Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 166
Материал мог вызвать противоречивые чувства. Будьте критичны к любой публикуемой информации. Перед написанием комментария вспомните правила сообщества.
Как писать и что делать
- Не пишите оскорбительные комментарии и не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения, даже в завуалированной форме.
- Чтобы сообщить о комментариях, нарушающих правила сайта, нажмите кнопку «Пожаловаться» или заполните форму обратной связи.
Что делать, если: минусуют карму, заблокировали аккаунт.
А что кто то еще эти приложения использует ?))
Я использую Яндекс-Навигатор. Не представляю, чем его можно будет заменить.....
Так фактически выбора то не оставили для того то что бы вот всем этим пользоваться...лучше убогий навигатор какой то другой...чем слитый впн..
А есть ли убогий навигатор (получается, НЕ российский), который умеет российские дороги и, главное, российские ПРОБКИ?!
Magic Earth. Российские дороги (OSM), российские пробки (не знаю, откуда, но точные). Встроенный видеорегистатор, озвучка названий улиц системным TTS-движком (если нет гуглового, можно поставить RHvoice). Единственный по мне минус - голосом не управляется.
при отсутствии мобильного интернета и заглушенного GPS смысла в навигаторах нет
Так проще не включать VPN при запуске ЯН?
Надо тогда полностью удалять приложение каждый раз. Андроид очень дырявый. Можно косвенно определить по списку установленных приложений, возможно ещё по каким-то параметрам.
Также, если включать и выключать каждый раз, то всегда есть вероятность однажды забыть отключить. Но этого будет достаточно, чтобы сразу получить бан навсегда.
Яндекс-Навигатор можно заменить на Ситигид. Последний раз обновлялся задолго до начала блокировок. Правда я его не проверял, ищет ли он VPN.
Если кто сможет проверить Yango Maps - было бы неплохо. По факту тот же яндекс навигатор, но для другого региона. Рекламы нет, размер apk вполовину меньше. Может, и не отслеживает впн.
Использую Organic maps и не представляю зачем нужен навигатор яндекса. Органик использует OSM, по моему опыту, osm актуальнее яндекса, особенно в плане мелких дорог.
Есть yango maps без рекламы, вроде как от самого яндекса для халяльных стран
Собственно, отдельным телефоном. Для навигации и камер использую второй телефон IPhone SE 2020, он мелкий и удобный, и для CarPlay у него гораздо приятнее интерфейс навигатора, чем на Андроиде. Сим-карту для него когда то приобретал на сайте мегасимки, там дешевые корпоративные тарифы, правда, входная цена условно высокая. ВПН на этом телефоне не использую - незачем. В свете последних веяний перекинул на него Озон, который удалил с основного телефона. Так же на основном телефоне поставил Shelter (который песочница), в ближайшем будущем перекину туда некоторые приложения типа Сбера и Альфы.
shelter не поможет, писали уже в других темах. Песочница андроида не изолирует сеть.
Shelter это Work профиль, лучше нативный Private Space использовать, это совсем другое дело, там разные слоты под VPN, да и в целом все разное на сетевом уровне
Жалко что нативно в андроиде нет переключения между основным и private через разные пинкоды/отпечатки разных пальцев. Но даже так, а вы проверяли доступность сервисов забиндженных на локалхост между такими профилями?
Если под приватной вы имеете ввиду, личный профиль как одно из недавних нововведений андроида, то да
Если на основе запущен ВПН, то в привате он работать не будет и наоборот, но в то же время если приложение разворачивает туннель в одном из профилей, то во втором ты не сможешь его развернуть
Если на основе запущен ВПН, то в привате он работать не будет и наоборот
вот в этой части речь не про vpn
вы проверяли доступность сервисов забиндженных на локалхост между такими профилями?
Тут про различные сервера запущеные и занявшие условный 127.0.01:10805
Будет ли из private space доступен такой сервер запущенный в основном профиле. И наоборот
Я сам не проверял, но, вроде, localhost всё ещё доступен со всех профилей, возможно на Graphene это не так
Жалко. Таскать больше 2-х телефонов особо сильного желания нет.
А инет на нормальный телефон с впн раздается со второго без впн? Или отдельные симки?
Самым простым советским "дарогу пакажишь ?"
Взять отдельный телефон для него или магнитолу на андроиде, такая же ерунда, это единственное приложение из списка у меня.
Когда-то давно пользовался navitel. Взломанным, на Нокиа, oc simbian.
Да много такого. То же такси, или каршеринг. Сбер опять же весьма нужен. Ну и плюс большинство шерят свой сервер паре другой знакомых, а че там у них на телефоне ты энивей не проконтролируешь, даже если сам у себя максимально зачистишь все. Я морально смирился с тем, что мой заблочат рано или поздно, а следующий поднятый уже никому давать не буду, эгоизм наше все)
Почти уверен, что 90% описанного функционала трекинга и фингерпринтинга было внедрено еще достаточно давно для своих целей: аналитики, безопасности и так далее и тому подобное.
