Обновить

RuStore качает MAX без спроса и мониторит GPS каждые 5 минут и ему даже не стыдно

Уровень сложностиСредний
Время на прочтение22 мин
Охват и читатели130K
Всего голосов 612: ↑583 и ↓29+649
Комментарии590

Комментарии 590

ЗакрепленныеЗакреплённые комментарии

RuStore не устанавливает приложения без активного согласия пользователей. При установке и запуске RuStore пользователь может принять или отказаться от предложенных разрешений. Они нужны, например, для своевременного обновления, предзаказа игр, проверки антивирусом и других функций. Это стандартные инструменты всех магазинов приложений, необходимые для работы сервиса

привет рустор наймите меня к себе работаь пж

Бесполезный ответ на комм с разбором

по “без активного согласия”: PreorderAutoInstallController (tq1/c.java) берёт packageName напрямую из тела пуша (PreorderAutoInstallPushDto.packageName) и передает в установку Среди зависимостей нет ни одного обращения к PreorderApi или PreorderNewRepository из vq1 клиент физически не сверяет присланный пакет с реальными предзаказами пользователя что сервер назвал то и ставится , это слепое доверие серверу, бекдор

по “стандартным инструментам”: покажите мне стандартный магазин приложений, у которого в схеме БД snapshot_records три независимых геофикса, MAC роутера, список сотовых вышек и флаг VPN, привязанные к userId, с интервалом съёмки 120 секунд по heartbeat. Для скачивания приложений это не нужно технической необходимости нет

по "MAX": вы устанавливаете в фоне правительственный мессенджер без E2E-шифрования не предлагаете - устанавливаете. setRequireUserAction(USER_ACTION_NOT_REQUIRED) + привилегия предустановленного системного магазина = установка без единого тапа

по Kaspersky kavsdk: 19 потоков телеметрии включая P2P-узлы, inotify по медиапапкам, в магазине приложений

и финально: 73 удалённо управляемых тоггла через FlipperRepository, все вышеперечисленное - Radar, тихая установка, сбор приложений - включается и выключается с сервера без обновления приложения

Резюме скину на почту?

Ответ из самой статьи который вы не прочитали

Иногда мне кажется они даже статьи не читают, это очень потешно

  • PR: ...не устанавливает приложения без активного согласия пользователей.

    • Код: Флаг SAK_MAX_MESSENGER_INSTALL с сервера и метод setRequireUserAction(USER_ACTION_NOT_REQUIRED). Плюс отдельная очередь тихой установки по пушу без проверки предзаказа.

  • PR: ..не передает данные третьим лицам...

    • Код: Отправка телеметрии в AltCraft (даже для неавторизованных) и раздача VK-токенов по AIDL сторонним приложениям (одобренным сервером VK) без диалогового окна.

  • PR: Они нужны, например, для своевременного обновления... Это стандартные инструменты...

    • Код: P2P-сеть Касперского, inotify мониторинг папок с фотографиями (DCIM) и отправка на сервер списка ВСЕХ лаунчабл-приложений без их версий (что делает своевременное обновление технически невозможным по этим данным).

Кароче я все еще жду, t.me/owenewans почта zarazaex@tuta.io или nori@memeware.net

Поговаривают что гугл плей тоже крадёт все ваши данные и отправляет в массад, думаю надо б приложения сругла разобрать в скором времени

Или банковские.

Соревнование ужа с гадюкой "кто шпионит больше": ВТБ или Сбер?

Да, соревнования, кто гаже.

тогда пришлют киллера или черного доктора, что еще хуже

Впечатляет.

Если есть запись в очередь - очень хотел бы посмотреть, что крадёт META-помойки, типа инсты, вазы или фейсбука. К слову, также предустановленные на множестве устройств приложения.

Но, конечно же, после сервисов гугла! Этот должен быть достойным соперником русторопоганке.

Что крадёт гугл - скорее академический интерес. А вот наши банковские, вк, ок, сбер звук и т.п. - уже интерес практический

Да-да. А ещё есть единороги, а веселые пони какают радугой

Откуда вы такие берётесь, знающие всё. Правда жизни такова, что лет 10 назад, скажи кому-то, что привычных карточек не будет - не поверят и даже посмеются. А сейчас стало вполне обыденностью и тут в том числе обсуждать как оплатить что-то.

Мой комментарий был про "академический" интерес Гугла :))

Только там не было никакого "академического интереса гугла". Вы даже не поняли текст на который отвечаете.

Речь, очевидно, шла не о том, что у Гугла академический интерес. А о том, что для россиянина АНБ/Моссад/МИ6 представляют сильно меньшую угрозу, чем родной товарищ майор.

Соответственно к разбору "а что там про меня узнаёт ЦРУ" у россиянина интерес академический:

  • максимум, как до меня могут достать вышеперечисленные службы - это навести украинский дрон на соседний завод, отчего, конечно, есть риск пострадать и мне, но он таки заметно поменьше и его можно сильно снизить (не приближаться к таким целям и не снимать жильё на верхних этажах рядом с ними).

  • а вот от товарища майора убежать можно, разве что эмигрировав, а это на порядок сложнее,

Так карточки же есть. На бензин.

Ааа, только сейчас увидел дату регистрации... ну все вопросы отпали. За 10 лет ничего не поменялось) Методы работы в интернете остались прежними. Ладно Пикабу, но почему Хабр не борется с этим?

Можешь повторить всё тоже самое. И убедишься в правдивости поста.

Будет бороться - вылетит из белых списков. Вы как маленький, ей богу.

Хабр разве в белых списках?

В моем регионе хабр открывается на БС, но частично, нет, например картинок (CDN не попал ?) и очень часто не подгружатся стили (опять же скорее всего всегда не подгружаются, просто иногда остается кеш когда заходил с нормального)

Хабр находится за DDOS-защитой. IP-адреса крупнейших сервисов по защите от DDOS нахоядтся в белых списках (за ними есть белосписочные сервисы). Вот и всё объяснение.

В личных целях, так сказать, можно тоже как-то за эту дудос защиту приткнуться?

Напиши что хочешь стать активным сборщиком метрик, предоставлю тело у душу приложения.

Конечно. Но ценник там "кусается".

https://habr.com/ru/articles/1027276/ Здесь написано что да. Сам не проверял.

Это в данный момент, завтра интерес академический может легко перетечь в плоскость практическую.

Во-во, я тоже про практическую плоскость: что делать-то со всем этим конечному пользователю??? В голову приходит только перепрошивка аппарата сразу же после покупки.

В современных реалиях РФ (и не только РФ) "перепрошивка аппарата сразу же после покупки" это уже давно базовая мера цифровой безопасности. Вот что делать среднестатистическому пользователю без компетенций, мне в голову не приходит ... Видимо гражданам (и не гражданам), придётся смиряться или обращаться в сервисы.

А любой ли аппарат можно перепрошить?

Нет, конечно. Где-то возможность заливки и запуска своей прошивки просто заблокирована. Под какие-то аппараты нет драйверов, для каких-то не нашлось энтузиастов, способных собрать прошивку.

Можно зайти на тот же 4pda в тему, посвященную вашему устройству, и посмотреть там.

Выпилить / или хотя бы заблочить этот говностор и все его шпионские апп нельзя без рута? Если да - то нужно развивать и продвигать эту тему, писать статьи на всех ресурсах что бы любой простой чел купивший телефон смог это г выпилить по инструкции.

по идее просто через adb должна быть возможность выдрать, могу ошибаться

"перепрошивка аппарата сразу же после покупки" это уже давно базовая мера цифровой безопасности. Вот что делать среднестатистическому пользователю без компетенций, мне в голову не приходит

Ну как же - а обращение в СЦ? По идее, за пару последних лет такая услуга должна была появиться в прайс-листах всех более-менее вменяемых СЦ (даже если ранее её там не было). Кроме авторизованных, наверное - они вроде обязаны поддерживать базовую политику производителя. А тот по договору с импортёром вынужден вставлять в прошивку всю эту неудаляемую дрянь - ну и им должен предписывать это делать, КМК.

Ага, и что будет с такими СЦ, только объявление нежелательными иногентами и пособниками вражеского режима нато или сразу бутылка, швабра и семёрочка директору ;)

Да ничего с ними не будет (по крайней мере, не должно быть), поскольку вышеописанная услуга входит в их неотъемлемые служебные обязанности. А нюансы и варианты можно обговорить устно, не включая их в письменный вариант договора. Например, попросить прошить белорусский/казахский вариант глобальной прошивки, мотивируя тем, что "клиент собрался переезжать в Беларусь/Казахстан". Я вот собираюсь получить из маркетплейса новую мобилу, и по-видимому, сделаю именно так.

и по-видимому, сделаю именно так.

Ура! Не понадобилось! Только что получил с Озона новенький vivo X300, проделал первичные настройки (без захода в Сеть и гуглоаккаунта), открываю Раб.стол, а там... чего там только нет! И Маруся, и Макс, и любимый автором этой статьи Рустор, и т.д., и т.п. Но! Самое приятное, что это только легко сносимые ярлычки. Удалил их (штатными средствами!), и аппарат чист без перепрошивочных сложностей.

Перед этим возился с POCO X3 Pro - там удалять труднее, большее количество вложенных меню приходится перебирать. Ну, известное дело, на то оно и Сяоми.

Удалил их (штатными средствами!), и аппарат чист без перепрошивочных сложностей.

не будьте так уверены в этом.

без анализа прошивки, думать так опрометчиво.

p.s. ozon это рынок, на котором как частники так и серьезные фирмы могут быть, говорить купил на ozon может означать, купил в подворотне у бомжа.

Помню на gearbest мне продавцы подсовывали смартфон, который через месяц использования активировал агрессивную выдачу рекламных уведомлений, поверх приложений (полностью удалилось только перепрошивкой)

Заказал с Озона планшет с 13 Андроид. В настройках оказался 9 Андроид. При синхронизации с Ватцапом оказался 7 Андроид.

Как вариант: покупать устройства через Дубайский экспресс.

Блин, карма хабра всё-таки токсичная. Казалось бы, вот коммент, 90+ апвотов, Аффтар пеши исчо (конкретно этот залайканый коммент не то что новизну и/или пользу несёт, но, в целом, как будто, должна быть корреляция), а карму уронили и теперь комментировать могу только раз в час и голосовать не могу :(

И копать уж до конца - разобрать какую-нибудь популярную прошивку на базе AOSP типа LineAge (без GApps) на предмет того, точно ли она ничего никому не шлет. Типа - база, эталон приватности.

А потом наращивать уровень слежки - поставили gapps c https://gitlab.com/MindTheGapps - пошло течь то-то, поставили whatsapp - на такую-то дату течет то-то, госуслуги, рустор, мах... И свести в табличку - кто что тянет с вашего устройства.

Вот это будет серьезное исследование.

Это уже на докторантуру в ГНИИ ПТЗИ ФСТЭК России потянет работа, с автоматическим предложением начальника лаборатории.

Дык, просто "анализ манифестов" и я могу сделать, натравив LLM за токенов горстку малую с соответствующим промтом ("опиши, как имеющиеся разрешения могут быть использованы для слива данных, удаленного управления и других вредоносных действий"). Таким методом можно половину аудитории хабра за изнасилование привлечь, техническая возможность-то имеется, в манифесте заложено ;)

А вот более серьезно подойти к делу - это надо уже знания и инструментарий. И ценность будет куда выше, чем у этого нейрослопа.

Именно! А отвечая тебе и @KN_Dima - это обычное НИИ, только проблематика задач в области обеспечения устойчивости и безопасности обработки, хранения, передачи данных. С многими знаком. А то что на них жупелов вешают, это больше от непонимания целей и задач данной организации. Как например инфекционные отделения при медвузах. ГНИИ в данном цирке практически совсем не участвует, как и сам ФСТЭК. Они только могут при прямом запросе подсказать, что и как. При их крайне дефицитных штатах главную задачу обеспечить, обозначенную в назначении их института. Если и в штатах тоже их комитеты, отвечающие за CVE тоже глубоко дефицитное бюджетное учреждение, постоянно оптимизируемое. Недавно было по профильным новостям. А представьте что вообще никакой систематизации и методологии разрабатываться не будет, а иб и сисадмины будут на любые проблемы раскуривать ароматические палочки, брать большой бубён и камлать, в ожидании что проблема сама рассосется?

В шарашке?

Что собирает гугл лично мне начхать, а не начхать на то, что собирает товарищ майор. Помните: то, что законно сегодня, завтра может караться уголовно, а в россии закон имеет обратную силу (прецеденты есть, гугл работает - кому интересно)

Закон, устанавливающий или отягчающий ответственность, обратной силы не имеет.

Это прописано в главном законодательном акте - Конституции РФ. Статья 54.

Продублировано в 10 УК РФ, 1.7 КоАП РФ, и 4 ГК РФ (но там с оговоркой).

Полагаю, все эти "прецеденты" - грубое незнание закона пишущих о них. Человека осуждают не за то, что он запостил свастику 10 лет назад - а за то, что он не удалил это немедленно со страницы вк, когда признано пропагандой.

Длящееся преступление в текущей практике обнуляет ваш аргумент.

в гугле забанили? оговорки-то оно конечно, все на оговорках. Прочтите, как людей судили за посты или комментарии, что раньше были законны, а теперь нет. И без вот этого "эта жи другое вы ни пинимаити". За старое вас посадить могут в россии, даже если вы не нарушали закон

НЛО прилетело и опубликовало эту надпись здесь

А РКН нужно признать соучастником всех подобных преступлений, раз он ввел технические ограничения для доступа к этим ресурсам. Ведь из-за него теперь невозможно устранить подобные нарушения (скрыть или отредактировать сообщения.)

В делах фигурируют посты в незаблокированных сервисах.

Ага, а так же сообщения в Facebook, Telegram и пр.

Ну отредактируйте прямо вот это ваше сообщение. Как раз прошла 31 минута от его размещения.

Требования невыполнимых действий юридически ничтожны.

Так как почти все ресурсы удаляют сообщения, путём перенесения их в скрытый режим. То всё равно считается длящимся преступлением. Потому что майору с админкой будет видно, а раз ему видно значит публичное размещение. Уже был прецедент

Уже был прецедент

Будьте добры подтвердить свои слова ссылкой.. времена нынче такие, что никому нельзя верить

Сергея Веделя, который работал водителем одного из начальников в главке МВД, судят за распространение «фейков» с использованием служебного положения по мотивам ненависти (п. «а», «б» и «д» ч. 2 ст. 207.3 УК). Причиной стал разговор Веделя с друзьями по телефону о действиях российских военных на территории Украины.

Личный телефонный разговор военного был признан «публичным распространением информации», потому что его прослушивал человек из правоохранительных органов.

UPD Дали семь лет

Вынужден с вами не согласиться. Во первых, тема никак не относится к сабжу, потому что мы обсуждали посты в интернете, а не разговоры IRL. Это никак к теме удаленных сообщений не относится.

А вот вторых, герой вашего комента реально "альтернативно одарённый".. он что не знал где работает? Готов биться о заклад что слушать его стали не просто так, и этому предшествовали навязчивые разговоры IRL. У нас был один такой, он реально подсаживался к каждому по очереди и заводил разговор типа из далека, который переходит в типичные пропагандиские клише. По иронии у него была кружка со свастикой и алоизычем. Но это был МТС и всем было насрать, даже нашему руководителю чистокровной этнической еврейке, и потому он незадолго до расформирования штатного подразделения уехал из страны. Кстати это был 2016 и угадайте куда, лол. Люди со схожим мышлением делают примерно одинаковые действия, поэтому Серёжа Ведель не вызывает сочувствия от слова совсем.

