Начал было писать, что это новость 2016 года под новым соусом: (https://xakep.ru/2016/11/16/adups-fota-backdoor/), что многие производители уже давно что-то мониторят и предустанавливают и вообще статья очень голословна, но во время попытки собрать пруфы натолкнулся на статью (возможно оригинал, откуда пошла и эта новость?) от Malwarebytes: blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware
Всем советую читать именно её, там английский, но очень простой и текста немного. Там поэтапно разбираются в телефоне и чётко разъясняют, что не так и как это исправить.
Ну вот, а вы говорите от СОРМа нет толку, а ФСБ тормозит прогресс.
Платформа Яхонт-УВМ разработана НОРСИ-ТРАНС, являющейся одним из ведущих разработчиков АПК для СОРМ-1,2,3 и Закона Яровой: norsi-trans.ru/catalog
Разработка такой платформы обусловлена последними требованиями заказчиков, в роли которых выступает ФСБ и МВД.
Есть от них же статья на Хабре: habr.com/ru/company/microsoft/blog/446512
Странная система публикаций, если честно. Видимо, куратору этого ресурса нужно выкладывать определённое число статей и он не хочет раньше времени всё потратить :)
Ужас. Не для каждой компании это является чем-то критическим, и если вы из их числа — защищайте себя NDA в рамках закона. Никогда не слышал, чтобы для системного администратора было бы правилом хорошего тона не разглашать навыки своей работы в прошлых компаниях.
В защиту автора могу сказать, что любые сигнализации аналогично вмешиваются в цепь.
Тут дело в том, куда вмешиваться. Я делал на Skoda Octavia A5 FL прототип кнопок круиз-контроля (чтобы быстро переключать город-трасса, в дополнение к обычной стрекозе круиза), но в последний момент побоялся сам с этим ездить и удалил проект. Поскольку последствия одной неточной строчки кода могут быть трагическими.
В данном случае изменение касается по сути только медиа-системы.
По самому проекту — в данном случае это «из пушки по воробьям». Я бы сделал всё на реле, как обычно делается в штатных системах передних камер — активация передней камеры на 5-10 секунд после переключения из заднего хода.
Немного расстроен статьёй, очень много времени уделено рутинным вопросам, которые можно было решить на порядок проще. И, видимо, мало времени осталось на рассказ о сути вопроса. Я когда начинал читать статью был уверен, что вы для резанных картинок примените алгоритм склеивания, но о нём в конце одна строчка.
По рутинным вопросам. В основе проекта надо было использовать Selenium, чтобы взаимодействовать не с «картинкой, на которой браузер в котором картинка, которую нужно распознать», а с HTML-кодом, в котором всё лежит в виде объектов и со ссылками на ресурсы. Там лежит текст задания и можно извлечь все координаты квадратов или сразу сделать скриншот нужной части экрана. В таком случае псевдоалгорим следующий:
получаем текст задания
если отдельные картинки с образами:
перебираем каждую, выбираем 3 наиболее вероятных варианта, отмечаем
далее перебираем только эти 3 квадрата, пока на них есть образы
если картинка с общим образом:
извлекаем картинки и собираем, например, в imagemagick
находим образ, получаем средние координаты щелчков
отмечаем
У меня такой, требует регулярного протирания спиртом\спиртовыми салфетками.
В какой-то момент вообще детали перестали липнуть, хотя протирал перед каждой печатью. Оказалось, что салфетки не спиртовые :)
Писал в помощь кафедре утилиту, которая позволяла быстро определять попытки грязного обхода вашей системы. Критерии следующие: скрытый текст, блоки с текстом (скрытые, прозрачные, белые, за границей документа), подмена букв, определение прямых модификаций разметки и вывод небольшой статистики: количество изображений в документе, общее количество ошибок.
Это позволяет «на потоке» быстро отсечь совершенно левые работы. При тестировании умудрялись находить работы, где использовались все методы одновременно.
Думаю, что тема для вас не нова, но мне кажется, что было бы неплохо встроить эту проверку на этапе загрузки документа.
Ну да, вы совершенно случайно читая ленту Хабра увидели это сообщение. После чего незамедлительно зарегистрировались и настрочили хвалебную простыню в течении часа после публикации. Ведь до этого на Хабре ещё никогда не было настолько интересного топика, в обсуждении которого хотелось бы поучаствовать.