Перехватывают dispatchTouchEvent() — каждое касание экрана с координатами, давлением и временем. Сбербанк хранит объекты TouchData с полями pressure, size, x, y. Group-IB SDK (в Альфа-Банке, MegaMarket, Мой МТС) перехватывает все touch-события.
Что в прочем не отменяет того, что весь описанный в pdf документе функционал легко может быть использован для проверки и слива всех сетевых интерфейсов пользователя.
Как говорится "используйте на свой страх и риск".
Интересно как быстро умельцы напишут модуль для Magisk, который будет подменять эти системные метрики для конкретных приложений)
Нет ничего плохого в проверке галочки наличия впн, чтобы вывести окошко "банк может плохо работать с впн". Это было и раньше ,и это нормально.
А вот не нормально, это отслеживать ip и Отсылать его, тот шпионский модуль, который обнаружили в max.
И вот тут интересно, сколько из перечисленных приложений внедрили такой же модуль.
Можно протегать аккаунт компаний, ну и поспрашивать самих разработчиков, каково им осознавать, что они свои приложения превратили в Spyware скам. Это то "легендарное российское ИТ" кюю, к которому вы стремились?
резюме - не ставить российские приложения :(
не понимаю как это может работать. вот поднял я туннель домой или на дачу - забрать файл, посмотреть в камеру. и все, я "нарушитель" ?
ага, шел-шел, случайно камера включилась у телефона, случайно QR код с асфальта считался сам, миссклик и опа уже тоннель рабочий
Нет конечно.
Задачу поставили простую - не пущать. То есть сделать жизнь рядового не айтишника максимально непростой, что бы он туда сюда постоянно переключал эти ВПНы, а когда ему наконец надоест, он просто удалит ВПН и пересядет на МАКС и РУТУБ.
Вы посмотрите, 90% граждан используют не self hosted решения, где запуск в 1 клик, а какие то левые ВПНы с кучей рекламы и "посмотри 1 минуту ролик, что бы получить 10 минут инстаграма". Поверьте, через N раз включения/выключения этого софта и очередного минутного ролика часть пользователей просто отвалится банально из за неудобства.
Ну и дополнительно мы точно знаем, что СКАМ нагло трекал наличие включенного ВПН, получал ip клиента и пинговал заблокированные ресурсы, то есть алгоритм проверки как раз внешних self hosted vpn.
Так что вопрос времени (если не уже), когда такой же функционал будет внедрен и другими приложениями.
Имхо тут имеет смысл держать руку на пульсе, каждый билд разбирать руками и как только такой функционал появляется явно - репортить приложение в сторах с его последующим удалением оттуда. Только так.
какие то левые ВПНы с кучей рекламы и "посмотри 1 минуту ролик, что бы получить 10 минут инстаграма"
Ну нет, посмотри минуту рекламу, несколько раз нажми кнопочку закрыть и получи сутки инстаграма. Вполне терпимо.
более менее вменяемых гайдов для self hosted решений днем с огнем не найти , особенно для простого юзера
При разделении пространства для приложений впн падает? Если нет, в первом приближении звучит как довольно ленивый способ обхода слежки за впн.
Сетевые интерфейсы и порты прокси видно из Shelter.
На андроид есть второе пространство.
Его можно использовать для запрещенки с КВН.
При переключении между пространствами КВН падает
Сканер в основном пространстве никак не видит приложения установленные во втором пространстве.
Это первый вариант, но не очень удобный.
Второй вариант это второй телефон в кармане с раздачей VPN с него через точку wifi
Цена вопроса 2000 р за бу xiaomi
Приложение VPN Hotspot «склеивает» интерфейс точки доступа и VPN-туннель на системном уровне. Тогда на принимающих устройствах ничего настраивать не нужно — VPN будет работать сразу. Настройка маршрутизации по geoip, domain:ru закроет дыру при пингах для выявления забугорного ip.
Для сканеров будет видно обычное WiFi подключение.
Но скорее всего раздача квн с внешнего роутера тоже не защитит от определения впн
Так как Макс проверяет через забугорные сервисы через какой IP адрес трафик идет
В целом прощайте телеграм и инстаграм. Доступ до нужных ресурсов получат только те кому действительно нужно.
Кстати наличие клиента телеграм вроде как разрешено, а в нем внутри вшит mtproto, который 6 апреля пофиксили.
Резюме: железно поможет только второй отдельный телефон для запрещенки с постоянным квн
резюме - не ставить российские приложения :(
А точно в не российских приложениях лучше? Отчетам по остальным приложениям нет, я вот знаю что facebok гигабайты логов пытается слить (причем он раньше на android был не удаляемым)... что там?
Не-российское приложение с намного меньшей вероятностью сольет РКНу мой VPN.
facebok гигабайты логов пытается слить
Мне кажется, это называется вотэбаутизмом. Но даже если я ошибся с термином, я едва ли ошибаюсь с сутью: если где-то есть какая-то омерзительная дрянь, которая делает отвратительно гадкие вещи, то это никак - вот вообще НИКАК не оправдывает существование другой омерзительной дряни, которая делает другие или примерно такие же отвратительно гадкие вещи. Поэтому ваш аргумент категорически отклоняется.