А вот вторых, герой вашего комента реально "альтернативно одарённый".. он что не знал где работает? Готов биться о заклад что слушать его стали не просто так, и этому предшествовали навязчивые разговоры IRL

Да, совершенно верно, его стали слушать не просто так, а потому что копали под начальника его (это всё написано в интернете)

водитель свой разговор не записывал и в инет не выкладывал. Его записали спецслужбы и посадили на основании того что ОНИ записали разговор. У меня сложился такой вывод.

Прокуратура Уфы завела административное дело по статье о «пропаганде ЛГБТ» (часть 3 статьи 6.21 КоАП) на местную жительницу Карину Мансурову (имя и фамилия изменены по просьбе девушки) из-за любительского видео, опубликованного на личной странице во «ВКонтакте» в 2010 году https://verstka.media/na-zhitelniczu-ufy-sostavili-protokol-o-propagande-biseksualnosti-iz-za-video-14-letnej-davnosti

Требования невыполнимых действий юридически ничтожны.

Невыполнимость должна быть признана юридически, как банкротство например. Иначе возвращайте кредит с пенями 100500% годовых или сидите в тюрьме 1000 лет.

Кредит с пенями это гражданский кодекс, там вообще другие правила. Нет, например, презумпции невиновности. Пример мимо.

Вы все правильно написали про презумцию невиновности. Только какое отношение она имеет к выполнимости требований?

ты же в курсе что буквально 10 минут назад за использование слова "заблуждение" в речи и письме а так же публикациях в сети интернет грозит ответственность от 3 до 5 лет строго режима с конфискацией имущества?

Хорошо, что я книги и статьи в журналах не пишу. И ведь до сих пор могут продавать и перепродавать.

Вообще говоря, Вы, если бы были автором, могли бы потребовать прекращения продаж - скомпенсировав все связанные с этим убытки. С введённым в гражданский оборот уже ничего не сделать, да, но хочется надеяться, ещё не дошло до того, чтобы и за это судить...

в таком случае судить должны ресурс, не удаливший данный комментарий (за распространение), оказавшийся незаконным, который вчера был законен. Если на момент публикации комментарий был законным, а преследуют потом - значит закон имеет обратную силу (что является нарушением конституции, о чем вы сами раньше писали и это - нарушение конституции - в россии сплошь и рядом, и законно). Ка всегда: "эта жи другое вы ни панимаити!!". Тьфу, гадость, защитники беззакония блин

не один раз в момент написания (как газета)

Прошу прощения, а что случится с газетой после принятия закона? К примеру, лежит где-то на даче Пелевинка и увидел прохожий её корешок. То вот что теперь?

Я не докопаться, а понять эту логику, если вы в ней разбираетесь.

Для меня чьи-то посты десятилетней давности по сути как забытая газета, ждущая шашлыков

это типичное заблуждение, когда не понимают юриспруденцию, вы путаете момент создание контента и период его распространения, если бы этот пост был удален до принятия закона, то за него не судили бы

я конечно все понимаю, 15 рублей это 15 рублей, или сколько там сейчас платят. Но это логика просто за гранью добра и зла )))

А сообщения которые попали в web.archive.org считаются ?

С веб.архива как раз удалить или ввести региональные ограничения как 2 пальца …Ть. Тот же хабр уже давно с наших сторон не читается. Хотя там именно найти не КВН статьи, а старые с поделками, которые владельцы или другие в раже гоголизма сожгли. Или кто мертвых душ писал, а то уже почти полтинник, за 35 лет всё выветрилось.

Ну замечание то верное же. "Если бы этот пост был удален до принятия закона, то за него не судили бы". Полагаю, что так. Это должно утешать людей, у которых в биографии всего 2-3 комментария.

Однако, как быть тем людям, кто написали за жизнь больше 3-4 постов и больше 10-15 комментариев? Каждый день с утра читать новые законы, а затем проходиться по списку своих комментариев и сверять каждый? А если на одном только хабре комментов 20 страниц? А если 40? А еще ЖЖ, пикабу, городской форум, чат подъезда, чат форума провайдера, чат собаководов, чат дачников, чат любителей BSDM и ВЛКСМ.... Я даже не помню все сайты, где я когда-либо оставлял комменты.

А от многих сайтов - просто не помню пароль. Ну когда-то я его как-то помнил (или даже записывал, может в браузере был запомнен), сайт был мне интересен. А потом перестал быть интересен. Забыл пароль да и хрен с ним. А оказалось, нифига не хрен с ним, может оказаться так, что твоя дальнейшая судьба зависит от того, что ты в 2002 году написал в пьяном виде на форуме с 3 активными юзерами, а в 2026 году это стало преступлением и оно все еще длится...

Честно говоря, аргумент "закон - есть закон" в российских реалиях звучит слабо. Просто по причине того, кто, как и с какой скоростью эти законы предлагает, обсуждает и принимает.

Кроме того (признаюсь, не факт-чекал), вроде были прецеденты когда привлекали за пожертвования в адрес экстремистских организаций, осуществлённые до признания их экстремистскими. Это чуть другое, но тоже про обратную силу и конституцию.

Все так, это было с фбк, попасть мог любой. Тогда ещё лягушка была относительно сырой и никто не мог подумать что за это потом могут начать привлекать

А люди которых судили за донаты в фбк когда их ещё не признали террористами должны были отозвать деньги или как надо было сделать?

сама концепция длящегося преступления не может относится к посту или комменту. Поэтому сам факт применения этой концепции к постам сомнителен с правовой точки зрения.

А там прямо текст дела или дослоано обвинение выложено. Дайте ссылку? Вот действительно не хватает информации о таких делах, а то постоянно сначала пишут про выложенный мем десятилеине давности, а потом всплывает текущая пропаганда чегонибудь плохого в закрытых каналах

Само по себе понятие "длящегося преступления" - юридический костыль для обхода конституционного ограничения.

НЛО прилетело и опубликовало эту надпись здесь

Это если сайт свой. А сайт может быть чужой который тебя забанил и не даёт удалить.

Вообще, где граница между "я распространяю" и "сайт распространяет"? С теми же авторскими правами на торрент трекере, вроде, обратная связь была, мол пишите - удалим. Блокировали тоже трекер. За удалением каналов идут в телеграм, а не к пользователю (на ют чел жаловался на снос канала за шутку, вряд ли бы он отказался выполнить просьбу, если бы к нему пришли). И владельцы сайта тоже могут не заметить что-то. Это нормально когда там лежит запрещенка, силовики просят удалить, сайт удаляет.

Распространение бездействием уже абсурд. Дальше можно не углубляться.

Вот если был бы закон который обязывает "принять меры к прекращению доступа к публикации" тогда можно было бы судить за бездействие выраженное в отсутствии принятия мер. Но тут есть проблема в том, что налагать подобные обязательства на всех подряд тоже не совсем законно. Это удел должностных лиц с соответствующими должностными обязанностями.

Вообще, где граница между "я распространяю" и "сайт распространяет"?

В действующем законодательстве РФ - в организаторе распространения информации (ОРИ). Если сайт с владельцем не ОРИ - распространяет сайт, если ОРИ - то распространяет тот, кто на сайте это написал (и данные которого ОРИ должен иметь и к которым имеют право получить доступ органы власти).

Хабр, вот, в реестре ОРИ. Иначе бы его после пары требований на удаление информации заблокировали без права разблокировки (всё по тому же законодательству).

В таком случае можно сделать так. Собираем все адреса служб поддержки (офисов) VK, Хабра, и т.д. и отправляем им прямо сейчас письма через Почту России.

Вы можете отправить сообщение (письмо) через «Почту России» прямо на email получателя, воспользовавшись услугой Электронное заказное письмо Почта России | Электронные письма.

Оно доставляется следующим образом:

  1. Вы создаете и оплачиваете письмо на портале.

  2. Система «Почты России» мгновенно переводит его в цифровой формат или распечатывает в отделении и доставляет по нужному адресу.

  3. Если у получателя подключены Электронные извещения, он моментально получает ваше письмо или уведомление на свой e-mail.

с примерно следующим содержанием: "Я, такой-то такойтович, учетная запись такая-то, пароль на дату отправки письма такой-то, прошу удалить все размещенные мной на Вашем ресурсе материалы. При необходимости подтверждения моей личности готов предоставить дополнительные материалы по запросу."

И спокойно спим. Если же возникают вопросы - вы предъявите квитанцию об отправке данного письма. "А что я, это всё они, злыдни, не удалили вовремя!".

Нет. Это однозначно не работает. Есть уже достаточно случаев, когда осудили за старые посты, которые были в последствии удалены. Удаление не спасает.
Есть случаи, когда осудили за размещение запрщённой информации тех, кто обращался к распространителям с просьюой удалить, но получил отказ.
Естественно, что информация на не была запрещённой на момент размещения.

Есть случаи, когда осудили за размещение запрщённой информации тех, кто обращался к распространителям с просьюой удалить, но получил отказ.

Ссылку на номер дела дайте посмотреть - интересно обоснование.

Вы думаете я веду список всех дел, про которые пишут? Я не веду.

Так а как тогда проверить правдивость ваших слов? Сами знаете, верить сейчас нельзя никому - в сети куча манипуляторов, которые пытаются исказить реальность.

Плюс, доказать отсутствие факта - невозможно. Я вот тоже могу сказать, что в США было дело, когда программиста - не переименовавшего ветку из master в main - посадили на 5 лет, за публичное оскорбление чувств меньшинств. А в тюрьме его убили сокамерники. И опровергнуть это вы не сможете - я в каждом случае буду говорить, что не веду список дел, но оно точно было, может - не в этом штате. ;)

PS: лучший пруф - тот, который каждый может проверить - например, предложение запустить сниффер и посмотреть, куда стучится мах. И все желающие увидели, что тыкается к серверам остальных мессенджеров, проверяя доступность. Всё четко и ясно, факт в наличии. Выводы каждый дальше сам сделал.

а такое вот...

Есть случаи, когда осудили за размещение запрщённой информации тех, кто обращался к распространителям с просьюой удалить, но получил отказ.Естественно, что информация на не была запрещённой на момент размещения.

без пруфов я лично считаю вбросом и фу... :(

В первых двух ссылках нет указанного «обратился за удалением, но отказали». Третья - ссылка на вордовский файл, который мне на планшете посмотреть нечем.

Первые два -- к тезису "Есть уже достаточно случаев, когда осудили за старые посты, которые были в последствии удалены. Удаление не спасает."

Третья ссылка как раз к "обратился за удалением, но отказали". Претензии к формату -- адресуйте суду, который таким образом выкладывает приговоры. Если так будет проще, найдите по номеру: приговор Люблинского районного суда по делу №1-04-2022 от 02.08.2022.

Первые два опять же без решений судов, и что-то подсказывает, что там не просто репост методички Правого сектора и поддержка крымскотатарской идеологии.

Третья ссылка как раз к “обратился за удалением, но отказали”. Претензии к формату – адресуйте суду, который таким образом выкладывает приговоры. Если так будет проще, найдите по номеру: приговор Люблинского районного суда по делу №1-04-2022 от 02.08.2022.

Прикольная история, прочитал. Только вот к обсуждаемой ситуации "написал коммент, он стал нарушающим закон, обратился за удалением, отказали, а тут полиция и суд..", это отношения не имеет.

Там целый букет

Признать Воронцова данные изъяты виновным в совершении преступлений, предусмотренных п. «г» ч.2 ст.163 УК РФ,  п. «а, б» ч.3 ст.242 УК РФ ( в редакции Федерального закона от 29.02.2012г. № 14-ФЗ), п. «б» ч.3 ст. 242 УК РФ (в редакции Федерального закона от 29.02.2012г. № 14-ФЗ, по преступлению от 2018 года), п. «б» ч.3 ст. 242 УК РФ (в редакции Федерального закона от 29.02.2012г. № 14-ФЗ, по преступлению от 2020 года), ст.319 УК РФ и назначить наказание:

(в приведенном фрагменте приговора речь идет о трех статьях Уголовного кодекса РФ, которые включают вымогательство в крупном размере, незаконный оборот порнографии (три эпизода) и оскорбление представителя власти)

И ни одного старого коммента, за которые у нас тут сажают направо и налево. ;)))

Какая разница, по какой статье человека преследуют? Речь идет про квалификацию длящегося преступления. Вопрос стоял в том, будет ли событие преступления, если комментарий удален или если у пользователя нет доступа к аккаунту. Я прислал вам ссылки, подтверждающие, что да, будет. По какому составу человека преследовали -- неважно, доказывание идет одинаково.

В третьем кейсе человека судили в том числе в связи с распространением порнографии с удаленного аккаунта. Т.е. аккаунт, с которого были загружены его видео и фото, был удален, но ролик все равно индексировался, при этом технически удалить его было невозможно. Суд это не смутило.

Бегать искать вам конкретные приговоры больше не буду, имеющий уши да услышит.

Вопрос стоял в том, будет ли событие преступления, если комментарий удален или если у пользователя нет доступа к аккаунту. 

Вопрос немного не в том: будет ли суд принимать во внимание, что человек сам предпринял все возможные формальные действия по прекращению нарушения закона, или не будет?

Удаление аккаунта при фактически сохраняющемся доступе к материалам - не прекращение нарушения.

С 1 января 2026 года организаторы распространения информации (ОРИ) обязаны хранить данные пользователей в течение трёх лет (постановление Правительства РФ от 30 октября 2025 г. №1698)

А вот официальное обращение к распространителю информации с требованием прекратить доступ к материалам, распространение которых возможно нарушает закон - это совсем другое действие.

И этого ни в одном из трех кейсов нет.

В третьем кейсе человека судили в том числе в связи с распространением порнографии с удаленного аккаунта. Т.е. аккаунт, с которого были загружены его видео и фото, был удален, но ролик все равно индексировался, при этом технически удалить его было невозможно.

Тут даже срок привлечения к ответственности не прошел, кстати, поскольку это не административка уже, а уголовка. И срок в этом случае от 2 до 6 лет и без учета того, что это длящееся правонарушение.

будет ли суд принимать во внимание, что человек сам предпринял все возможные формальные действия по прекращению нарушения закона, или не будет?

Это никак не влияет на событие правонарушения -- только на вину. Но маловероятно, что российский суд удовлетворится этими действиями и откажет в отсутствие умысла.

А вот официальное обращение к распространителю информации с требованием прекратить доступ к материалам, распространение которых возможно нарушает закон - это совсем другое действие.

Это не имеет вообще никакого отношения к рассматриваемому вопросу. Какая связь между административной обязанностью ОРИ перед государством и нарушением уголовного закона гражданином? Это два непересекающихся отношения.

Тут даже срок привлечения к ответственности не прошел, кстати, поскольку это не административка уже, а уголовка. И срок в этом случае от 2 до 6 лет и без учета того, что это длящееся правонарушение.

Снова не имеет отношения к наличию / отсутствию состава преступления и процедуре доказывания.

Это никак не влияет на событие правонарушения -- только на вину. Но маловероятно, что российский суд удовлетворится этими действиями и откажет в отсутствие умысла.

Всё в кучу воообще: событие, вина и умысел.

Не все уголовно наказуемые правонарушения содержат в составе умысел (халатность, неосторожность). Но все без исключения обязаны иметь доказанную вину (убийство или причинение вреда здоровью в ситуации необходимой обороны; изъятие частной собственности в целях предотвращения катастрофы и/или спасения жизни (-ей) — не содержат признака вины, а потому не наказуемы).