Неаккуратненько, да.
Раньше у 2ГИС было приложение которое определяло входящие номера, оно в логи писало все входящие звонки и какие-то сопроводительные данные. Мечте криминалиста просто :)
На уязвимость конечно тянет слабо: токен ваш, приложение на вашем устройстве и логи ваши. Если трафик зашифрован, то никто не страдает. Практически у любого приложения можно также посмотреть всю активность используя тот же Fiddler со своим сертификатом.
Но история как вы пытались уязвимость донести… это нечто! В случае реальной уязвимости гораздо проще было бы её продать :)
Есть один вариант донести уязвимость до практически любой компании максимально быстро — twitter. Когда актуальный вопрос публикуется в открытом виде, то реакция практически мгновенная.
Смешанные впечатления от материала, подача информации в котором имеет слишком односторонний характер. Например, про ценообразование:
Steam хвастает разработчикам, что будет работать с местными валютами удобным для них образом, позволив им заниматься только созданием игр. Однако здесь есть уловка. Не многие разработчики знают, что Steam делает на других рынках скидку...
Где противоречие? Площадка анализирует рынки, продажи и пр. для того, чтобы разработчик мог без лишних заморочек продать игру по всему миру и получить прибыль. И дальше по тексту это подтверждается их словами. Если игру можно выставить в США за $99, то у нас за 5.500 руб. оглушительных продаж точно не стоит ждать. Тем более, что площадка не позволяет покупать игры разных регионов на один аккаунт, обеспечивая защиту от махинаций.
Но с другой стороны удивлён отсутствием внятной системы поддержки. Особенно когда на мобильных платформах в приложении уровня крестиков-ноликов отслеживается куча информации, вплоть до записи момента краша.
Magic Leap… недавно даже получив деньги от государственного фонда Саудовской Аравии, государства, ворвавшегося в новости после того, как его правительство, судя по обвинениям, отправило отряд с целью убийства и расчленения журналиста, критиковавшего его режим, в своём посольстве в другой стране – и это ещё до того, как она успела выпустить даже бета-версию.
Это просто чудо предложение. Информационная каша, идеально характеризующая автора данного текста.
СА всегда была генератором новостей именно благодаря тому, что они постоянно спонсируют различные (зачастую сумасбродные) начинания.
Попытка связать никак не связанные между собой факты. С таким же успехом можно сказать: «Чтобы сразу понять, что из себя представляет Magic Leap, достаточно упомянуть, что этот стартап основан в США, где белые полицейские убивают безоружных афроамериканцев-подростков среди бела дня».
Ну и последнее выделенное предложение. Т.е. получать инвестиции от государства, убивающего журналистов в своём посольстве после выпуска бета-версии нормально? А если после альфы, то как?
рассказал «Ведомостям» знакомый топ-менеджеров банка
Такие переговоры идут, сказали федеральный чиновник и человек, знающий это от другого федерального чиновника.
В статье тут:
рассказал «Ведомостям» один из топ-менеджеров банка
Резюме: источник уровня «одна бабка сказала» + цитата из недавних новостей = «горячая» желтая новость, которая существенно удешевила акции на одну из крупнейших IT контор. Сейчас выступят с опровержением, акции поднимутся обратно и кто-то очень хорошо заработает.
Почти как Илон Маск с арабами и медвежьим трендом.
P.S. Ну и вишенка на торте, из того же источника:
По словам одного, Сбербанк – фаворит, но не единственный претендент на «Яндекс».
Т.е. имеем дабл ОБС: сказал друг знакомого брата, что переговоры идут с ними а может и не с ними, а может и вообще не идут, но могут.
P.P.S. Про «знакомый топ-менеджеров» тут уже поправили в статье.
Всем советую читать именно её, там английский, но очень простой и текста немного. Там поэтапно разбираются в телефоне и чётко разъясняют, что не так и как это исправить.
Платформа Яхонт-УВМ разработана НОРСИ-ТРАНС, являющейся одним из ведущих разработчиков АПК для СОРМ-1,2,3 и Закона Яровой: norsi-trans.ru/catalog
Разработка такой платформы обусловлена последними требованиями заказчиков, в роли которых выступает ФСБ и МВД.