причем он раньше на android был не удаляемым
Это не особенность Android, а особенность некоторых вендоров, которые предустанавливают bloatware часто в качестве системного приложения, из-за чего этот мусор впоследствии трудно удалить (невозможно удалить через штатные средства), и что, имея системные привилегии, может иметь куда как больший доступ к системе, чем сам пользователь. Но все же это не проблема Android - это решение каждого отдельного вендора.
Мне кажется, это называется вотэбаутизмом.
А если это не так придумай любой другой термин. Это все оправдает.
если где-то есть какая-то омерзительная дрянь, которая делает отвратительно гадкие вещи, то это никак - вот вообще НИКАК не оправдывает существование другой
А что делают остальные, хотя бы, ТОП100 приложений? Как проверить? В сторе очень много приложений и мне плевать на происхождение приложение, которое будет сливать обо мне личную информацию кому угодно. Вот тут мы 10 приложений видим, что там в миллионе - да пофиг.
Это не особенность Android, а особенность некоторых вендоров, которые предустанавливают bloatware часто в качестве системного приложения
И? А оно сейчас есть или нет на телефоне? Как узнать?
о все же это не проблема Android - это решение каждого отдельного вендора.
Сегодня эти вендоры норм, а завтра уже нет.
Самое веселое в этом исследование - оно бессмысленно. Сегодня приложение x молчит, вышло обновление - уже шлет. Почитают статью - отключат. Завтра купят популярную игру в сша, добавят туда детектор vpn, будут через него сливать - не ставьте все игры из США? Что дальше? 1 приложение - 1 телефон?
Делают ли это вообще все остальные приложения - не понятно. Есть рекомендации, но их устанешь выполнять.
А если это не так придумай любой другой термин. Это все оправдает.
Нет. Термин - это способ называть определенные вещи или явления так, чтобы было понятно, о чем речь, желательно без возможности случайного или умышленного ошибочного трактования. Если какое-то явление называется каким-то словом, то это слово указывает на явление, а не "оправдывает" его.
А что делают остальные, хотя бы, ТОП100 приложений? Как проверить?
Аргумент линускоида: читай исходники. Если вас этот аргумент не устраивает, то смею вас заверить, что меня тоже не устраивает, однако лучших решений на данный момент у меня нет. А, да, забыл добавить: многие (большинство, почти все?) приложений - с закрытым кодом. Гипотетически можно отреверсить все, но практически нет. Остается шаткий механизм доверия - сломанный злоупотреблениями тех, кто казалось бы должен поддерживать работу этого механизма.
В сторе очень много приложений и мне плевать на происхождение приложение, которое будет сливать обо мне личную информацию кому угодно.
Фактически вы стоите перед выбобром - пользоваться как есть или не пользоваться. Так себе выбор, если бы вы спросили мое мнение на этот счет.
Вот тут мы 10 приложений видим, что там в миллионе - да пофиг.
Это (сбор всего, до чего удастся дотянуться) стало вариантом нормы. Это не значит, что это хорошо или хотя бы приемлемо - нет, это просто данность.
И? А оно сейчас есть или нет на телефоне? Как узнать?
У меня нет, но было. У вас? Не знаю, листайте список установленных приложений, возможно вам понадобится включить опцию "показывать системные" - как минимум названия своих приложений они (фейсбук) не обфусцируют. У вас нет root? Пробуйте заморозить через ADB - оно не удалится буквально, но работать не будет. Ну, до какого-то обновления, возможно. Тогда придется повторить.
Сегодня эти вендоры норм, а завтра уже нет.
Судя по массовым восторгам от Xiaomi и саббрендов (что там, Muy Poco, что-то еще?) - ситуация наоборот. Сегодня это вендоры для чудаков, которые сравнивают формальные техданные, а завтра это массовый бренд для всех. Тут нужно обязательно добавить, что встроенную рекламу в Xiaomi можно отключить. Нет, вы вдумайтесь - нам говорят, что реклама это нормально, ведь ее [пока что] можно после нескольких дней возни с телефоном отключить. О том, что собирает (все, вообще все) и куда оно отсылает ваши данные, до которых может дотянуться bloatware с системными привилегиями - можно гадать, можно играться в сниффер, но только остановить это несколько проблематично, особенно если вы слегка далеко от этого вашего IT, и просто купили лудший™ топ за свои деньги™ по совету доморощенного псевдознатока.
Самое веселое в этом исследование - оно бессмысленно. Сегодня приложение x молчит, вышло обновление - уже шлет. Почитают статью - отключат.
Среднестатистический обыватель ничего не может с эти сделать. Да и более продвинутый пользователь зачастую тоже ничего. См. выше - соглашаешься как есть или проходишь мимо. И там же моя субъективная оценка подобной свободы выбобра.
