока руки не дошли, но, думаю, с появлением времени возьмусь за них или выберу другую тему но такая возможность тоже не исключена, так как там работают далеко не последние люди в этой области. кстати, спасибо за статью, ознакомился. различие в том, что там аргументы весомее за счет анализа трафика, но она как раз подтвердила, что
vpnDetector.isActiveне просто «костыль», унаследованный от какой-то библиотекине совсем понял вывод «раз не автор, так и не писали бы». Это была моя первая статья на такую тему, и я этого не скрывал ИИ и не пытался выдать себя за профессионального публициста, и это первая статья а уж тем более на Хабре. я принимаю материал можно было лучше структурировать, спрятать большие листинги под спойлеры и четче сформулировать выводы
ну, смотрите, в том-то и дело, что это допущение, а не убеждённость я так думаю, всё равно макс найдёт лазейку в правах, а уж тем более, возможно, через с++, хотя его я пока не сильно изучал либки
про детект ВПНа я узнал чуть позже, когда статья уже была на модерации и отредактировать её не мог. я, конечно, не могу до конца это утверждать, но сам факт того, что архитектура позволяет ему делать некоторые вещи без ведома юзера (например, определять наличие VPN через
vpnDetector.isActive()в экранах звонков, списка контактов и чатов, после чего показыватьVpnConnectedWarningBottomSheetи блокировать дальнейшее действие или делать дампы), уже заставляет задуматьсятам, скорее, вопрос в том, в каком виде оно лежит, а не вопрос: "А лежит ли моё сообщение на сервере?" ибо оно сохраняется везде, кроме P2P-мессенджеров с E2EE. сомневаюсь, что, условно, ВК боится скандалов это гиганты с огромным административным ресурсом, а уж тем более им плевать, пока приложение предустановлено на миллионах устройств или навязано корпоративно
статья могла бы быть написана лучше согласен, я не профессиональный автор(ибо это 1 статья на такие темы). Но для меня важнее, чтобы она точной и проверяемой и более читаемой. ИИ редактировал текст, я этого не скрываю. и чем "нечитаема"?
я отвечал на подобное - https://habr.com/ru/articles/1047490/comments/#comment_30112642
Сделать возможно но это куда сложнее
Возможно, так и есть, но что смущает, что Макс должен быть аналогом ушедшим мессенджерам и "безопасным", но я что-то не припомню подобного в условном Телеграмме
насчёт этого было сказано в конце статьи
А проверка VPN тоже считается «примесью»? А проверка всех установленных приложений? (про VPN в статье не сказано, хотя соответствующую проверку можно обнаружить в "one.me.chatscreen.ChatScreen" условно)