Странная система публикаций, если честно. Видимо, куратору этого ресурса нужно выкладывать определённое число статей и он не хочет раньше времени всё потратить :)
Тут дело в том, куда вмешиваться. Я делал на Skoda Octavia A5 FL прототип кнопок круиз-контроля (чтобы быстро переключать город-трасса, в дополнение к обычной стрекозе круиза), но в последний момент побоялся сам с этим ездить и удалил проект. Поскольку последствия одной неточной строчки кода могут быть трагическими.
В данном случае изменение касается по сути только медиа-системы.
По самому проекту — в данном случае это «из пушки по воробьям». Я бы сделал всё на реле, как обычно делается в штатных системах передних камер — активация передней камеры на 5-10 секунд после переключения из заднего хода.
По рутинным вопросам. В основе проекта надо было использовать Selenium, чтобы взаимодействовать не с «картинкой, на которой браузер в котором картинка, которую нужно распознать», а с HTML-кодом, в котором всё лежит в виде объектов и со ссылками на ресурсы. Там лежит текст задания и можно извлечь все координаты квадратов или сразу сделать скриншот нужной части экрана. В таком случае псевдоалгорим следующий:
В какой-то момент вообще детали перестали липнуть, хотя протирал перед каждой печатью. Оказалось, что салфетки не спиртовые :)
Это позволяет «на потоке» быстро отсечь совершенно левые работы. При тестировании умудрялись находить работы, где использовались все методы одновременно.
Думаю, что тема для вас не нова, но мне кажется, что было бы неплохо встроить эту проверку на этапе загрузки документа.
Раньше у 2ГИС было приложение которое определяло входящие номера, оно в логи писало все входящие звонки и какие-то сопроводительные данные. Мечте криминалиста просто :)
Но история как вы пытались уязвимость донести… это нечто! В случае реальной уязвимости гораздо проще было бы её продать :)
Есть один вариант донести уязвимость до практически любой компании максимально быстро — twitter. Когда актуальный вопрос публикуется в открытом виде, то реакция практически мгновенная.
Где противоречие? Площадка анализирует рынки, продажи и пр. для того, чтобы разработчик мог без лишних заморочек продать игру по всему миру и получить прибыль. И дальше по тексту это подтверждается их словами. Если игру можно выставить в США за $99, то у нас за 5.500 руб. оглушительных продаж точно не стоит ждать. Тем более, что площадка не позволяет покупать игры разных регионов на один аккаунт, обеспечивая защиту от махинаций.
Но с другой стороны удивлён отсутствием внятной системы поддержки. Особенно когда на мобильных платформах в приложении уровня крестиков-ноликов отслеживается куча информации, вплоть до записи момента краша.
Это просто чудо предложение. Информационная каша, идеально характеризующая автора данного текста.
СА всегда была генератором новостей именно благодаря тому, что они постоянно спонсируют различные (зачастую сумасбродные) начинания.
Попытка связать никак не связанные между собой факты. С таким же успехом можно сказать: «Чтобы сразу понять, что из себя представляет Magic Leap, достаточно упомянуть, что этот стартап основан в США, где белые полицейские убивают безоружных афроамериканцев-подростков среди бела дня».
Ну и последнее выделенное предложение. Т.е. получать инвестиции от государства, убивающего журналистов в своём посольстве после выпуска бета-версии нормально? А если после альфы, то как?
По гос. служащим смотреть на ответственность должностных лиц.
В статье тут:Резюме: источник уровня «одна бабка сказала» + цитата из недавних новостей = «горячая» желтая новость, которая существенно удешевила акции на одну из крупнейших IT контор. Сейчас выступят с опровержением, акции поднимутся обратно и кто-то очень хорошо заработает.
Почти как Илон Маск с арабами и медвежьим трендом.
P.S. Ну и вишенка на торте, из того же источника:
Т.е. имеем дабл ОБС: сказал друг знакомого брата, что переговоры идут с ними а может и не с ними, а может и вообще не идут, но могут.
P.P.S. Про «знакомый топ-менеджеров» тут уже поправили в статье.