Завтра купят популярную игру в сша, добавят туда детектор vpn, будут через него сливать - не ставьте все игры из США?
США не борются с VPN. Борьба с VPN происходит преимущественно в одной стране. Ну и еще в нескольких, но мы же не про них. Остальной мир ничего не имеет против VPN и, преимущественно, использует его по прямому назначению - для создания виртуальных частных сетей, а не для проксирования трафика и обхода географических или иных блокировок доступа к контенту, которые не более чем возможное побочное действие, необязательное и не гарантированное. А значит VPS с крутящимся на нем VPN сервером, который вполне может понадобиться при серых IP, без проблем может находиться в той же географической зоне, что и пользователь VPN - задача VPN не в обходе блокировок же. Гипотетическая игра с детектором VPN вполне может существовать в реальности, и нет объективных причин, по которым такая игра не может быть разработана в США. Например, для разделения цен на платные услуги или дополнения по регионам - чтобы игроки не регистрировались из-под других регионов, где цены по маркетинговым соображениям ниже. На "слив" это не влияет вообще никак - либо игра требует (и получает) разрешения, либо нет.
Что дальше? 1 приложение - 1 телефон?
Возможно. Или дальнейшее развитие идеи разделения среды выполнения на все более изолированные песочницы - но это к разработчикам ОС скорее вопрос, ну или к разработчикам виртуальных машин. Лично я, пока что, потребности в этом не вижу - я не пользуюсь VPN для обхода блокировок, потому что у меня почти нет блокировок, а те что есть я не замечаю повседневно. В моем регионе сервера YouTube, похоже, оказались более высокого качества, чем в ваших краях, и пока еще не деградировали - если вы понимаете, о чем я. Но это мое мнение на сейчас, а значит я могу ошибаться и/или мое мнение может измениться вслед за изменившимися обстоятельствами.
Кстати, а у вас есть какие-то workaround в виде вместо приложения заходить через браузер? Не полноценное решение, но как костыль, быть может, сойдет.
Делают ли это вообще все остальные приложения - не понятно. Есть рекомендации, но их устанешь выполнять.
Однажды начавшаяся истерия big data никуда не делась. Сейчас об этом меньше говорят, но делают не меньше, а по возможности даже больше. По всей видимости еще совсем недавно многие не знали, что делать с собираемыми данными. Но вот ИИ вполне может, наконец, начать в этих данных копаться, и из тонн raw data делать вполне стоящие рекламных или разведывательных денег обобщения и выводы. Ну и деанонимизация, куда уж без нее - рекламистам, возможно, она не так ценна, а вот другим покупателям и пользователям, как из тех, на чье предложение нельзя ответить отказом, так и просто разные всякие товарищи из даркнета, это может быть сильно на руку.
Теперь вопрос: а что вы, собственно, хотите? Или что предлагаете? Ваш комментарий - набор тезисов, с которыми можно согласиться или попробовать оспорить, но из вашего комментария не следует ни четкий вопрос - ну, кроме невозможности проверить всех и вся, ни призыв к какому-то действию. Или я вас не вполне понял, тогда прошу прощения.
Зачем вообще держать впн до дачи включенным 24/7 на телефоне, если он нужен только для разовых задач?
да просто чтоб не париться включением выключением. плюс опсос не будет шариться по твоему трафику.
если он нужен только для разовых задач?
Патамушта эти разовые задачи становятся всё более и более не разовыми, благодаря безудержному энтузазизму господ запретителей.
Ютьюб на ходу послушать, вацап, телега, синхронизация FBreadera на разных устройствах - этим я пользуюсь постоянно.
И всё это, да даже, мазафака, синхронизация читалки без ТСПУ (технических средств противодействия уродам, ломающим интернет) не работает/работает через раз.
Не знаю что там у вас за разовые задачи. Доступ к телеграму, например, у меня задача вполне постоянная. Да и в целом это года 3-4 назад можно было "ой это блокнуто, ну ладно, сейчас подрублю", сейчас намного проще наоборот "так, надо на госуслуги, ну выключу на минутку".
Билайновская приложуха (запущенная мимо впн) видит включенный впн, предлагает отключить, но работает (пока?). Это единственное приложение из всего что у меня установлено, которое так себя ведёт и соответственно первый кандидат на удаление.
вывод в PDF неправильный кстати
не
"Итого: 8 из 30 приложения не детектируют VPN."
а
"Итого: 8 из 30 приложения пока не детектируют VPN."
Иронично как минцифры приказывает бизнесу добавлять вредоносный код в свои приложения. Практически лицензия на хакинг.
Понятно что у многих "популярных" приложений уже были такие "функции", но вот теперь любой мудак может наворотить такой хрени и при любом удобном случае сказать, что у него лапки, это злые чиновники виноваты
Всё идёт к тому, что лучшее устройство для всего русского будет /dev/null.
З.Ы.