Если человек предпринял все возможные действия по прекращению нарушения закона, это по общему правилу не повлияет на событие преступления. Повлияет только на субъективную сторону (т.е. умысел или неосторожность): если человек разместил пост, а потом, когда пост стал наказуемым, постарался его удалить, об умысле говорить нельзя -- только о неосторожности. Кмк, все понятно.

Не все уголовно наказуемые правонарушения содержат в составе умысел (халатность, неосторожность). 

В кучу как раз вы смешали. Путаете умысел и неосторожность, это разные формы вины. Халатность не знаю к чему вообще приплели, такой формы вины нет (в российском уголовном праве, по крайней мере).

убийство или причинение вреда здоровью в ситуации необходимой обороны; изъятие частной собственности в целях предотвращения катастрофы и/или спасения жизни (-ей) — не содержат признака вины, а потому не наказуемы).

Неверно. Они ненаказуемы в силу прямого исключения УК, которым исключается преступность такого деяния. Как может быть или не быть вина, если отсутствует преступление как таковое? Вина в чем?

Путаете умысел и неосторожность, это разные формы вины. Халатность не знаю к чему вообще приплели, такой формы вины нет

он не путает. он пишет, что "Не все уголовно наказуемые правонарушения содержат в составе умысел (например, такие правонарушения, как халатность, неосторожность - умысла не содержат)"

Неосторожность -- не преступление, а форма вины. Теоретически месседж автора можно интерпретировать как:

"Не все уголовно наказуемые правонарушения содержат в составе умысел: халатность умысла не содержит, только неосторожность".

Впрочем, мне кажется, мы уже додумываем за автора.

Они ненаказуемы в силу прямого исключения УК, которым исключается преступность такого деяния

Это начинается какая-то глубокая софистика. Статьи главы 8 особо оговаривают, что они не распространяются на случаи умышленного выхода за рамки необходимого в описываемых ситуациях. Умысел — форма вины. Таким образом, можно главу 8 схлопнуть в частные случаи, которые не образуют виновности действий/бездействий.

"Не все уголовно наказуемые правонарушения содержат в составе умысел: халатность умысла не содержит, только неосторожность".

Нет, в скобках ничего необычного. Там перечисление.

Не софистика, а просто уголовное право. Если нет преступности деяния, нет и состава преступления, а вина -- элемент состава. Все логично.

Статьи главы 8 особо оговаривают, что они не распространяются на случаи умышленного выхода за рамки необходимого в описываемых ситуациях

Все верно, потому что умышленный выход за рамки необходимого -- это преступление. Убийство при превышении пределов необходимой обороны, например -- умышленное причинение смерти.

Глава 8 описывает рамки, в которых деяния не являются преступными. За этими рамками -- являются и должны включать элементы субъективной стороны.

В третьем кейсе человека судили в том числе в связи с распространением порнографии с удаленного аккаунта. Т.е. аккаунт, с которого были загружены его видео и фото, был удален, но ролик все равно индексировался, при этом технически удалить его было невозможно. Суд это не смутило.

а где вы там нашли, что его судят за распространение после удаления аккаунта?

в обвинении указаны даты загрузки как даты распространения:

осуществил распространение, публичную демонстрацию порнографических материалов, которые содержат порнографическое изображение совершеннолетнего пользователя социальной сети «ВКонтакте» - Данныые изъяты - в чате “Советники Омбудсмен” указанной социальной сети

02 ч. 25 мин. 05.09.2018

14 ч. 12 мин. 05.09.2018

15 ч. 30 мин. 05.09.2018

22 ч. 47 мин. 05.09.2018

00 ч. 33 мин. 06.09.2018

01 ч. 04 мин. 06.09.2018

01 ч. 09 мин. 06.09.2018

08 ч. 44 мин. 15.02.2020

08 ч. 44 мин. 15.02.2020

– это даты когда он разместил порно

а насчет удаления аккаунта ничего там не увидел, зато там есть, что к нему как к админу группы обратились с просьбой удалить порно с участием потерпевшего (тот не знал, что этот админ и разместил порно) и он отказался, значит на тот момент акк у него все-таки был

это просто к слову, его судят не за отказ удалить, а за факт первичной загрузки

А есть прецеденты такого рода? Было бы интересно почитать мотивировку...

С прецедентами вообще туго, я озадачился как-то и поискал по базе судебной практики, там по пальцам двух рук можно пересчитать вообще все дела в России по таким правонарушениям, причем по большей части из них суд повертел пальцем у виска и дал условную тысячу рублей штрафа. Ибо формально нарушение было, кто-то Конституцию нехорошими словами назвал, кто-то фото со свастикой в паблик выложил...

Но если накидают конкретных ссылок, с решениями судов - буду благодарен.

Один дальний знакомый что-то в районе трёх лет отсидел. Но он ничего не размещал, за него всё что надо разместили.

За что его? Это не наркотики, мне кажется, случайному человеку не подкидывают, как-то обратил на себя внимание.

В зажопинский сельсовет решил избраться. Но это было достаточно давно, сей-час так сильно обращать на себя внимание уже не надо.

В зажопинский сельсовет решил избраться.

Это он так сказал. А что там по факту, есть в уголовном деле. Которое мы, конечно же, по удивительному стечению обстоятельств не увидим.

В том конкретном случае есть подтверждение из максимально надёжного источника. Впрочем, вы мне можете не верить.

Единственным надёжным источником является уголовное дело, в котором отражены все преступные действия сабжа. Рассказов про "посадки за колосок" и про "посадки за коммент" мы наслушались достаточно.

Нет, гораздо более надёжный источник.

Это если сайт свой.

по закону страница в соцсети - это как твой личный сайт, ее даже надо регистрировать как СМИ, если много подписчиков

Так написал один раз, а дальше распространяет какой-нибудь вконтакт, вот их посадить всех поголовно и на лесоповал, транссиб расширять вручную.
Так-то я сказать мог что-нибудь, а кто-то записал и привет, доказывай, что это было когда-то и сейчас я это уже не говорю и забрал свои слова назад.

Эти списки "экстремистских" материалов каждую пятницу пополняют, вы ещё скажите, что нормально следить за движениями левой пятки "госдумы".

Интернет – это интернет, нечего сюда лезть, не госдума его сделала.

Мы говорим чаще всего о платформах, т.е. ресурс принадлежит сторонней компании, которая ничего никому не должна и может ограничивать действия пользователя как хочет (в том числе и показывать/распространять материалы пользователя вопреки его желанию) или предпринимать действия за него. А значит по-хорошему нужны еще доказательства: что код сайта именно в момент совершения нарушения позволял конкретному пользователю это остановить. Т.е. в частности нужна выдача всего кода для экспертного анализа обоих сторон судебного дела и какая-то фиксация, что именно эта версия кода работала. И вместе с кодом также придется анализировать всю инфраструктуру платформы: записи всех СУБД и кешей - вобщем, ровно всех мест. Без всего этого суд исходит из презумпции виновности и безосновательного доверия стороне обвинения.

если вы откроете свое радио и будете там читать Майн Кампф – то распространение экстремистских материалов будет идти все то время, пока вы транслируете в эфир книгу

Ну то есть достаточно один раз прочитать по радио Майн Кампф, и распространение экстремистских материалов будет продолжаться тысячу с лишним лет, пока радиосигнал идет до Омикрон Персея 8.

это все хиханьки и хаханьки пока сам с законом не сталкиваешься)

законы и суды это бездушная машина, они работают тупо по написанному в кодексах и по судебной практике,
законы пишут гуманитарии и там нет четких определений, суды ориентируются на судебную практику и разъяснения Верховного Суда

и это не только в России, это везде так (кто сейчас в ЕС бодается с судами из-за блокировок счетов знают это), законы пишут не айтишники и там полно сумбура и нелогичностей

поэтому важно понимать, за что может прилететь, а за что нет и как по закону будет считаться распространение,

и вам написали как закон это трактует, а вы смеетесь над этим,
если вы в суде будете рассказывать про сигнал в космосе и про Омикрон Персей 8, то они это не оценят)

в уголовных законах стран обычно прописаны пределы юрисдикции их закона, обычно они в виде границы страны,

так что за распространение в галактике пока не должны сажать)
хотя есть еще США, которые любят натягивать сову на глобус и применять экстратерриториальную юрисдикцию...

по крайней мере по текущей судебной практике на Земле вряд ли посадят за сигнал в космосе

если вы откроете свое радио и будете там читать Майн Кампф – то распространение экстремистских материалов будет идти все то время, пока вы транслируете в эфир книгу, а не только в момент открытия радио

а теперь тебе говорят, все кто читал эту книгу когда либо - преступники и должны сидеть, а если их уже нет, то сидеть должны их дети/внуки

чувствуешь разницу ?

а по конституции нет ограничения на получение информации, включая майн кампф. Там для майнкамфа на сегодняшний день исключения не предусмотрены.

по конституции нет ограничения на получение информации

это не так, если вы почитаете Конституцию, то на самом деле там есть ограничение

там написано, что распространять, передавать и получать информацию можно только законным способом

а то по-вашему и авторского права нету, и можно любые книги, софт и фильмы выкладывать и распространять без ограничений, что разумеется не так)

я вас информирую, что срок в 70 лет после смерти автора, не то что бы полностью распространяется на советские книги.
Там до 1073 года были разные сроки. И вроде что то еще было в 1993 году, так что не все так однозначно. Кроме того, есть книги на которые авторы не накладывали ограничения на копирования.
Есть еще сообращения общественного блага.

я вас информирую, что срок в 70 лет после смерти автора, не то что бы полностью распространяется на советские книги.

так информацию можно распространять "без ограничений", или надо ждать 70 лет?

Есть еще сообращения общественного блага.

и под общественное благо подпадает любое распространение информации, "без ограничений"?

суть была о том, что вы написали чего в Конституции на самом деле нету, ее мало кто читал, но многие любят цитировать

НЛО прилетело и опубликовало эту надпись здесь

Человека осуждают не за то, что он запостил свастику 10 лет назад - а за то, что он не удалил это немедленно со страницы вк, когда признано пропагандой.

Даже если вынести за скобки реалистичность исполнения этих требований какая разница?

Есть коммент 20 летней давности и через 20 лет вам за него прилетает. Факт? Факт. А какая псевдоюридическая казуистика это всё сопровождает значения не имеет.

вот будет иронично, через через некоторое время начнется "охота на ведьм", но уже обернутая против 15рублевых, и их за распространение пропаганды (которую объявят экстремистской) будут судить. Повестка меняется, самые громко лающие шавки остаются, не у дел.

Так все эти "экстремистские" и "фейковые" статьи авторы же реально как будто для себя писали.

Впрочем это старая методика из очень старой методички.

вторы же реально как будто для себя писали

типа хочешь поймать экстремиста - думай как экстремист?)

Нет, это из ветхозаветных методичек еще. "Всегда обвиняй в своих косяках оппонента первым". Беспроигрышный вариант. Оппонент справедливо обвинивший тебя в ответ будет выглядеть для стороннего наблюдателя как "сам дурак". В худшем случае подумает, что "истина где-то посередине".

Перспектива беспристрастного суда, видимо, не рассматривается.

Очень наивно) такая наивность по карману только детям в наше время. Ну или прлностью малозначительным людям которые максимум будут сводкой в статистике

А я вот на хабрп в старых комментах нахожу шутки юмора, которые не всем покажутся только смешными. Но народ их удалять не бежит.. Ах да, на Хабре старые комменты блочатся, и быстро.

Вот и чухай потом в суде, когда навесят длящееся преступление (что вообще являет собой удивительную юридическую норму).

 что он не удалил это немедленно со страницы вк, когда признано пропагандой.

мне теперь каждый день мониторить все актуальные законы, для того, чтоб случайно не забыть что-нибудь где-нибудь удалить в интернете?

Не мониторьте. Но если что вдруг, то придётся давать объяснения уполномоченным лицам

Помните: то, что законно сегодня

можно продать мошенникам которые используют это против вас или ваших пожилых родственников.

Да кому ты нужен то! Чего с тебя майор поимеет? Сдавай себе шерсть, пока мясо сдавать не позвали и радуйся жизни. У тебя есть свое место в пищевой цепи и фиг ты куда оттуда денешься что с майором что без, что с персональным шпионом в кармане что без. Ну следят. И чо?!

У них есть KPI, палки по нашему. Ловить реальных преступников сложно, а найти коммент и человека совсем просто, чтобы погоны получать. В этом опасность для простых граждан

Наоборот у них есть палки, KPI по нашему

твоей наивности можно только позавидовать. когда тебя оштрафуют за поиск какой-то экстремисткой песни или за комментарий 10-летней давности, по-другому запоешь.

вот когда у нас слово "шерсть" станет уголовно наказуемым (вообще не удивлюсь, вон - квн уже запретили😂) - тогда на скамье будешь о том, что "следят и чо? я же шерсть сдавал..."

Мне кажется, 99% тех, кто вовлечен в дела по таким статьям - это как раз те, кто был уверен, что "да кому я нужен?". Потому что те всем известные политические рок-звезды которые кому-то сильно нужны - давно уже в Израиле, Германии, Аргентине или Прибалтике. (Кто-то очень смелый или безрассудный мог остаться или даже вернуться, но таких мало. Люди ведь как правило рациональны).

Ну сами подумайте - вы ожидаете, что завтра за вами придут. Вы будете сидеть дома и ждать? Можете еще пропылесосите квартиру, в которую вернетесь только через много лет?

Так что привлекают как раз тех, кто считает, что "да кому я нужен!". Мы даже их имен не знаем. Они редко попадают в новости (разве что как единичка в статистике) а если где-то промелькивает имя - мы пожимаем плечами "не знаем такого". Это обычные люди, которые покупали тот же кефир в таком же Магните, что и вы ходите.

Мне кажется этот коммент может дискредитировать ФСБ в будущем. Я бы на вашем место сто раз подумал прежде чем что то писать в интернете.

Мне кажется сам хабр давно дескридитировал всё возможное что нельзя дискредитировать и просто обязан скоро быть заблочен за свободу мыслей, критику суверенного интернета и ит, за противостояния чебурнетизации и т.д.;) А раз власти ресурс заблочили, значит он на территории рф ничего не нарушает, доступа нет и всё? Хабр же блочит вроде бы выдачу статей про обходы для показа на русских ип и продолжает их постить, или уже не блочит... новости были вроде

Да, как бэ, вопрос ещё и в том, что гагл хотя бы умеет шифровать данные. А не как эта помойка, что все твои дарные (какая интересная опечатка вышла 😂😂) доступны не только преступникам у руля, но и всем другим их видам. Вторые могут у тебя более беззаконно и безнаказанно отобрать деньги и имущество, как минимум.

Как гражданину России мне абсолютно фиолетово куда сливает данные ГП, на тамошних диктаторов мне в принципе наплевать. Ни в пиндостане, ни в ЕС среднестатистическому пролетарию не побывать и с их карателями не пересечься никак. А вот местные диктаторы, которые по хотению левой пятки охраны могут подогнать пепелац и увезти в эцих с гвоздями - вот это напрягает ещё как.

Ну то есть вас не напрягают аресты граждан на отдыхе, по запросу американских и прочих (третьих стран) органов?

Когда археолога арестовали на конференции, когда программистов в тае задержали а потом в штаты выдали.

