Приложение запускает BroadcastReceiver, который ловит событие загрузки телефона и с определенным интервалом отправляет на сервера Яндекса пакеты. При этом если закрыть само приложение, сервис будет работать дальше сам. Это очень странный функционал для карты метро. Логичней тут было бы увидеть сервис, цикл жизни которого связан с циклом самого приложения.
Еще один интересный вектор кстати — это Старший Брат Большого Брата. Эти пакеты может так же собирать и СОРМ для слежки за всеми подряд. И всё благодаря и за счёт Яндекса.
А потом вы выходите из метро, а приложение по-прежнему за вами следит. Едите в другой город, а оно следит. Едете в другую страну где о Яндексе и не слышали никогда, а оно и тут за вами следит :).
Это для вас норма?
PS чтобы определить ваше местонахождение «нормальному» приложению не нужны никакие ваши личные идентификаторы.
Телефон и ПК должны быть в одной сети. На ПК ставим Burp Suite. На телефоне в свойствах Wi-Fi прописываем прокси — ПК. В окне Burp Suite видим весь вебтрафик, идущий с телефона.
Кроме того на телефон установил приложение «Network Connection» чтобы видеть какое приложение отправляет трафик.
Давайте я немного перепишу свою статью.
Существует приложение, позволяющее вести круглосуточную слежку за миллионами граждан. Это приложение позволяет установить, где человек работает, где живет, куда ходит на обед, где ночует (и с кем), как провел новый год, в какой гостинице отдыхал в отпуске.
Насколько, по Вашему мнению, такой функционал соответствует карте метро?
Есть платежные системы, есть системы бронирования авиабилетов, есть, например, сайты типа dnevnik.ru, которые с гордостью заявляют о том, что хранят сведения о миллионах российских детей на Amazon и Azure.
Американское законодательство считает доступ спецслужб к этим сведениям полностью законным в любой точке земного шара.
Пора прекратить практику, когда западные спецслужбы могут заводить досье на каждого россиянина начиная со школьной скамьи, отслеживать все его перемещения даже на внутренних авиалиниях, все его покупки не только в интернете, но и в реальном мире (если он платил картой).
Да и какой ИТ рынок то для российских компаний появится!
Вот ещё один отличный прецедент 30.rkn.gov.ru/news/news57301.htm
Больница получила предписание за то, что брала согласие с пациентов на обработку их персональных данных, а по закону могла не брать.
Статья 171. Незаконное предпринимательство
1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.
2. То же деяние:
б) сопряженное с извлечением дохода в особо крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.
Дело не только в лицензиях, но и в требованиях ФСБ к СКЗИ. Диск с КриптоПро должен лежать в сейфе, дубликат ключей от которого должен быть в другом сейфе. В помещении должны быть решетки на окнах, нельзя находится посторонним без сопровождения и так далее. Это маразм, который никто не собирается отменять.
Дело в самой площадке РОИ. Никто из руководства страны вообще похоже её серьезно не воспринимает. Если сделать слишком радикальную инициативу, даже набрав 100 тысяч, она зависнет, как зависли черные списки.
Отсюда и мягкие формулировки в этом очень горячем вопросе :)
Еще один интересный вектор кстати — это Старший Брат Большого Брата. Эти пакеты может так же собирать и СОРМ для слежки за всеми подряд. И всё благодаря и за счёт Яндекса.
Это для вас норма?
PS чтобы определить ваше местонахождение «нормальному» приложению не нужны никакие ваши личные идентификаторы.
Яндекс знает мак-адрес вашего домашнего маршрутизатора.
Собственно стартует само приложение Яндекс.Метро и запускает фоновый сервис.
Кроме того на телефон установил приложение «Network Connection» чтобы видеть какое приложение отправляет трафик.
Существует приложение, позволяющее вести круглосуточную слежку за миллионами граждан. Это приложение позволяет установить, где человек работает, где живет, куда ходит на обед, где ночует (и с кем), как провел новый год, в какой гостинице отдыхал в отпуске.
Насколько, по Вашему мнению, такой функционал соответствует карте метро?
Серьезный плюс — есть плагины под различные браузеры.
Американское законодательство считает доступ спецслужб к этим сведениям полностью законным в любой точке земного шара.
Пора прекратить практику, когда западные спецслужбы могут заводить досье на каждого россиянина начиная со школьной скамьи, отслеживать все его перемещения даже на внутренних авиалиниях, все его покупки не только в интернете, но и в реальном мире (если он платил картой).
Да и какой ИТ рынок то для российских компаний появится!
Больница получила предписание за то, что брала согласие с пациентов на обработку их персональных данных, а по закону могла не брать.
В законе так указано: оператор обязан опубликовать сведения о «реализуемых требованиях к защите персональных данных».
Статья 171. Незаконное предпринимательство
1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.
2. То же деяние:
б) сопряженное с извлечением дохода в особо крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.
ЗЫ обратите внимание на количество проголосовавших «за» и «против»…
Дело не только в лицензиях, но и в требованиях ФСБ к СКЗИ. Диск с КриптоПро должен лежать в сейфе, дубликат ключей от которого должен быть в другом сейфе. В помещении должны быть решетки на окнах, нельзя находится посторонним без сопровождения и так далее. Это маразм, который никто не собирается отменять.
Отсюда и мягкие формулировки в этом очень горячем вопросе :)