В россии какое-то колоссальное количество иуд, даже среди тех, кто казалось бы, должен двигать прогресс. Неужели они не понимают, что делая хуже окружающим, они, в конечном итоге, делают хуже самим себе, только с лагом во времени...
Я по этому поводу пару раз писал комменты, которые потом минусили: нет кого-то, кто себя уж точно осознает "иудой". Абсолютно каждый в цепочке от фронтенд-разработчика в яндекс-еде до разработчика ТСПУ считает, что это не его вина, это вина кого-то следующего, кто делает совсем уж людоедские вещи (для фронтенда в яндексе - виноват разработчик в Max-е, для разработчика ТСПУ виноват заказчик от силовиков и т.д.). Что интересно - еще неделю назад я писал про разработчика в Яндексе как про абстрактно "почти невиновного" человека, а сегодня он уже вполне может внедрять плашку "отключите VPN".
"Не стоит недооценивать предсказуемость человеческой глупости."
И жадности)
Уместны просто слова 1-5. Такова история отбора.
Неужели они не понимают, что делая хуже окружающим, они, в конечном итоге, делают хуже самим себе, только с лагом во времени…
Не понимают. И репресии 1937 года никого ничему не научили, и никто из них не извлёк никаких уроков.
Когда мне становится совсем тоскливо, я вспоминаю старую притчу.
Притча
Спросил Бог у человека: "Проси у меня все, что хочешь, и я дам тебе, но с одним условием - что соседу твоему дам вдвое больше. Если тебе усадьбу, то ему - две, если тебе коня - то ему пару. Что хочешь ты получить?" - "Всемогущий, прошу тебя, - ответил этот человек, - вынь у меня один глаз!.."
(с) Леонид Соловьев, “Очарованный принц”, вторая часть дилогии “Повесть о Ходже Насреддине” Глава 34"
Неужели они не понимают, что делая хуже окружающим, они, в конечном итоге, делают хуже самим себе, только с лагом во времени
Люди, которые принимают эти решения, живут в другой реальности.
Не в России. В целом порядка 70-80% популяции - пассивны.
Неужели они не понимают...
"Самостоп" (с) Оруэлл. Это для тех, кто понимает.
А многие до сих пор реально не понимают. Кому просто нечем, там телевизор вместо мозга, а кто - идейный борец с "врагами" (я таких видел, это реальные люди).
Для тех кто живет в РФ, от российских приложений никуда не деться.
Банковские, карты (яндекс-карты лучше гугловских), авито, VK, маркетплейсы...
Скорее вопрос, что надо из иностранных чтоб запускать VPN, навскидку это ТГ, Youtube, Whatsapp, Instagram, какие-то сайты. Склоняюсь к мысли о покупке второго телефона (а то старому уже шесть лет к тому же), и разнести приложения. Но лучше бы в какую-то песочницу, второй профиль, и т.п... Проблема, что ТГ и VK бывают нужны одновременно. И какой-то шлюз нужен.
А зачем ставить приложения? Банки, карты, авито, VK, маркетплейсы прекрасно работают из браузера. У меня сейчас из российских приложений только Госключ и приложение сети продуктовых магазинов с QR-кодом бонусной карты.
А зачем вообще устанавливать приложения всяких магазинов и торговых сетей всего лишь для бонусных карт, если можно их все хранить в каком-нибудь специальном для этого приложений, которое вообще не имеет выход в интернет? Я использую Catima. Всякие qr и штрих коды хранятся на ура.
У половины страны и компьютера нет наверное. Все пользуются мобильниками…
Там зачастую QR-коды динамические.
Если взять для примера приложение от Магнит - в нем можно смотреть актуальные скидки, выбрать кешбек бонусами на месяц по категориям (копишь, тратишь) кто-то пользуется доставкой и так далее. Если приложение используется не часто, и только как qr/штрих код для получения скидок/бонусов - да, проще выпустить/отсканировать карту, добавить ее и удалить приложение. Есть еще другие магазины (в разных категориях, 2-3 продуктовых, строительные etc), где нужно приложение (посмотреть наличие, цены), у каждого свои сценарии использования на каждый день.
Только ради динамического штрих-кода.
Есть торговые сети, которые принципиально требуют либо свою карту в виде куска пластика, либо свое приложение. Например, "Красное и Белое". На вопрос: какая разница, как именно покупатель себя идентифицирует, если штрих-код - один и тот же, персонал обычно равнодушно пожимает плечами и говорит: "у нас такие правила".
Есть сети, где физический носитель отсутствует в принципе, а QR-код в приложении динамический, меняется раз в какое-то время. Зачем так делают, мне неведомо, единственный ответ: заставить поставить свое приложение и собирать какие-то метрики в обмен на скидки и бонусы.
Где-то можно зачислить баллы за покупку и по сохраненной карте в Catima, но списать их можно только через предъявление кода в приложении.
Да много всяких извратов.
То ли еще будет, когда будут анонсированные "цифровые деньги" (не путать с безналом). Я думаю, многие сильно удивятся...