З.Ы. я понимаю вашу оговорку про "среднестатистического пролетария", но как показывает практика, пролетарий никому нахрен не нужен. Нужен как раз непролетарий и далеко не среднестатистический.

Ну то есть вас не напрягают аресты граждан на отдыхе, по запросу американских и прочих (третьих стран) органов? Когда археолога арестовали на конференции, когда программистов в тае задержали а потом в штаты выдали.

Это все плохо, но порядки цифр разные. Счет одних только политзаключенных идет на тысячи (и мы явно не всех знаем). Третьи страны по политическим причинам (т.е. вне явных преступлений) тысячами наших граждан не арестовывают.

программистов в тае задержали

Это который из Fancy Bear?

Нигде , кроме Китая не был и не собираюсь! Если "патриотичные" личности катаются по вражеским странам в поисках ништяков и их там прихватывают, то кто им виноват? Пусть отвечают за свои хотелки.

"Когда археолога арестовали на конференции" - вы сами ответили на свой вопрос. Конкретно этот случай явно не связан со сливом данных с его телефона и личных сервисов гугла или прочих таких компаний.

Как гражданину России мне абсолютно фиолетово куда сливает данные ГП, на тамошних диктаторов мне в принципе наплевать

Это которые заявляют, что делятся с партнерами разведданными? Представьте, что они потом попадают и тем, кто звонит вам или вашим пожилым родственникам.

Это в основном лазейка для стран, где спецслужбам запрещено следить за своими гражданами(пиндостан, ЕС, британия), которая позволяет указывать по кругу и говорить "это всё они".

Представьте, что они потом попадают и тем, кто звонит вам или вашим пожилым родственникам.

И это отличный повод не давать свои данные товарищу майору, потому что иммено из их баз обычно мошенники и получают всю необходимую информацию

А гугл плей тоже макс втихую устанавливает?

Гугл тоже умеет втихоря ставить приложения. Вы можете с одного своего устройства установить приложение на другое. Либо восстановить установленные приложения на новое купленное устройство. В остальном - капец полный.

Технически гугл и рустор используют одни и те же механизмы. Отличие описанных вами примеров в том, что гугл ставит без доп. запросов после явной команды от пользователя, а рустор может это делать по команде от сервера.

Зы. Гугл, в общем-то, тоже может ставить приложения по команде с сервера. Не так давно была история с Android System SafetyCore.

Отличие описанных вами примеров в том, что гугл ставит без доп. запросов после явной команды от пользователя, а рустор может это делать по команде от сервера.

А как гугл на другом устройстве узнает, что это “явная команда пользователя”? Или вы имеете ввиду, что на целевом устройстве нужно что-то подтверждать? Тогда это как-то не вяжется с описанием механизма, что можно удаленно установить что-то на устройства своего аккаунта.

Понятия не имею как именно оно там под капотом (на стороне сервера и с точки зрения целевого устройства) устроено. Я же написал в конце что гугл и без явной команды от пользователя может что-нибудь, чего не было и о чем пользователь не просил, скачать и установить (и успешно это делает).

Но до PS вы пишите “это другое”. По-моему, когда я отвечал, PS в вашем комментарии не было. Так что выходит, претензия к рустору необоснована, если у вас нет таких же претензий к гуглу.

Когда пользователь на устройстве А нажимает “установить на устройство Б”, то он сам выступает инициатором, и с точки зрения пользователя не имеет большого значения знает ли устройство Б что это именно пользователь запросил установку с А, или для Б такой запрос идентичен тому, когда инициатором выступает гугл без ведома пользователя.

Когда сервер сам отдаёт команду установить что-то, то, с точки зрения пользователя, у пользователя появляется это самое что-то, о чём он не просил.

Именно об этом отличии шла речь.

PS появился через пару минут после публикации комментария. Если вы открыли комментарии в момент между моей публикаций и редактированием, может быть и увидели без PS. А претензии у меня и к гуглу, и к рустору.

Нажатие кнопки "установить" в Google Play на компьютере запускает установку на телефоне.

А что сказать-то хотели? А в RuStore оно как-то по другому работает (не в курсе, есть ли там такая функция)?

Что значит “запускает”? Компьютер подключается к телефону в обход серверов гугла и ставит туда нужное ПО?

Очень странный вопрос. "Запускает" означает запускает. Когда в следующий раз телефон полезет за обновлениями, он поставит указанный софт.

Отнюдь не странный. Кнопку жмут на одном устройстве, а устанавливается на другом. Так что именно запускается, когда нажали кнопку?

Тут утверждают, что установка начинается сразу, а не когда телефон полезет. Может он вообще никогда за ними не лазит. А даже если и полезет, откуда у него уверенность, что кнопку нажал именно пользователь, а не поставил скрипт гугла?

Потому, что Гугла кое-как, но следит за своей репутацией и пока скрипты Гугла никаких кнопок не нажимали, в отличие от RuStore и завравшихся авторов Max.
Совершенно непонятно с чем именно в спорите.

А у RuStore что, нажимали? Тут кажется уже выяснили, что наличие кода еще не значит, что у него есть права на выполнение. Еще не определились даже, чей код, самописный или из фреймворка какого тянутый.

Совершенно непонятно с чем именно в спорите.

Просто меня раздражает, когда начинают навешивать ярлыки, не разобравшись в вопросе. Потом все это разгребать в поисках правды утомительно.

Чудесный, избитый и почему-то до сих пор считающийся рабочим риторический приём под названием whataboutism!

В данном случае это - сарказм, т.к. коммент, на который вы ответили, написал автор статьи...

Что за массад? Это вид массажа такой?

Было бы логично, наши просто догоняющие.

Все разбирай и пиши больше, главное не работать на тех, кто все это устраивает и для кого люди превратились в своего рода Приложения к их приложениям

Даже если и отправляет, какое мне дело что Гугл отправляет данные Степана (меня) из усть-пиндринска? Ну отправляют моё мпстоположение, установленные впны и отправляют, чё бухтеть. Тогда как, если таким занимается ру стор, эти данные могут использоваться против меня. Например, блокироваться апишники используемых впнов, по месту жительства отправляться повестка)))))))

Гугл отправляет данные Степана (меня) из усть-пиндринска? Ну отправляют моё мпстоположение

Первое что нужно сделать создав аккаунт гугля, зайти в настройки и повыключать все системы слежки, историю поиска и прочее, это все документированно и открыто.

Как официально снести всякие говносторы и скамы с нового телефона из рф не имея рута, не меняя прошивки, нам расскажет кто? А может функции слежки просто отключить можно как в гугле.. но нет нельзя, шпионские приложения скрывают что они делают.

По поводу "Users/d.pismennyy/Desktop/rustore-push-sdk-secrets/app/src/main/cpp/prod/secretsprod.cpp # приет некий Денис",
почему решили, что Денис ?
Есть прекрасный айтишник Даниил Письменный, легко гуглится его личный сайт

просто первое что на ум пришло....

Как по мне, так и чёрт бы с ним, пусть бы моссад собирал, что ему надо - он далеко и едва ли я стану для него интересной целью. Плюс их ресурсы ограничены и их путь до меня экономически дорог. В отличие от ребят поближе.

"Моссад" может передать данные другим товарищам, а потом на вас выйдет аноним и предложит перекинуть ему несколько тысяч денег, иначе он отправит вашей супруге переписку, координаты и фото вашей любовницы. Причем переписка и фото - с ее телефона, где она заботливо все сохранила.

Вы скажете, так у меня нет любовницы - не проблема. ИИ подскажет злыдням, как создать историю с учетом ваших реальных действий (задержались на работе, поехали в командировку...) и напишет хорошее подметное письмо - "Ваш муж не задерживался 10 апреля на работе допоздна, а пошел туда-то к такой-то, где провел 2 часа. Вот фото. И на выходных 1 мая он не просто выходил поработать, а сначала зашел к ней, потом отзвонился вам, что работает (посмотрите у себя входящий звонок, был ведь). И вот еще фото. И видео с ее домашней камеры. Доброжелатель."

И либо доказывать, что ты не верблюд - а вымышленные данные будут прекрасно стыковаться с реальностью, гугль знает про все ваши перемещения, звонки, общение. Или выполнить требования вымогателя, казалось бы - несущественные.

А если перекинете, выйдет другой аноним - который скажет, что вас завтра сдадут в ФСБ, поскольку вы перекинули деньги на поддержку контрас в Никарагуа, и тем самым изменили Родине ;) Но вы можете спалить шкафчик на железной дороге, тогда не сдадут.

На практике данные за мелкий прайс сливает вовсе не "моссад", а ровно наоборот.

разберите! и вообще огромное спасибо! Мы пытаемся сохранить КОммерческие Тайны

Короче, у меня такая теория была, типо Макс - нарочито плохо навязанный вирусный мессенджер, чтобы отвести глаза людей от ВК, в который могли в одном из обновлений запихать вредоносный код, разбери ВКонтакте, мне кажется там можно чего-нибудь интересного найти.

Как раз у них там что-то неудалямое есть в предустановленном.

Знакомая история. Как то у близких проверял телефон. Говорили виснет безбожно,думаю в чем же причина. Удалил им rustore, надо же сразу летает)

Итог: "доверенный" отечественный магазин тормозит телефон эффективнее, чем большинство приложений, от которых он теоретически защищает. Лекарство тяжелее болезни – классика жанра. Кто-нибудь замерял расход батареи до и после удаления?

На 4pda у кого как даже в теме одного устройства было.

Мастер Мурамаса делал самурайские мечи как разящее оружие. Мастер Масамунэ - как оружие, которым защищают свою жизнь. Чтобы сравнить их клинки вонзили в дно ручья. По течению плыли опавшие листья. Все листья, что прикасались к мечу Мурамаса, оказывались рассеченными на две части. Листья обплывали меч Масамунэ, не касаясь его.

Петр Данилович Нортон делал антивирусы, грозные, как разящее отмщение Ангела. Евгений Валентинович Касперский делал антивирусы, твердые, как железобетонный Забор. Чтобы сравнить, их антивирусы поставили на Мiсrоsоft Windоws ХР Рrоfеssiоnаl в локальной сети, по которой постоянно распространялись вирусы. Все вирусы что попадались антивирусу Нортона оказались уничтоженными. А машину с антивирусом Касперского вирусы попростоу обходили стороной, ведь при 100% загрузке СРU сетевой адаптер не успевает общаться с сетью.

заканчивай тост, дорогой !

Интересная история, жаль что пиздежом попахивает

Я не могу сказать за "виснет безбожно", но выжирает аккумулятор за троих, раньше пользовался, но потом надоело ставить и сносить (как раз из-за очередных 33% аккумулятора по статистике), отказался. Хз что они там накреативили в коде, но если сажает аккумулятор, значит может и лагать есть чему.

Запретить ему все, что можно запретить, и ограничить использование батареи. Тогда все будет нормально. Просит, правда, каждый раз выключить энергосбережение или что-то в этом роде, ну и ладно.

так с гуглосервисами тоже самое

Справка: без нашего ведома и согласия в фоне скачивается и устанавливается MAX

а потом от нашего имени отправляет нарушающие закон сообщения, и за нами приезжает чёрный воронок с беспилотным управлением.

// хабратег: будущее здесь

  1. А как он получает геоданные, если стоит запрет на доступ к ним на уровне ОС?

  2. Про автообновление не могу подтвердить поведение, рустор на одном устройстве видит кучу обновлений для приложений, но ничего не устанавливает. В настройках у него есть для этого флаг.

Есть штука такая priv-app называется

Далеко не везде рустор стоит как привелигированное приложение. И для priv-app нельзя запретить доступ через обычные настройки.

Ну вот именно, там где он не прив ап - без разрешения он ничего собирать не будет

То есть беречь надо раритетные смартфоны. А не менять по свистку.

За пределами необъятной и в новых смартфонах этого рака нет.

Там свой. Xiaomi не даст соврать: рустор покажется вам лишь слабым отголоском того, на что способны реально отбитые политизированные помойки!

В Google Pixel ничего подозрительного не нашёл. А если я про Xiaomi что-нибудь напишу, меня опять за мат забанят. Я всё понял ещё лет 6 назад.

Перешивал сыну Xiaomi 11 Lite 5G NE на ту же LineAge. Впечатления были самые приятные - все бегает, время работы заметно выросло.

И естественно, от сяомитского безобразия и следов не осталось.

продвинутый функционал камеры (iso/выдержка/..) на сторонних прошивках не присутствует, его еще сложнее возвращать

Есть порты родного приложения на OS прошивки. Не говоря уже о том, что весь этот функционал доступен в любом приложении с поддержкой Camera2API, который появился ещё в Android8 или 7, не помню уже, давно было.

неа, для xiaomi с полноценным camera2api нужен рут и модули magisk, та еще лотерея.

А мне секса и так хватает, я не хочу заплатить деньги, чтобы потом отказываться от части того, за что я заплатил. На LineAge еще потом гуглосервисы надо как-то вкорячить.

У вас хотя бы вариант с сексом есть. Большинству этот выбор виден, как сначала заплатил, а потом, чтобы отказаться от части того, за что заплатил сначала, еще раз заплатил.

Гуглосервисы - меньше проблема. А вот пройти потом PlayIntegrity - бОльшая.

Например

В Huawei из магазина в России нет сервисов Гугла, нет рустора, на Макс только значок на установку. Хотя вот Касперский стоит.

Интересно, далеко ли Huawei от xiaomi о котором пишут рядом. Может, не такой уж это и плюс 🤔

Для меня это стало основной причиной не покупать больше Huawei, хотя сами устройства их нравятся и раньше их предпочитал. Я покупаю андроид устройство прежде всего ради сервисов гугла. Да, я знаю, что можно поставить, но, нет, я не хочу заплатить, а потом подпрыгивать.

Надо просто ориентироваться для "серого" устройства на те модели, которые позволяют установку сторонних прошивок, без ненужного вам софта внутри.

https://wiki.lineageos.org/devices/

А как насчет GraphenOS на Pixel? Нормальный вариант?

Вполне нормально, и остальные прошивки на базе AOSP - тоже хорошо. Линейка просто самая популярная и сравнительно беспроблемная. Вот прямо сейчас пользуюсь на планшете.

Когда поставил - уже писал, что положил чистый планшет на недельку и уехал в отпуск, за это время ни байта левого трафика, и батарея от силы на треть ушла.

Спасибо.

Да, старый смартфон с ушатанной батарейкой месяц на столе лежит в сети залогиненный. Я такого даже во времёна кнопочных телефонов не помню (что не удивительно на самом деле - батарейка больше, чипы экономичнее, а задачи примерно теже)

А зачем мучиться на раритетном хламе, если можно взять современную модель которая перешивается ну хотя бы на ту же линейку?

Там в списке устройств встречаются довольно новые устройства вроде Xperia 1 VI, а у Гугла там вообще полная поддержка всей линейки

мы еще по вашей прошлой статье так и не увидели примера, где приложениe реально в priv-app, и опять же этого мало, чтобы права иметь нужно privapp-permissions.xml , где пример хоть с одного устройства, что там? какие привилегии если в priv-app?

В теории приложение конечно может и сумеет... если у нее есть полные права через privapp-permissions.xml , а на практике?
лежать в priv-app это еще не значит что может лезть куда попало или вы думаете что производители смартов пустили рустор в priv-app с максимальными правами. описанными в privapp-permissions.xml?
ну разве что китайцы какие по договоренности.
А так... прям вот Самсунг, к примеру, взял, и вшил в прошивку рустор там и макс и дал по доброте душевной максимальные права через privapp-permissions.xml?
Вы сами то в это верите?

причем тут сасунг во первых, во вторых если приложение прямо пишется так чтобы работать в priv-app то оно там скорее всего работать и хотело.... тут прямо просятся расширения доступные только для priv-app, аналогии я не придумал

ну т.е. у вас опять "в теории оно может это", а на практике примеров устройств и примеров реальных прав, что указаны в privapp-permissions.xml  у вас конечно же нет. Поэтому статья ни о чём!
положить в priv-app недостаточно же!
я вас прошлый раз посылал повысить свою грамотность и изучить как это работает, и что такое privapp-permissions.xml и сейчас даю тот же совет, преждем чем такие статьи писать и такие коментарии выдавать.
а то пока это все только как кармадрочерство выглядит.
Без реальный примеров - это всё фуфло.
Ну да приложение в теории могло бы это все делать если бы у него были бы такие права.
Только кто такие права даст?
лежать в  priv-app - ещё ни о чем ни говорит, что приложение что-то может.

Вы спорите с ИИ-набросами ради хайпа. Статья вообще ничего общего с реальностью не имеет, школьник закинул jadx в ИИ и скопипастил ответ, написав промт в духе разоблачения

Только кто такие права даст?

вендор?

ну я вчера для интереса посмотрел права приложений на самсунг в privapp-permissions.xml, даже у системных приложений гугла и вендоровских от Самсунга нет таких прав, чтобы могли делать такие вещи, о которых статья.(ну частично есть, частично нет). А тут какой-то вендор даст такие права рустору?

Ну я на себе проверять не буду. Снести надёжнее. тем более это только одна из причин.

смотри в чем прикол, если вирус захочет скачать тебе приложение указав флаг скачать и не спалится НО у него не хватит прав, перестанет ли приложение быть вирусом?

У меня телефону уже несколько лет, установлен был вручную. Но прям бесит, что рустор пытается обновить приложения, которые устанавливались не через него. Отключал скачивание - все равно зараза лезет не в свои

Почему бы его не удалить? Те приложения, которые есть только там, можно ставить обходными путями, которые вытаскивают прямые ссылки на apk

Зависит от способа которым был установлен. Возможно который в вендорской прошивке просто не удалить.

adb user-uninstall никто не отменял

они после каждого апдейта не будут возвращаться?

Чукча не читатель?

установлен был вручную

всегда можно нажат "..." и "игнорировать", оно потом что так выбрано - больше не предлагает. Но! я не сторонник Рустор, но в защиту скажу, что это и в обратную работает - установленное через рустор, если есть такое же в Galaxy Store или в google play - те тоже предлагают обновить.

.... Очень нравятся твои посты, но самое главное не рассказываешь, что грозит обычным людям, какие последствия и что делать? У меня был скачан rustore, теперь мои данные 24/7 сливаются, или после удаления приложения у них в базе остался мои данные и мой след, тоесть при установке например max или вк или rustore они поймут кто это? Можно ли обезопасить себя. 😮‍💨

Как минимум, тихое обновление приложений из rustore, позволяет подменить любое из них на версию с их трояном, т.е. побоку все защитные механизмы android и linux, и даже тех крох приватности что были, больше нет.

Как пользоваться этой властью, остается на совести тех кто приказал внедрить эти механизмы (а у этих людей есть совесть?)... кража вашей криптовалюты. отдать чувствительную информацию вашему конкуренту (а в стране вообще осталась конкурентная экономика?). секретные переписки бизнеса или личное. Если вы мелкий и незаметный, ваша приватная переписка никому не нужна, но ее ценность растет экспоненциально от уровня вашего богатства и власти, ее можно и будут использовать против вас, в самый неприятный для вас момент. Ваши приватные студенческие фото, кому они могут навредить,.. через 10 лет, когда вы уже директор крупной компании,... и вот эти фото становятся совсем не безопасными. Ваши контакты будут бережно сохранены в общем графе, кто когда зачем почему о чем... все может быть сохранено и проанализировано. Нет никакой нужды удалять эту информацию, законодательная база к этому уже давно подготовлено, мы как население за это уже платим давно.

Никаких сдержек и противовесов, никаких страхов что кого то накажут за использование этой власти,.. это ружье висит на стене, и оно будет стрелять.

Тихая установка поможет обойти проверку подписи? Или речь про выкладывание самим разработчиком "спецверсии"?

А подменить подписи через центральный сертификат разве невозможно? Я не в курсе, но, как мне кажется, современная криптография, основанная на доверии к сертификационным центрам, уязвима к атаке через подброс корневого сертификата. А p2p криптография, без сертификационных центров, не позволит гуглу отзывать сертификаты и контроллировать рынок приложений, а значит он никогда такое не введёт в своей экосистеме.

я совсем забыл нюанс, для подмены приложения, потребуется удалить старое (только так игнорируется цифровая подпись), вместе с данными, т.е. подмена возможна но для пользователя это будет выглядеть как установка с нуля.

Старый способ через резервное копирование уже не работает но так как все продаваемые смартфоны проходят через требование установки торяна от госсударства, возможно это на этом уровне фиксится (что может быть безопаснее - интегрировать 'нормальный' механизм резервных копий)

Ну по идее это можно обойти имея права. Сохраняем /data/data/package_name, переустанавливаем, восстанавливаем дерикторию. (Возможно не выйдет с приложениями которые хранят аккаунты в разделе настроек ОС, но тут будет зависеть от того как настроил разработчик).

ваша приватная переписка никому не нужна

Слышал, что в Китае есть рейтинг поведения в интернетах. Смотришь местного Навального, оставляешь комментарии против линии партии - отрубают интернет. В запущенных случаях могут постучать в дверь. Как в анекдоте

Два года по политической статье получил сантехник ЖЭКа за фразу: - "Да тут всё прогнило, всю систему нужно менять"

Насколько это правда про Китай, не знаю. Но, чем больше данных и мощностей всяких тспу, тем это реальнее. А дальше уже даже не закон Мерфи, а банальная экстраполяция тренда.

ваша приватная переписка никому не нужна

Именно поэтому всех с таким упорством перегоняют из неподконтрольных мессенджеров с возможностями шифрования в прозрачный МАХ.

Зачем заморачиваться с подменой, скоро просто выкатят обязательную обнову системы, которая выключит проверку подписей для "доверенных" пакетов

И каким образом ее выкатят на Oukitel WP19 (который на 12-м андроиде застыл?)?

А допустим на Pixel'ы...на которых GrapheneOS?

Или на Palm PVG100(который застрял на 8-м андроиде)?

Для вас уже приняли закон о государственном реестре IMEI, и я не удивлюсь если окажется, что внезапно не все телефоны можно в нем будет зарегистрировать.

Что-то случилось с возможностью заменить imei?

Минцифры в рамках законопроекта о внесении изменений в закон «О связи» предложило запретить пользователям менять идентификационные номера мобильных устройств (IMEI).

[1]

В зависимости от того, с какой именно целью вы изменяете IMEI, это деяние может быть квалифицировано как неправомерный доступ к компьютерной информации, вмешательство в деятельность оператора связи (по аналогии с т.н. "радиопиратством") - более формально звучит как нарушение правил эксплуатации средств хранения, обработки или передачи информации, и далее по размаху фантазии "компетентных лиц". Учитывая, что "компетентные лица" зачастую откровенно плавают в технических нюансах, размах потенциально может быть вплоть до неправомерного воздействия на критическую информационную инфраструктуру.

сверили с наклейкой на корпусе - и достаточно, дальше идут не пользовательские компетенции (что с одной, что с другой стороны)

с наклейкой на корпусе

С какой наклейкой? У меня нет никаких наклеек. У нас закон обязывает иметь какую-то наклейку на корпусе? Никто ничего сверять не будет и не собирается, закон вообще не для этого.

Минцифры претендует на выпуск карманных детекторов IMEI для участковых инспекторов или что?

Не подсказывайте!©

Ваш паспорт и *#06#, вот и весь детектор.

как неправомерный доступ к компьютерной информации

Вообще это забавно, ведь это изменение на своем устройстве, которое является твоей собственностью. Может мне еще нельзя личный дневник вести или модифицировать путем удаления из него страниц? Потому что в системы оператора доступ таким образом не получить, а оператор не способен отличить корректный измененный IMEI от не измененного. Устройства все равно взаимодействуют одинаково.

В тоже время оператор однозначно идентифицирует абонента по IMSI сим-карты (то что обладатель сим-карты и «абонент» не обязательно один человек - выходит за рамки вопроса).

И да, несмотря на все вышенаписанное такой вариант «трактовки» я тоже допускаю :(

это изменение на своем устройстве

Как я и написал, закон исходит не из того, где, кем и как произведено изменение, а с какой целью это сделано. Квалифицируется не сам факт изменения, а то, что последует далее. Если вы меняете IMEI и кладёте устройство в ящик стола, не включая - к вам никаких вопросов нет.

Автомобиль тоже является вашей собственностью, но изменить на нём VIN - нельзя. Вы, конечно, можете это сделать, но когда автомобиль выедет из гаража на дорогу общего пользования, также появятся вопросы.

Аналогичные запреты действуют, например, в Великобритании и Азербайджане. Я не оправдываю и не поддерживаю эту политику, я описываю свершившийся факт, независимо от моего или вашего к нему отношения.

Далеко не на всех телефонах IMEI сменить, насколько помню.

приватные студенческие фото, кому они могут навредить,.. через 10 лет, когда вы уже директор

Если это станет массовым, то очень скоро всем станет пофиг и подобная информация просто обесценится.

Ничего не грозит. Если обычный человек не понимает такую статью, ему уже поздно пить боржоми.

Для того, чтобы обезопасить себя не будучи специалистом, надо соблюдать правила информационной гигиены, не регистрироваться, удалять, не пользоваться и не устанавливать. Но это не удобно.

Вообще не понимаю, зачем нужны все эти сторы, плеи и прочее: реклама меня бесит, карточки нникуда не привязаны, а значит современные мобильные приложения для меня не подходят. А те, что всё-таки стоят - стоят с лучшего в мире стора для андройда - 4pda.

F-droid? Obtainium? Не?

Я предпочитаю сам контроллировать обновления.

Да и использовать взломанный софт в современном мире всего этого раболепия перед лицензиями и соглашениями мне тупо приятно. Тошнит от того, что люди дают правообладателю право диктовать условия лицензирования, условия сделки. Хочется политически бунтовать, и пиратство становится таким вот вариантом выплеска усталости от подписок, рекламы и "жри что дают или вали прочь". Просто психологический комфорт.

Каждому своё. Я бунтую путём написания и использования FOSS.

А это не бунт, это - работа :)

И иногда хочется дать выход именно деструктивным эмоциям.

"жри что дают или вали прочь"

Судя по рассказам из геймдева и тому, что я сам видел, утрированный путь: слушать комьюнити - разочароваться в комьюнити - готовить жричодали - организовать аналитику агрегированной обратной связи.

А что там в мире разработчиков онлайн-казино?

SEO оптимизаторов?

Разработчиков скриптов подбора цен на авиабилеты?

Производителей оружия/наркотиков, в конце концов?

Зачем вообще мериться на говноедов, геймдев давно превратился, в массе своей, в хтоническую хтонь про мобилки/приставочки и донаты, ролбоксы, подписки.

предпочитаю сам контроллировать обновления

Obtainium как раз для вас. В будущем, надеюсь, может будет и чпда туда прикрутить.

использовать взломанный софт

А в ломаном софте не могут появиться внезапные бэкдоры?

Вот уж форумные сборки, как по мне, с точки зрения ИБ ниже официальных сторовых стоят. У меня нет никакого контроля над тем, что автор этой сборки в неё включил.

Там почти всегда выкладываются и нетронутые apk тоже

Ха ха ха!

А контроль над тем, что включил официал у вас, конечно, есть!

Форумные обитатели не замотивированны финансово в том, чтобы сдать ваши данные, поэтому с точки зрения ИБ они, как минимум, не ниже. Сейчас, в современном мире, ИБ это в первую очередь защита пользователей от правительства, во вторую - от корпораций, и только где-то там, с третьего пункта, можно добавить мошенников.

Форумные обитатели не замотивированны финансово в том, чтобы сдать ваши данные

Это очень сильное утверждение. Разве можно лично знать каждого автора сборки и его мотивацию? Где (на кого) он работает? С какой целью он тратит личное (?) время? Кажется, нет.

Выход всегда найдется. Самому освоить ADB с помощью AdbAppControl, или воспользоваться услугами специалистов для удаления нежелательного софта. В дальнейшем приложения можно скачивать в виде apk и устанавливать вручную, тем более что реально необходимых апликух не так уж много. Лично я предпочитаю широко известный сайт с модами, почищенными от рекламы и трекеров. На браузеры накатить рекламодавы (например uBlock Origin), вручную ограничить энергопотребление и фоновую работу большинству приложений. Показателем здоровья устройства является энергопотребление в режиме покоя, т.к. скрыть это на данный момент практически невозможно даже самым хитрым следилкам. Если за ночь съедается более двух...трех процентов батареи - желательно найти и устранить излишнюю активность.

или воспользоваться услугами специалистов для удаления нежелательного софта.

Серьёзно, это в век ллм которые пишут код и админят сервера, платить пупкину за элементарщину?
Изложить задачу чатГПТ или хоть ДикПику или Квен - решение будет быстрее чем искать кого то за деньги ;)

пожалуйста, запустите на моем android 10 устройстве (2020г) adb, после ремонта usb в нем не работает передача данных по кабелю, а adb подключение по wifi нужно хотя бы один раз включить, подключив кабель.

В массово выпускаемых устройствах usb работает исправно, и они хорошо чистятся посредством adb.

Особенно из ro-раздела хорошо чистится.

до первого обновления.

ну отремонтируйте еще раз, потом приходите в тред. Вы еще притащили бы вообще кирпич, который не запускается и сообщили бы всем, что РУСТОР НИЧЕГО НЕ УСТАНАВЛИВАЕТ, ПОТОМУ ЧТО ТЕЛЕФОН НЕ ВКЛЮЧЕН))))

>а adb подключение по wifi нужно хотя бы один раз включить, подключив кабель


Странно, сколько раз не использовал Wi-Fi отладку, всегда с первого раза по Wi-Fi работало и никаких подключений по проводу к ББ не нужно было

что грозит обычным людям, какие последствия и что делать?

Он исследователь технической части, а не юрист или кремлевед. На основе этого доклада каждый думает сам, ставить эту помойку или нет.

да ничего вам не грозит, гео посмотрят, приложения по скачивают, последят, телефоны ваши по захватывают, проблема ли это для тебя ? наверное нет, если да то просто удали все ру приложения связанные с ВК

Построение поведенческой модели и своего рода управление, через триггеры: персонализированная реклама, пуши, сообщения и много чего еще

а чем это грозит обычным людям? обычные люди лайкают котиков и шлют открытки на праздники. они не интересны спецслужбам

Вы что, тут за каждым закреплен минимум майор. :)

- Накрылся телефон, вместе со всеми фотографиями. Написал в ФСБ, попросил скинуть из их копии.

- Прислали?

- В два раза больше фоток, чем у меня было... :-/

Судя по описанию собираются также "карты связей", условно, Васян Х находится на позиции гео-такойто в среднем каждую ночь, рядом вышки такие то , роутер такой-то, и так далее.

Аналогичная картина у Лены Г, то есть можно предположить что они проживают в одной локации с точностью до роутера.