Браузер, особенно, хром, а не тор и не дак, эту информацию не может собирать?
Читая комменты на хабре и расспрашивая искусственного идиота, я пришел к такому выводу, что и сайты могут, пусть и косвенно, определить что есть впн. Но я это не проверял, да и не буду, от греха подальше.
яндекс-карты лучше гугловских
не фатально. на фоне вклада от жпс спуфинга вообще неощутимо.
Фатально, гугл карты более менее можно использовать только в крупных городах, областной дорожный граф у них часто включает дороги которые еще составитель ггц сомневались включать в дорожную сеть или сдохла значит сдохла.
Делал для Гугла карты по РФ. Теперь их уже годы не обновляли. Сейчас они не актуальны. Дороги старые остались, естественно, но изменений нет, а POI вообще на выброс.
Яндекс на Андроиде лучше борется со спуфингом.
Тут писали уже: песочница не мешает палить наличие VPN. И вроде (я не совсем понял, могу ошибаться) проверять доступ к запрещенке.
/proc/net/tcp был закрыт для всех приложений ещё в 2019 году, что он там читает?
приложение Госуслуги у меня как раз детектирует - оно единственное, правда, кто говорит об этом при запуске.
Банки всегда чекали впн и рут-права чисто ради антифрода, чтобы отсекать мамкиных хакеров, просто теперь эти данные попросили передавать "куда надо"
Примерно понимая цикл разработки у таких приложений, возникает вопрос: - когда они успели?
Это в них уже давно было, думаю. Про новые методы, которые были описаны в "слитой методичке", тут вроде не шло речи вообще.
А о чём тут тогда речь? О том, что из приложения летят метрики? Или о том, что каким-то приложениям важен регион, откуда оно запускается и если регион не совпадает ожидаемым - приложению (бизнесу) это не нравится?
да, это достаточно старый функционал, и использовался для кейсов когда где-то waf или еще что-то, не пропускал коннект от сомнительного и нередко бесплатного впн сервера, и приложение просто ломалось. для ux они определяют что включен впн и почти все приложения предупреждают "а вот у вас впн, из-за этого может будут проблемы".
ну и да, логирование этого всего скорее всего тоже было всегда. таким образом, можно не париться - все уже залогировано про каждого. и стоит сфокусироваться на методиках защиты от слития адресов своей инфры.
Во-первых им заранее сказали, во вторых там три строчки добавить, фукционал то давно был.
а так тут у многих думаю есть опыт пиления фич задолго до первых вбросов в новостях.
Интересно, как дела у iOS-приложений
Иметь два смартфона становится жизненной необходимостью. Один - только для российских приложений, второй - всё остальное (VPN, соцсети, мессенджеры).
Пробовали ли аналогичным образом анализировать приложения зарубежных банков?
И пробовали ли еще и сайты анализировать тех же экосистем, что и приложений?..
(правда там, по идее, нужна другая методика анализа)
Они тоже сольют по требованию Минцифры под угрозой отъема бизнеса и других "репрессий" все ваши данные о self hosted VPN Роскомнадзору?
Кстати, ни один мой зарубежный банк (2 СНГ банка и 1 азиатский) не пишут мне о найденном у меня включенном VPN и каких то "проблемах в работе приложении". Это просто не их дело.
Не пойму чего вас удивляет. Любой проект, который пытается собирать максимум данных о вас, будет собирать данные и о вашем VPN. А собирать данные о вас хочет любая уважающая себя приложуха, любая корпорация. Чем больше корпорация, тем ей данные полезнее. Если есть рекламная интеграция, то данные тоже будут собираться по максимуму, как минимум, чтобы лучше таргетировать рекламу.
Бороться, через анализ приложений и жалоба на них в сторы. Не думаю что многие мечтают вылететь. Пусть шпионские варианты размещают в рустор.
Как вариант в Samsung можно устанавливать приложения банков и прочего в папку Knox, по сути она изолирована и как минимум часть проверок так получится обойти.
Да, неплохой вариант тоже. Но как минус - теперь нужно карту везде с собой таскать, поскольку оплата через NFC не прокидывается из Knox, а по QR-кодам не везде можно платить.
P.S. В настройках Knox желательно выставить запрет приложениям на работу в фоне, чтобы не было лишних поползновений, имхо :)
Я глубоко, конечно, не копал. Но если установить и запустить впн в кноксе, в основном пространстве tun-интерфейс вполне себе видно. Есть вероятность, что и наоборот тоже работает. Жаль, что в кноксе termux не запускается
А если настроено раздельное туннелирование только для нужных приложений? Это никак не спасает?
Нет. Флаг TRANSPORT_VPN любое приложение может получить, независимо от настроек split tunneling. И даже перенос в "second space" или аналогичные решения не спасает. Только физически другой смартфон.
Ок, флаг оно может получить, пускай даже так. Но сможет ли приложение для которого split tunneling выключен (и его трафик идёт напрямую провайдеру) слить кому-то инфу о самом сервере? Есть ли у такого приложения доступ к подобной информации?