Ну а как это потом использовать - компетентные товарищи разберутся.

КОмпетентные товарищи будут предлагать кредиты, страховки и ещё уйму несомненно случайных рекламных предложений по телефону и во всплывающей рекламе на сайтах.

А Другие компетентные товарищи будут предлагать невероятно точно персонифицированное участие в тайных операциях с распродажей имущества и передаче средств на хранение компетентным товарищам. Или что ещё поинтереснее.

А Третьи компетентные товарищи будут просить друзей из списка контактов срочто одолжить пятеру. И тоже с точной персонификацией

ВСё для компетентных товарищей

Нет, есть ещё четвёртые. Которые накинут вам цену за страховки (как авто, так и медицинский), проценты по кредитам, билеты на самолёты и всё подобное. Чем больше такие люди о вас знают, тем точнее их предсказания о том, сколько конкретно денег можно из вас вытащить. И они будут покомпетентнее любителей одолжить пятёру - там ставки выше. А ещё они вроде-бы как и заняты деятельностью легально, и для вас свою работу позиционируют как "подбор индивидуальных скидок", не уточняя, что эти скидки всегда отрицательные.

Фиксирование фактического проживания в реестре.

Не Васян, а Василий Х. Уважаемый человек. И люди компетентные, но не те. Даже нагрузку сложную делать не надо - все уже создано, сохранено и готово к отправке.

Камеры в Тегеране тоже были для компетентных.

Если оступиться и отключить по просьбе Яндекс.Карт ограничение на фоновый поиск сетей в меню параметры разработчика, чтобы "улучшить навигацию" - они даже не стесняются показывать вам ваших предполагаемых коллег, знакомых и тех, кем вы посидели рядом какое-то время, чтобы на них подписаться. Стоит ли говорить, что все эти взаимосвязи заботливо записываются куда надо для "вашей безопасности".

Увы, остаётся только взять жилетку и тихо плакать в неё.

А ещё больше хочется плакать от того, что пролиферирующие анальные зонды - повсюду. Банковские приложения самых разных банков; магазины приложений Гугла, Хуавея и Самсунга тоже собирают больше, чем нужно пользователю. И т.д..

Как бы использование GrapheneOS и F-Droid не стало квалифицироваться как "склонен к побегу" (из цифрового концлагеря) с де-факто поражением в правах.

С другой стороны, какой смысл о чём-то говорить после того как почти все мы добровольно и с песнями стали носить с собой персональных шпионов в виде смартфонов...

Как бы использование GrapheneOS и F-Droid не стало квалифицироваться как "склонен к побегу" (из цифрового концлагеря) с де-факто поражением в правах.

Устроиться на работу в США, если у тебя нет FB, linkedin, WA, практически не реально. Для HR'ов это red flag. Так что, всё уже тут, увы.

Никто не мешает вести двойную цифровую жизнь, когда у тебя и FB, и WA и все остальное есть, но там только котики и открытки с Покровом Пресвятой Богородицы фото с митапов, ссылки на умные статьи по работе и мотивирующие ролики. Ну иногда, раз в два года - фото с короткого отпуска (и то с рабочим ноутбуком на фоне) :)

А шатание режимов и антикорпоратские высказывания - на другом устройстве, "сером". Причем устройства максимально друг от друга изолированы...

Если б всё так просто было. Никогда не знаешь, когда мотивирующий ролик окажется шатающим режим.

Ну уж не преувеличивайте, в теории прямо сейчас к вам могут вломиться сатрапы Темного Властелина, напихать в карманы патронов, кокаина и подсолнечных семечек и увезти в темные подвалы Замка Отчаяния. И без всяких комментов и роликов. :)

А в реальности никому вы нафиг не сдались, как и я. Обидно, да...
Вы же даже на выборы не ходите ;)))

Не устанавливайте, не носите и другим рассказывайте, с кем нормально общаетесь, даже если кажется что это бесполезно

Где-то с полгода назад мне предложка Ютуба принесла с коротким интервалом сразу несколько роликов с названиями типа "Graphene OS - illegal?!?!"

Там, разумеется, учёный изнасиловал журналиста блогера, но дым не без огня: в какой-то стране (Испании? не помню...) действительно полиции дали инструкции отслеживать ОС, и если это Графен - проверять задержанного особо тщательно.

Ох. Будущее ближе, чем кажется. Я, когда писал, примерно такое и прогнозировал на будущее, а оказывается - уже... Ужас. Я допускал, что смотрю излишне пессимистично - а оказывается, излишне оптимистично...

почти все мы добровольно и с песнями стали носить с собой персональных шпионов в виде смартфонов...

Мы вообще-то стали носить с собой телефон, плейер, фотоаппарат и навигатор в виде смартфона. Функцию персонального шпионажа добавили уже позже, когда люди привыкли к хорошему.

RuStore это не приложение, это магазин приложений. Он по определению должен иметь больше разрешений. И, сравнивать его поведение надо с аналогичным функционалом самого Гугла. Так что, скажите, что из всего перечисленного выше не делают Гугловские сервисы?

Я вообще не понял, как он качает без спроса, если я каждый раз захожу в рустор сам и там висит обновление для мах?

Если я правильно понял, там отдельно настраиваются автоматическое скачивание обновлений и автоматическая установка. Скачивать можно и без подтверждения а установить нужно подтверждение. Это экономит время пользователя, когда он нажимает кнопку "обновить".

Ой, ладно... все... я понял... сезон "заказного антипиара" всего российского у нас никогда не заканчивался... минусуйте дальше.... )))

Я не всё прям прочитал (знаний не хватило), но может это как раз разное поведение для скачанного и предустановленного на устройство?

Но заголовок буквально "качает макс без спроса".

У меня рустор установлен, а макс - нет. И ничего без спроса не качается почему-то

Потому что на некоторых смартфонах есть дополнительные настройки защиты, которые ограничивают права некоторых приложений. Это упоминается здесь в комментариях, к слову.

Ничего он не ставит сам и не качает. Автор в очередной раз кормит всех нейрослопом, а местные с радостью за обе щеки хавают, ведь тут столько слов - триггерров, от которых у них каждый раз перевозбуждение случается. Хабр 2026 итоги.

А по теме - стандартные пермишены для любого стора, а вокруг них уже нанейрослопили альтернативную реальность

На недавно купленном Xiaomi 15 google play без спроса сам ставил игры и приложения, даже после того, как я отказался их ставить сам.

На 12x тоже само что-то появлялось. Не смотрел откуда поставилось. Рустора точно не было. На realme у мамы тоже, но у неё и рустор есть.

У ксиоми своя помойка, он не из гугла ставит.

Да, Xiaomi'шная помойка getApps тоже ставила, но и GooglePlay не отставал.

У меня HONOR и недавно приехало обновление системы. Перезагрузил смартфон и он высветил неудаляемое сообщение "типа надо поставить эти приложения", а там макс, яндекс и ещё что-то, уже не помню. Он мне надоело - постоянно появляется в сообщениях, нажал согласие - он начал все это качать на смартфон. Пришлось обрубить всю связь и срочно разбираться.

Хорошо, что я постоянно инспектирую приложения и увидел, что в там появилась какое-то странное приложение inapp или как-то так называлась, я его удалил и диалог загрузки исчез.

Там ещё что-то было, вроде как я еще ещё в системных что-то удалял, но, к сожалению, времени разбираться не было, надо было уже выезжать....

Хехе. Я, когда выбирал телефон недавно видел отзывы, что honor (magic 8 pro) прям топчик, лучшая оболочка, удобнее Айфона.

Просто надо покупать Honor не для рынка ЕАС, там такого нет. А так это просто реализация установки ру-аппсов

Эти гандоны уже готовят вам ответку - https://riamo.ru/articles/aktsenty/objazatelnaja-registratsija-imei-zachem-nuzhna-i-kak-budet-rabotat/
Вангую что следующим этапом станет обязательство нести на регистрацию ваш купленный телефон туда, где вам принудительно поставят тот софт, который Russische Gestapo сочтет нужным.

Getapps да, точно ставит. От гугловского не замечал. Если рустор хотя бы можно удалить - гетаппс вообще неудаляемое дно. Как решение, даже не знаю, или просто не покупать китайские телефоны, или перепрошивать...

С европейской симкой он кстати сильно по другому себя ведёт.

Это сяомишная предложка, у них там почти в каждом приложении есть галочка "получать рекомендации" в том или ином виде - иногда и в виде установленных приложений. Первым делом после покупки сяоми надо по ним пройтись и поотключать галочки или позабирать права/согласия.

В общем гугл плэй тут вообще никаким боком.

У меня Xiaomi 15 куплен в марте 2025 года, и до этого прочие MIшки с 17 года - самостоятельных установок никаких не было. Так вся семья на Xiaomi - все тихо.

Даже странно. Самый заплюсованный и самый заминусованный комменты предлагают одно и то же - расковырять гугл стор и сравнить с ним.

Да, не... Это вполне объяснимо... боты "минусяторы", скорее всего, учитывают профиль комментатора и историю минусов при принятии решения.

Но, может быть, у них в промпте просто стоит инструкция не минусить комментарии про Моссад.... кто знает)

поговаривают гугл делает не то что меньше а даже больше

Стоит глянуть на T-банк, кажется там тоже будут сюрпризы

Есть ещё ТГ-бот, даёт прямые ссылки на apk.

Очень плохая идея, так как обновлять потом задолбаешься. И неизвестно, что доложили внутрь авторы бота, так как андроид не показывает детали для устанавливаемого apk.

как то можно проверить даже открытый код на сотни строк? кто-то это делает

Вот бы туда добавить другие сторы - от Гугла, Хуавея, Сяоми, Самсунга, да и Аврору и даже F-Droid - было бы просто сказочно!

https://github.com/ImranR98/Obtainium тоже умеет с рустора качать приложения помимо остального.

Давно пора ВСЕ эти "гос. приложения" выпилить со всех нормальных площадок...

Кому надо - найдет способ и установит.

;0)

поясните, как rustor приложение по тихому обновляет приложения, если на любой чих установки требуется системное подтверждение установки apk?
поясните, как rustor монитори dsim каталог, если ему не выдавались права на доступ к хранилищу, вот открываю свойства приложения, написано - разрешения не предоставлены, а в списке всего там местоположение, список вызовов, телефон и файлы и медиаконтент.

по любому поводу рустор предлагает обновить большую часть установленных приложений, естественно ему не разрешаю,.. это вопрос, в какой момент это разрешение по ошибке не будет представлено (там один неловкий тап по экрану).

Если изначально рустор его и ставил - нового запроса в некоторых случаях не будет, если он системный (на некоторых телефонах так) - запроса не будет.

Потому что Гугл устроил "цирк безопасности“. Достаточно разработчику поставить один флаг где надо и никакие запросы уже не нужны.

можно подробности, что это за волшебная кнопочка, что приложение, устанавливаемое из apk получает системные привилегии, да без root?

Тут галочку надо ставить не RuStore, а обновляемому приложению.

Разраб приложения может в манифест добавить каким магазинам разрешено обновлять его приложение, но опять же, установить его (не обновить) rustore не может.

В Русторе кстати есть настройка, добавляющая установленные на устройстве приложения в список исключений для обновления. В результате добавил туда все, кроме ПО, которого нет в GPlay (банки всякие), отключил для него автообновления, доступ к мобильному интернету, и установил жесткие ограничения на фоновую активность.

Батарейку не жрёт, обновляет только по моему запросу только нужные мне приложения (которых просто нет в других сторах).

Нейроспам от школотронов снова на хабре. Вот в каком виде он пользуется гитхабом. Может уже пора перманентный бан выдать?

https://github.com/an1r2dh/an1r2dh.github.io/issues/1

Что сказать-то хотел этой ссылкой? Кто "он" то?

И если школота с помощью ИИ может собрать такой вот разбор, то я хочу продолжать читать такую вот школоту. А банхаммером размахивать ты тут мордой не вышел!

Он про zarazaexe

zarazaex69 или zarazaexe?

В профилях хабар и гита перекрестные ссылки

https://github.com/zarazaex69

@zarazaexe

Ок, даже если так. Мне по нраву такая "школота", пусть я с ним и не согласен местами. Позиция его прозрачная и... как бы вырозиться... светлая. И технические навыки на высоте. Такие нужны Хабру!

Точно нужны? Автор несколько раз в комментариях упоминает про «взять его на работу» и что он «хочет денег». Т.е за деньги он готов пойти работать на компанию, которая допускает описанное в статье. Ничего не смущает?

Точно нужны. Как и те, кто умеют вытаскивать из такой компании более "острые" ответы через провокации на понятном им языке. Рустор же даже ответил автору, чем преизрядно добавил лулзов. Это вот прямо дух олдскульного интернета.

И, нет, меня такое не смущает.

такой вот разбор

Так это и не разбор, а нейрофантазии

И пруфы, разумеется, будут?

Для справки: предыдущая статья автора, как и весь реверс, были проведены ИИ; пытаясь оправдаться, автор начал сам себе противоречить: https://habr.com/ru/articles/1036222/comments/#comment_29984758 (читайте весь тред).

Прикольно, атака на личность вместо разговора по существу. А по ссылке автор разумные доводы приводит, я тоже нейросетке чудовищные объемы заметок скидываю, чтобы она их дедуплицировала и включила в статью.

Третья атака на личность автора с обвинением в нейрофантазии без конкретных аргументов. Первая в начале ветки, вторая ниже https://habr.com/ru/articles/1046710/comments/#comment_30100898

У них там какая-то своя атмосфера. Мож друганы. И ваще, ты сейчас апеллируешь к личности, а не фактам. Не делай так.

Чтобы к фактам апеллировать, нужно самому отреверсить, а это могут делать не только лишь все. И какая у такого человека будет мотивация, кроме "опровергнуть %авторнейм% на Хабре"? Вряд ли найдется желающий защищать репутацию RuStore, его тут заклюют.

Работа с общественностью от самой компании как вариант. Вообще, раньше были задроты, и не мало, которым в кайф поковырять, не с целью доказать или опровергнуть, а просто для себя. Сейчас, таких, как будто(! не точно), даже меньше, хоть самих айтишников кратно больше.

Исторически так сложилось что оппонировали написанному люди двумя способами:

  • собственно обсуждая написанное

  • обсуждая личность автора

Не знаю почему, но второй способ всё ещё популярен. В основном, конечно же, среди маргинализованной части населения, но встречается повсюду. Увы.

Без связи с конкретным постом, так же абстрактно, как ваш коментарий, попробую возразить.

И в подтверждение своих слов люди часто используют не фактические доказательства, а аппеляции к авторитету. Вообще без этой, второй, части человеческих отношений - репутационной шкале - у вас не будет:

1) образования

2) юриспруденции

3) медицины

4) политики.

Ну и, конечно, когда какая-либо компания заявляет, что у неё есть, например, р2р шифрование, многие верят как раз потому, что обсуждают личность автора.

И в подтверждение своих слов люди часто используют не фактические доказательства, а аппеляции к авторитету.

Да, и именно в этом месте, как мне кажется, ничего плохого нет.

когда мы говорим о небесной механике, например, то ничего плохого нет сказать, что в целом она подчиняется Ньютоновским законам, и если кто-то будет с этим спорить - отправить его этого самого Ньютона изучать.

Авторитет учёных ведь на том и построен, что они что-то доказали. Да, иногда на то, чтобы просто понять те доказательства нужно время и силы, но в целом апелляции к авторитетам учёных вполне себе аргумент.

То есть апелляция к авторитету - есть конструктивный переход на личности. Упоминая, что "Стивен Хокинг доказывал", "Ричард Докинз давал статистику", "Паскаль Буайе опровергал", мы как раз даём ссылку на указанные труды, пусть она и неявная.

Но когда мы обсуждаем высказывание или статью случайного человека на форуме, то здесь переход на личности всегда деструктивен.

Ведь что мы обсуждаем сейчас? Высказывания: "эта статья написана с использованием нейросети", "автор статьи - вчерашний школьник" и так далее.

Как мне кажется подобное неприменимо ни к медицине, ни к юриспруденции ни к чему, о чём Вы составили список.

"Трамп пообещал", "Песков заявил", "Соловьёв доказал", или, если из области науки, "Лысенко утверждает". Это всё тоже весьма веские аргументы. Репутация - важный инструмент первичной фильтрации контента, что бы вы не говорили. Я не защищаю позицию клеймителей школоты или нейрослопа, но огульно срезать столь важный инструмент, как репутацию, да ещё и на Хабре, где этот инструмент встроен в систему и активно используется не стоит.

И ещё. По поводу того, что мы обсуждаем сейчас.

Исторически так сложилось.

Не знаю почему, но второй способ всё ещё популярен.

Мы уже не кейс обсуждаем, а я объяесняю почему второй способ популярен, и что в этом нет ничего плохого.

И, к слову, резонанс этой статьи и бурное обсуждение также возникло из-за ярко выраженной негативной репутации СКАМа и его правообладателей, служит формированию и упрочнению этой репутации и всё правильно делает.

Не знаю почему, но второй способ всё ещё популярен.

Потому что сильно проще обсуждать личность автора (все мы психологи), чем аргументировано оппонировать в техническом плане (не все мы инженеры, но потрындеть охота).

говорят я маты пишу, вроде истину матушку несут из уст своих

С баном вы перегнули, кмк, а касаемо нейрослопа - жирный плюс.

У меня не так давно в чатике были претензии к его проекту olcrtc, касаемо того, что это жуткий нейрослоп как по написанию кода так и по логике работы (я молчу о каждодневном рефакторинге (на самом деле полное переписывание проекта агентом с каждым промптом) в МРах и соответственно постоянно обновляемой кодовой базой, которую невозможно использовать стороннему пользователю) и выкладывать такое в опенсорс как минимум стыдно. На что я получил ответ, что ему не нужно писать поддерживаемый и читаемый код, если он работает.

В целом все эти проекты (olcrtc и подобные) уже расплодились в сотни штук на гитхабе и каждый написан нейросеткой, практической пользы от них никакой.

Будущее хабра, кстати

На что я получил ответ, что ему не нужно писать поддерживаемый и читаемый код, если он работает.

Естественный отбор порешает. То, что не нравится сообществу, быстро отмирает. Если автор публикует кривой неподдерживаемый нейрослоп - штош, он ССЗБ, народ помучается и уйдет...

Да там давно уже все расписано. Было интересно че там щас вкатунам в ойти впаривают, ходил смотрел курсы. Вот буквально месяц назад. С чистого хрома на компе, без логина, через личный квн с лично арендованной впской. Ниче там не нажимал, нигде данные свои не оставлял.

Через полчаса на телефон начинают звонить 2 из 3 просмотренных популярных продавцов курсов со своими предложениями "а вот вы интересовались, а не хотите курсы кобола для чайников и 3 месяца олбанского фпадарок?"

где они взяли мой телефон(симке хорошо если полгода и знают этот номер полтора человека), как они его сопоставили с моей активностью в сети с голландского айпишника - так и не понял.

У рустора по-умолчанию нет разрешений на чтение списка приложений, у меня до сих пор ноет при каждом запуске. А автообновление - это вообще первое, что я отключаю во всех сторах, начиная с гугла.
Ну и как он может скрытно ставить приложение, если он после скачивания каждого пакета требует нажатия кнопки "установить"?
Или у вас был рустор как системный магазин, а не как юзером установленный?

Статья разбирает всё приложение, как я понял, но поведение для системного отличается.

Просто системный магазин любой может молча софт ставить - гугл, сяоми, самсунг. А несистемный требует подтверждения на установку - рустор, фдроид, аппгалери (если не на хуавей).

Потому мне странно видеть про "качает без спроса". Да и мониторинг гпс тоже - у меня вот рустору вообще никакие разрешения не даны. Как он может к локации доступ получить?

Видимо подразумевается что на любом смартфоне, купленном сейчас официально, уже предустановлен "адаптированный под российские требования" магазин, он уже в прошивке.

и что, то что он уже в прошивке, а с какими правам? просто положить с системную папку мало!

"Системное" приложение тоже может иметь разные права, в зависимости от того, где стоит. Приложения в /system/app мало чем отличаются от находящихся в /data/app, а вот те, которые в /system/priv-app — получают все системные права уровня signatureOrSystem, включая установку-удаление пакетов

Да, я вспомнил, что у меня рустор на читалку пришел с прошивкой. Там у него прав больше и он сам себе их выдаёт при запуске, даже если отобрать принудительно.

Ну и приложения ставит молча, без подтверждения. Хотя про работу в фоне спрашивал отдельно, я не разрешил - но он и сам мог себе разрешить.

ну вот, стремно ж

На читалке не страшно, всё равно я там интернет включаю раз в месяц. Так что пусть рустор расскажет товарищу майору, что я читаю краткий курс истории ВКП(б), мне не жалко. :)

Не жалко,и что эта активность постоянно жрёт батарейку?

Да вроде не жрёт. По крайней мере, не заметил разницы в сроках работы книжки.

Сейчас все приложения вк с сюрпризом? У меня к старым почему-то нормальное отношение осталось, но во всём насаждаемом вредоносном мобильном по, как будто, замешаны вк. Сам вк стоит на телефоне и, похоже, зря. К Касперскому тоже отношение нормальное и тоже, похоже, зря. Зрелая, по меркам айти фирма, в которой работали крепкие ребята и чей основной продукт стабильно где-то в топе был + будь я безопасником, мне кажется, я из-за профдеформации был бы параноиком и на любое предложение залезть куда не нужно и, тем более, передать данные не самым надёжным партнёрам, кидал бы ноут в предложившего, стараясь попасть углом в голову. А ТС немного проехался по касперскому.

калперский это гос отдел чекистов, это в каком-такое "топе" их "зрелый" ойти продукт был? в топе spyware?

Когда я еще ставил антивирусы, допустим, на win xp, если я помню правильно, он был высоко в рейтингах

Его даже до февраля 2022го вполне себе и зарубежные компании использовали. Сам лично в такой работал в Европе, и стоял Касперский, но потом быстро он в запрещенный софт ушел и быстро сменили на другое.

Вероятно, отказались не потому что продукт плохой или вредоносный, а по политическим соображениям и на всякий случай. В СМИ тоже не помню ничего об этом, а как бы могли посмаковать, если бы поймали за руку.

В СМИ полно всего написано, даже сейчас прекрасно гуглится. И про взаимодействие с ФСБ и посадки за госизмены и даже про разного рода "киберраследования инцидентов". Но суть даже не в этом.

В современной России уже невозможно быть нейтральным производителем ПО и "просто выпускать хороший продукт", все равно к тебе придут и найдут как на тебя надавить своими "рекомендациями", от которых не выйдет отказаться живым и здоровым, пребывая на свободе и превратят твой продукт в инструмент кибервойны и шпионажа. Для этого не надо даже обладать сверхразумом, с учетом всех последних событий, когда любая российская IT-контора на задних лапках предавала любых своих пользователей и контрагентов, даже без оглядки на законность данных действий.

Одно другому не мешает.

Если бы Касперский был в версии 1.0 бета, я бы терпимо относился к косякам. Но для столько лет разрабатываемого продукта сохраняющиеся баги это кринж.

На работе легально пользуемся корпоративной версией, постоянно гимор с несоблюдением исключений, постоянно блокирует mesh (удаленное управление ПК), портит дату создания файлов внутри архивов, присланных почтой, при обновлении баз скачивает и бросает временные гигабайтные папки в temp, глючный фильтр портов usb, повреждает данные на сменных носителях при сканировании. Спамит "критическими" угрозами в уведомления, максимально хрупкая система обновлений.

Хорошие были идеи администрирования/сбора инфы в сети предприятия, в духе "с какого ПК заходил имярек" но реализованы, как будто школьник отыскал сидюк с Делфи и в гридс пробует.

Это я деликатно не упоминаю, что Каспер любую тачку на колени ставит в ходе сканирования(

Мы вынуждены были его ставить т.к. nod32 оплатить превратилось в квест.

А говорят максп лохой. Вон сколько хайпожоров развелось))). Любой пуньк в сторону макса и сразу писать нейростатью)))

Две атаки на личность с одинаковым обвинением в использовании нейросети (в надежде на то, что хабровчане этого не любят и запустят аутофагию) без доказательств

Вторая рядом https://habr.com/ru/articles/1046710/#comment_30100800

Нейроспам

поговаривают я нейросеть, вроде правду говорят

Вы не только нейросеть, конечно, но биологическая нейросеть является Вашей очень существенной частью, очевидно.

у вас закончились лимиты Claude, купите себе подписку !

Не встречал вроде такого, но лично у меня каждый раз в голове всплывает уровень ЧСВ разработчиков MAX, которые назвали себя ru.oneme.app - One Messenger, так?

one me - один я, так они пытались показать что в России останется только один. Один мах и больше никаких месенжеров.

OneMe это ж предшественник макса во время блокировки тг в 2018

anime не получилось просто написать

онимение мозга

Похоже здоровых приложений, как и людей, нет, есть необследованные..

Зачем каталогу приложений следить за появлением новых фото в галерее пользователя?

ну например вот за этим - LANDFALL Spyware Campaign / CVE-2025-21043

Интересно, а как дела обстоят с NashStore?

Не надо.искать заговора там где его нет. Все сами добровольно носим анальные зонды, наше импортозамещенное по не исключение. Для объективности автор, проверь западные и китайские свистоперделки там все тоже самое. Самое простое что можно делать использовать Андрюш с открытым загрузчиком ставить AOSP прошивки,на них ставить тулзы ,которые управляют доступом к ресурсам смарта и сети. Но скоро и эту лавочку прикроют, 17. Андрюша тому показатель. Так что смиритесь и просто учитывайте при работе в сети ,что вы открытая книга для всей аналитики из установленного ПО на вашем телефоне и это данность.

Свято место пусто не бывает, тем более на таком высококонкурентном рынке. Если в массмаркетовых телефонах ограничат возможность разлочки, тут же вылезет какой-нибуть Lilygo с открытым смартфоном - опенсорсный кнопочник у них в ассортименте уже есть... Собрать сейчас открытый смартфон с внешним модемом запросто для любой небольшой конторы, условный SimCom SoM размером с мелкую монетку сейчас, и висит на usb, то есть полностью контролируется хостом.

Согласен полностью, но как минимум барахтаться надо чтобы мозги не закисли.

автор, проверь западные и китайские свистоперделки там все тоже самое

НЕ МОЖЕТ БЫТЬ НЕ МОЖЕТ БЫТЬ! КАК ТАК КАК ТАК! НЕ ВЕ РЮ!

\s

Похоже это единственный оставшийся вариант: купит телефон с поддержкой LineageOS и не устанавливать на него Google services и остальной софт.
Придется отказаться от навигации, NFC. Настройка пушей - тот еще квест.
Но зачем тогда вообще нужен смартфон?
Мне нужна навигация как минимум, приходится ставить microG дополнительно.
В общем, я для себя решения не нашел.

Organic Maps, 2Gis, Яндекс.Навигатор работают без gapps. Зачем отказываться от навигации?

СБПэй тоже, по словам гуглевской ИИ-шницы - работает без сервисов гугля, но это я не проверял.

Интересно, насколько облегчается работа хакеров?

Полезный разбор. Делайте такой же для самсунг/хуавей маркета и гугл плей - они стоят как системные и имеют куда больше прав. А еще это большая помощь ромоделам - становится понятно, какие данные надо фальсифицировать. Спуфинг геолокации, например, уже есть во многих кастомах, и если приложение не в белом списке, ему отдаются заранее установленные левые координаты.

Вы правда не понимаете разницы?

А вы правда считаете разницу прямо столь драматической? Особенно с китаем?

+

надо бы

Я впервые в жизни проникся уважением к Эплу и оценил по достоинству закрытость её систем.

Эпл просто берёт и лепит звонкую пощёчину людям, которые себя считают уважаемыми, выбрасывая на помойку их парковочный скам из эппстора, вынуждая аж целого министра блокировок приходить с челобитной и выяснять, что случилось.

Андроид же распахивает все двери перед разработчиками приложений, позволяет им неограниченно собирать и выгружать все без исключения данные обо всём, что происходит на устройстве, и отправлять кому угодно вообще. Зато если ты, как пользователь, захочешь выпилить из системы предустановленный Гуглом или вендором мусор, или выполнить настройки на уровне системы под себя - то хрен тебе, нельзя, запрещено, а то сломаешь чего, а мы о тебе заботимся же изо всех сил, аж спать не можем, как за твою безопасность переживаем. Ну или ломай рут права и лишайся гарантии.

Я удивлён не скотскому поведению разработчиков рустора, это наоборот ожидаемо от них. Я удивлён, что сам андроид делает всё возможное, чтобы помочь им.

Не думаю, что Эппл выпнули мах из лучших побуждений и в качестве заботы о пользователях. VPN они выпинывали ничуть не менее активно.

Скорее, дело вот в этом - "Федеральная служба безопасности РФ возбудила уголовное дело за системный кибершпионаж через смартфоны".

А дальше пошло как в старом анекдоте :)

https://www.anekdot.ru/id/-10050219/

Звонят из горкома партии в церковь.
Батюшка снимает трубку:
- Алло.
- Здравствуйте, батюшка! Из горкома Вас беспокоят. Вы понимаете тут у нас должно быть партийное собрание, а скамеек нету, одолжите, а?!
- Хрен вам Скамейки! В прошлый раз дал, так Вы их пахабщиной разной исписали!
- Ах, хрен нам скамейки?! Тогда хрен вам пионеров в церковный хор!
- Ах, хрен нам пионеров?! Тогда хрен вам монахов на субботник!
- Ах, хрен нам монахов?! Тогда хрен вам комсомольцев на Крестовый ход!
- Ах, хрен нам комсомольцев?! Тогда хрен вам монашек в финскую баню!

Ну знаете ли, батюшка, за такие слова можно и партбилет на стол положить!

... и погонов лишиться!

"Ах, вы запрещаете нам за вами следить?! Тогда мы в ответ запретим вам за вами следить!"
Торги идут - потом договорятся как-нибудь и будут все за всеми следить)

Google планомерно закручивает гайки ограничений и на горизонте будет близок к iOS. Apple же дает больше свободы в «кастомизации» считавшейся преимуществом.

Но это все в официальном русле. Неофициально вендор по требованию государства будет шить нужное и разрешать установку откуда разрешит государство. В первую очередь Индия.

Разве не в Индии много смартов, которые умеют работать на линуксе?

Андроид же и выиграл конкуренцию в том числе свободным магазином. В первых версиях там каких-то вирусов куча была. Будь сейчас времена 1.6 , но с блокировками, каждый бесплатный впн шпионил бы, сливал всё что можно и ещё слал бы смски на короткие номера и оформлял подписки. Я один раз видел жалобу на слив фото что ли, в котором человек подозревал впн и... всё. Магазин теперь уже не такой дикий и куда ближе к Эпл.