Теоретически - да. Есть такие штуки как DNS Leak/WebRTC браузера, косвенно при наличии багов/утечек там ip вытащить таки можно. То есть split tunneling не гарантия, хотя теоретически на 100% защищенном устройстве все должно быть ок.
В недавней статье писали, что приложение может напрямую посмотреть tun0 и поискать socks5 прокси на локалхосте.
Не от всего. Например, нкоторые приложухи ищут в системе квн пакеты.
Да и читал тут статью, что и раздельное туннелирование не всегда спасает.
Мысленно копнул глубже. А ведь вероятно (в теории) можно некоторые проверки обдурить, по аналогии с гугловским SafetyNet, тот же TRANSPORT_VPN хукнуть, а может и список интерфейсов. Вряд ли это принесёт нежелательные побочные эффекты. Но, и это, конечно, только через рут, да и не везде.
Гугл говорит, что есть модуль для XPosed: https://github.com/Xposed-Modules-Repo/me.hoshino.novpndetect
Это все ужасно, конечно. Но какие варианты выхода из ситуации были у этих сервисов? Их поставили перед выбором между плохим и очень плохим вариантом...
Для пользователя теперь единственное решение иметь 2 смартфона. Split-tunneling и перенос в second space не поможет.
Их поставили перед выбором между плохим и очень плохим вариантом…
Бедные компании с миллиардными оборотами и огромным влиянием… И в правду, что же они могли сделать…
А что вы предлагаете? Например, тому же Яндексу как следовало бы поступить? Саботировать требование Минцифры? Ну так это все закончится маски-шоу и национализацией компании...
Национализацией неминуемо все закончится так или иначе у любого бизнеса гиганта.
тому же Яндексу как следовало бы поступить?
Еще в 2012 году отказаться фильтровать и цензурировать по требованию государства топ 1 страницу в рунете с Яндекс.Новости на главной и рейтингом блогов, что бы люди читали не про надои в Усть-Пендюйске, а про коррупцию, воровство и криминал со стороны власти РФ.
Впрочем Волож легко отделался, вынес миллиардный капитал, открестился от русского Яндекса и зарабатывает миллиарды в Небиусе.
Но осадочек остался...
И в правду, что же они могли сделать…
Они могли даже поспособствовать этому, их интересам это не противоречит.
Заявить о нарушении Конституции и не выполнять.
Чисто теоретически, если в сторах пользователи массово начнут кидать жалобы на такие приложения, то какова вероятность, что их удалят?
А какой в этом смысл? Ну будут люди АПК качать.
На iOS нельзя apk/ipa скачать, только офф стор или европейский вроде, что уже хорошо, значит меньше шанса слить айпишники впн в ркн на блокировку, так как через веб меньше возможностей для анализа сети.
На iOS нельзя apk/ipa скачать
Если есть пакет то до 3 приложений можно загружать подписывая с помощью обычной учетки, без платного сертификата-разработчика. Такие приложения живут неделю, но их можно «переподписывать».
Есть даже способы автоматизации. Ну и есть несколько утекших ключей китайских компаний, но с ними сложнее, нужно побанить на уровне системы ряд доменов apple благодаря которым телефон может узнать что они отозваны. И главное не вестись на предложение выйти из своего аккаунта apple и зайти в чужой, это скам чтобы заблокировать телефон и вымогать деньги
Если есть пакет то до 3 приложений можно загружать подписывая с помощью обычной учетки, без платного сертификата-разработчика. Такие приложения живут неделю, но их можно «переподписывать».
Это да (я сам так делаю, написал свою подписывалку). Но там много ограничений, что большинство приложений не смогут выполнить:
ipa (бинарник) приложения для переподписывания должен быть не из app-store (незашифрованным), но тогда его можно легко реверсить как android apk, банки и крупные компании точно не будут выкладывать свое приложение в незашифрованном виде
Бесплатный акк ограничен в capabilities, то есть у такого акка нельзя получить подпись на работу пушей и синхронизации iCloud, возможно еще что-то
Если в оригинальной апе в коде к пакету приложения привязано что-то критичное, то переподписывая вы меняете пакет, и банально в рантайме аппа будет крашится/криво работать. Но это уже дело техники, если будет незашифрованный бинарник, это можно просто пропатчить.
15 марта 2021 года Apple и Минцифры договорились о том, что американская компания будет выполнять требования российского законодательства по предустановке российского программного обеспечения на iPhone и iPad.
Было бы нелогичным исключать их из сторов...
Ну будут люди АПК качать.
Быть может, для этих apk смогут написать патчи. Но глобально это не решение.
Иногда все проще, чем кажется. Мы определяем VPN для того, что вывести пользоватю напоминалку: "У тебя включен VPN. Связь может быть не стабильной". Мы устали объяснять людям, что это не наши сервисы тормознутые, а просто их трафик идёт через хрен знает какие страны.
Точно-точно? Именно для этого?
Мы определяем VPN для того, что вывести пользоватю напоминалку
Мы, это кто?
Додо, например, писали что могут быть проблемы с оплатой из-за ВПН. Но чекать ради плашки с разъяснением проблем - это же совсем не тоже самое что смотреть установленные приложения и отправлять всё на сервер.
И я в очередной раз сильно жалею, что ээээксперимента ради уйти на андроид.
гипотетически предполагаю, что надо отказаться от сверкающего на всю андроид систему [квна] в пользу носков5 (гипотетически в v2rayNG и Nekobox есть такая фича :) и настроить нужные app. А если еще и нужные app разместить в shelter (кстати, а не наоборот) то гипотетически предполагаю, что всяческие спайваре из основного профиля вообще не будут подозревать о таком факинг варианте при всем их неукротимом желании.
Ежели что афтырь написал этот чистый поток сознания в горячечном бреду после употребления егермейстера пытаясь просматривать видео в 4к на смартофоне с замедленного по самые помидоры ресурса. :-)
P.S. с интересом буду следить сколько еще антропоморфных дятлов отметятся в моей карме.
P.S. локалхосты у основного и рабочего профиля разные, поэтому авторизация не нужна.
Флаг квн не поднимается потому как нет сетевого интерфейса типа tun0 или еще какого.
Как минимум нужные приложения должны уметь использовать socks с авторизацией, что не гарантировано.
А с авторизацией, потому что иначе несложно просканить порты на локалхосте, найти порт, который отвечает как socks, и кинуть запрос без авторизации через него для проверки.
Приложения все равно увидят флаг ВПН, но не увидят адрес.
Вопрос: можно ли вырезать из этих приложений (из тех же карт, больше ничем из этого через приложение и не пользуюсь) все эти проверки, пересобрать и пользоваться (андроид)? По типу того, как это делает LP
Может им надо нужные адреса подсовывать?)
Такое приложение гаденыш.
А ведь кто-то же в этих компаниях имплементирует этот код... как там называлось? "Капо" ?
так ету имбулю можно на легке абузить, чтобы кидать им тупо рандомные адреса и тд, чтобы они ныли жоско очень, говорить "мол я юзаю впн, адрес адрессяндекса "
Вроде как есть изоляция и виртуализация, то есть island и netguard для целей изоляции некоторых файлов и приложений от системы
надо говорить честным: приложения в русторе токсичны. от использования яндекса и прочего амна отказался еще лет 5 назад ибо было ясно, что это шпионский софт. не забывайте - антивирусы маде ин рф тоже все сливают известно куда.
у меня вопрос к сообществу - почему этого xtclovver еще не деанонимизировали ?
Для того, чтобы не слить ипишник квн кому не надо, достаточно прописать несколько правил.
Для NekoBox
https://github.com/MatsuriDayo/NekoBoxForAndroid/issues/1153#issuecomment-4206264850
но и для других клиентов наверняка есть подобные настройки маршрутов.
От детекта квн это не спасет, но по крайней мере ip не сольет
Не детектируют VPN, согласно исследованию, восемь приложений: «Яндекс Маркет» ...
Как маркет-то в этом списке оказался?
Он давно детектит, не первый год наверное уже
ну пока они детектят именно чтением статуса поднятого vpn или наличием сетевого интерфейса типа tun0 в андроиде (спасибо за это гугловским разработчикам).
Следующим этапом будет продвинутая система - запрос к российскому сайту определения ip а затем к зарубежному сайту например https://ipinfo.io/json далее оба результата отправляет в базу ркн для блокировок по ip. Это будет привет нам любителям раздельной маршрутизации :( (а может быть и уже это работает)
Хреновость второго варианта в том, что это работает даже при заходе на сайт через браузер - малюсенькая иньекция java script на веб страничке и оба ip летят в ту-же базу.
Ну а самое дерьмо во всем этом в том что я к примеру пользуюсь vpn для достипа зарубежными ИИ типа грока, чатгпт которые блочат российские ip, а му...в из ркн это мягко говоря не волнует от слова полностью им главное телеграм победить.
Это будет привет нам любителям раздельной маршрутизации
Вот этого я не понимаю. На мобиле сплит-туннелинг, не по доменам, а по приложениям. Если условный маркет не идет через впн но знает, что он включен на устройстве, то как он определит адреса? Ведь для него трафик все равно идет в обход впн
то как он определит адреса? Ведь для него трафик все равно идет в обход впн
Если запущен не огороженный сокс-прокси - можно подключиться к нему.
Даже при
по приложениям
Видны все активные сетевые интерфейсы и в целом, можно проигнорировать VpnService и попробовать отправить запрос через интерфейс напрямую, в зависимости от настроек это вполне может получиться
еще интересно детектят ли эти приложения впн не физически на устройстве, а поднятый дома на роутере, как делает СКАМ через запросы к условному вотсапу.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эксперты RKS Global: из 30 популярных российских Android-приложений большинство детектируют VPN