Обе корпорации прекрасны по-своему, просто у них разные бизнес-модели монетизации твоей приватности

не 81
пока только  Brazil, Indonesia, Singapore, and Thailand
остальное в 2027м

Подскажи, как удалить с телефона Фейсбук который я не устанавливал?

Только сделать disabled. Смотри отключение встроенного программного обеспечения, pm disable , точнее сейчас не вспомню.

На ксиоми от него был установщик который отсутствовал не только в приложениях, а в adb list. я его нашел когда удалял по нагугленному списку. вместо "приложение не установленно" он мне написал что "невозможно удалить". Я подозреваю, что это даже мимо гугла прошло - мордокнига напрямую с вендором договорилась.

Да, сяоми это отдельный вид китайских вирусо-рекламо писателей, дуги до них далеко.

в гугл плее мб, это у сасунга партнерка

Можно отключить работу в фоне, рустор будет периодически ныть, что ему очень нужна эта привилегия, но и без нее он работает.

И отключить фоновую работу сети и установку неизвестных приложений, включать права только явным порядком при необходимости и сразу выключать. Так и гугль плей вообще отключил. Если что припирает поставить, ставлю с 4pda. А когда запретят всё кроме рустора и гугль плея - уйду на кнопочный, когда старые приложения на этих будут нефункциональные.

Отдельный телефон, после использования выключить и руки с мылом помыть.

Придётся и до такого доходить. В раже запретительств и улучшений они даже обижаются. См. Шапку комментариев.

Можно отключить работу в фоне

Может быть. Но типичный пенсионер этим заниматься не будет. И его смартфон насильственно обмахают.

Обратил внимание, что телефон иногда самопроизвольно перезагружается. И происходит это исключительно ночью, а утром начальный экран и выключенные приложения, которые были запущены с вечера (ежедневник и проигрыватель для аудиокниг). Удалили RuStore, чтобы проверить без него, т.к. грешил на само железо или системные службы.

З.Ы.

Заодно поискал приложения, которые я не устанавливал. И нашел целых два:

первое с обновлением дроида приходит

первое с обновлением дроида приходит

А разве дроид обновляется не по запросу? Вроде всегда было отдельная команда обновить, а не втихаря по ночам. И вряд ли дроид мне установил “МИР СПБ Привет!”

Новый андроид обновляется с гугла сам втихую. Мимо вендора даже. И отключить никак нельзя.

Обновляться может и не по запросу, может в фоне по WiFi ночью основу скачать и сам поставить. Особенно если настройки обновлений системы не менялись. Сейчас очень много устройства идут сразу с A/B разделами, в фоне скачанный образ обновления копируется в второй раздел, а при перезагрузке устройства происходит переключение на второй раздел, на первый потом будет происходить переключение. Телефон может ночью сам быстро это сделать и ночью перезагрузить. У меня так пару обновлений на Poco установилось.

Обновляться может и не по запросу, может в фоне по WiFi ночью основу скачать и сам поставить. …

Может только если это включено

Проверил смартфон. Признаков обмахивания смартфона (тайной и подлой установки МАХа) не обнаружено. Но возможно МАХ очень хорошо замаскирован. Исследования и наблюдения будут продолжены.

Установка MAX Messenger и аналогичного ПО происходит по серверному флагу SAK_MAX_MESSENGER_INSTALL

Может SUX_MAX_MESSENGER_INSTALL ?

попробуй залить RuStore в PrivApp и пропатч WayDroid, афигеешь

Исходя из текста статьи (да и остальных разборов отечественного Spyware), можно сделать только один вывод: имея вагон вариантов организации изоляции и реальных песочниц, начиная от нативных неймспейсов, заканчивая предоставлением системных API с жёстко за данными полномочиями, система сама светит дырами направо и налево и отвечает на ненужные вопросы каким-то левым приложениям, которым никакие разрешения не выданы. Вопросы больше к ядру ОС, нежели к тому, что софт вовсю эксплоитит эти дыры.

да я бы и писал статью о том как андроид небезопасен, думаю и напишу

На таких статьях наше МВД взрослеет)

Я даже не придумал как их оправдать.

Достаточно было в гугле вбить два слова «vk radar». И обнаружится что у вк существует сервис для телекома, которому нужны координаты для мониторинга сети
https://habr.com/ru/news/863030/

А это что - хорошо? Пользователю какая от этого польза? Никакой? Ну значит это spyware очередное.

Ну если для вас улучшение качества интернета — не дает никакой пользы, то ок

Пардон, как именно вконтакт, к которому я никаким боком не отношусь, "улучшит" качество моего интернета, следя за мной? Здравый смысл говорит, что никак, инструменты для мониторинга покрытия и загрузки каналов у каждого провайдера и опсоса есть свои, и вконтакт тут никаким боком не уперся. Если конечно там нет функции моментального улучшения качества сигнала при произнесении "ФСБ, бомба, террорист", как в баянном анекдоте.

Вк продаёт операторам доступ в сервис в котором операторы видять нужные им данные.
Беда операторов том что они понятия не имеют чего делает пользователь. Им не видно, это юзер на 2.4 wifi сидит? Или у провайдера гдето беда? Или cdn c которого тянется контент перегружен.

У вас очень бурная фантазия, я смотрю... Если у пользователя проблемы с интернетом - его сидение на определенной вафле определяет техподдержка провайдера, когда пользователь звонит в нее, но никак не шпионские треки вконтакта. Если у провайдера где-то беда - провайдер это видит и без всякого вконтакта, инструменты мониторинга сети у каждого провайдера есть свои, внутренние (и отдавать такую информацию наружу какой-то третьей стороне или получать ее от третьей стороны это вообще здоровенная дырень в безопасности). Если CDN перегружен - провайдера это вообще никак колыхать не должно, и снова, этот факт выясняет техподдержка провайдера при обращении, а не вконтакт. И геолокация НИ В ОДНОМ из этих случаев нахрен не уперлась для решения проблемы.

  1. Вы работаете в телекоме?

  2. Выходит что вк врёт и у них нет продукта Телеком Радар?

И да, заверяю вас, я знаю про потребность операторов в подобном продукте и его функционале чуть больше вас)

Если у пользователя проблемы с интернетом - его сидение на определенной вафле определяет техподдержка провайдера

Провайдер может посоветовать перезагрузить роутер либо купить их роутер, никто не будет разбираться с тем что у вас несколько сетей на одном канале

Если у провайдера где-то беда - провайдер это видит

В мире розовых поней так и происходит. В реальности всё чуточку сложнее, особенно это касается мобильных сетей.

инструменты мониторинга сети у каждого провайдера есть

Есть конечно, но не всегда это внутрении сервисы, внутренними сервисами невозможно замерить как в конкретном сервисе играет видео, какой пинг в игре и т.д.

Если CDN перегружен - провайдера это вообще никак колыхать не должно, и снова, этот факт выясняет техподдержка провайдера при обращении, а не вконтакт

Вы видимо не общались с техподдержкой. Пример с cdn действительно не удачный в контексте провайдера. Но например у провайдеров бывают проблемы на стыках с сетью сервисов/cdn.

И геолокация НИ В ОДНОМ из этих случаев нахрен не уперлась для решения проблемы.

Ага, конечно. Ведь абсолютно не важно что у пользователя плохой сигнал потом что рекламный стенд загораживает сигнал соты например)

Вы работаете в телекоме?

А вы? Судя по той чуши, что вы несете, вы даже о банальном функционировании сетей не имеете представления... Я в телекоме сейчас не работаю, но имел к нему некоторое опосредованное отношение, а мой хороший друг прямо сейчас работает во второй линии одного из крупнейших провайдеров, если так уж интересно.

Выходит что вк врёт и у них нет продукта Телеком Радар?

Продуктов может быть сколько угодно, отношение этих продуктов к обсуждаемому функционалу и использование этих продуктов в тех целях, что декларируются - это совершенно отдельная история. Я не вижу ни единого сценария, в котором несанкционированнная слежка за моей геолокацией нонстоп, когда я не использую ни один из сервисов, к которому бы это относилось, и которому я не давал разрешения это делать, как бы то ни было "улучшала" для меня что бы то ни было.

Провайдер может посоветовать перезагрузить роутер либо купить их роутер

Если скрипты техподдержки первой линии исчерпываются впариванием брендированного роутера - это очень хреновый провайдер.

никто не будет разбираться с тем что у вас несколько сетей на одном канале

Странно, почему же техподдержка моих провайдеров, что на работе, что дома всегда с такими вещами разбиралась...

В мире розовых поней так и происходит.

Так происходит в реальном мире.

В реальности всё чуточку сложнее, особенно это касается мобильных сетей.

Да, и насколько же сложнее? Мне, настроившему и перепрошившему несколько сотен 4G модемов, и очень сильно вылюбившему себе мозг функционированием на них корпоративной сети, очень любопытно... Что, у провайдеров ныне нет банальной телеметрии с базовых станций? Нет логов с граничных маршрутизаторов? Нет систем, показывающих загрузку и функционирование узлов сети в реальном времени? См. выше, это ОЧЕНЬ хреновый провайдер...

как в конкретном сервисе играет видео

ICMP и банальные сетевые инструменты для проверки пропускной способности в пределах зоны ответственности на маршруте в несколько хопов уже запрещено использовать?

какой пинг в игре

И как же телеметрия вконтакта, шпионящего за моей геолокацией, поможет провайдеру оценить мой пинг в игре, сервера которой находятся на другом континенте и к вконтакту никак не относятся? Снова, ICMP в пределах зоны ответственности уже отменили?

Вы видимо не общались с техподдержкой.

Я в ней работал. Несколько лет. Общаться тоже приходилось. С реальной, не выдуманной вами.

потом что рекламный стенд загораживает сигнал соты

Рекламный стенд. Сигнал соты. Вы бы хоть не палились настолько явно, тут все-таки не идиоты сидят, а я вот еще не успел похоронить свой диплом радиофизика, и о теории распространения сигналов в среде знаю немного больше типичного обывателя. Какой соты-то, офисной пикосоты? И из чего стенд сделан, из железобетонной плиты? И срисовывание моей геолокации в фоне шпионским софтом, о котором у нас речь, раз в несколько минут как-то в этой ситуации поможет?

Можете не отвечать, всем уже понятно, кто вы...

Рекламный стенд. Сигнал соты. Вы бы хоть не палились настолько явно, тут все-таки не идиоты сидят, а я вот еще не успел похоронить свой диплом радиофизика, и о теории распространения сигналов в среде знаю немного больше типичного обывателя. Какой соты-то, офисной пикосоты? И из чего стенд сделан, из железобетонной плиты?

Я пес его знает, но если потеоретизировать, то можно попробовать синтезировать пример.

Стоит секторная антенна на краю крыши дома (полно таких у сотовых операторов), тихо-мирно окучивает часть улицы.

Находится умник, который на крыше прямо перед антенной ставит рекламный щит из металлического профлиста, можно даже двойного - коробка из двух профлистов с распорками между ними (видел такие, причем некоторые потом сняли, как незаконно установленные, да и всякую фигню перед антеннами, в том числе секторными, сотовых базовых станций тоже иногда размещают).

В теории сигнал от такой антенны должен сильно снизиться до величин, мешающих связи с телефоном, находящимся на противоположной стороне улицы.

И срисовывание моей геолокации в фоне шпионским софтом, о котором у нас речь, раз в несколько минут как-то в этой ситуации поможет?

Помочь, конечно, немного может, ибо понятно станет, что человек был в секторе конкретной антенны, и что-то с распространением сигнала между антенной и телефоном не так (от поломки антенны до помех со стороны глушилки какой-нибудь). Другой вопрос, что проще и дешевле у пользователя спросить, где у него конкретно проблемы со связью. И точность большая там не нужна, плюс-минус дом. А дальше выслать человека, чтобы побегал-померял.

А подскажите, пользователь РуСтора даёт информированное согласие на такое использование его данных о геолокации? Есть ли где-нибудь обязательство не использовать их для других целей? Есть ли возможность в настройках убрать эту опцию?

Можно просто отключить ее в настройках для всего

  1. Никто не заставляет вас выдавать доступ к геолокации

  2. Читайте пользовательское соглашение, уверен что там всё есть, а если чего-то нет. Спрашивайте у вк/рустора, я к ним никакого отношения не имею

оправдать а не сделать все еще хуже*

Кстати вот после чтения статьи по ссылке еще больше вопросов - там заявлено что radar этот - для мониторинга сети на просмотре видео? С каких RuStore стал активно проигрывать видео?

Статья 24 года, скорее всего с тех пор сервис научили трекать загрузку картинок, текстов, возможно тупо бинарников, ибо это магазин приложений, ну и скорее всего транспортный тест завезли(пингование сторонних сервисов максом с большой вероятностью именно оно)

Безопасность уровня ключа под ковриком, зато модный JNI прикрутили)

Пора уже так....
Но нельзя )

В кастрюлю и хлоркой засыпать.

А кто-нибудь изучал работу приложений из RuStore в Shelter?

MirPay перестал запускаться в основном профиле при установке второй копии и помогла только чистая установка с повторым добавлением всех карт. Альфа-Банк отключил вход по биометрии в рабочем профиле и не включил его даже после пометки устройства доверенным.

Хм. На мой взгляд, при наличии входа по пин-коду биометрия менее секурна. Или я не прав?

Гугл кстати тоже собирает тогда бывает приятно зайти посмотреть где когда и сколько ходил

Ну а рустору да лишние права лучше не давать

гугл сервисы собирают* не плей маркет ( но я гугл не дефаю )

Получается, что любое российское ПО ставить как минимум нежелательно. Печально что мы до этого докатились... в принципе талантливые айтишники, и занимаются (вынуждены заниматься?) вот всем этим. Пора уже создавать независимый от государства "черный список" приложений... Ну и "белый" - то что с полностью открытым кодом, не содержит ничего шпионского и не связано ни с какими государствами и корпорациями.

Справка: без нашего ведома и согласия в фоне скачивается и устанавливается MAX - правительственный мессенджер, в котором полностью отсутствует E2E-шифрование.

Если человек не будет использовать МАХ, то шифрование не имеет значения. А если будет использовать, то нет резона указывать на отсутствие согласия на установку. Готовность использовать как бэ предполагает и согласие на установку.
Возможный сценарий - пенсионер заходит на Госуслуги, ему предлагают установить МАХ, он нажимает кнопку “Ага, давай ставь”, и без лишних движений и напряжения мозга, МАХ устанавливается на смартфон пенсионера. Это позитивный сценарий.
А какой может быть зловредный сценарий?

Я таки виню Google за такой Android где всё это можно проворачивать

Сравните как с этим в GrapheneOS и стандартном Android - почему стандартно было так не сделать? (выдача фейковых разрешений приложениям, настоящий sandbox, не давать приложениям вести себя как дома и читать всё и вся и знать всё о системе и её настройках)

Гугл начинает говорить про “приватность” и “безопасность” только когда он хочет заблокировать или усложнить установку сторонних ОС и приложений на телефон (вроде тек что как раз и нацелены на приватность), но делать что-либо с самой архитектурой позволяющий такую антиутопию совершенно отказывается (и нет, это не только у нас так в регионе, а уже давно и много где - привет Индия например)

ну графен и юзайте, ставьте гуглу вопросы сколько угодно только вот им на вас смертных все равно както

Во-первых, графен и прочие альтернативные сборки не тестирутся. Их тестирует пользователь сам. Для гиков это окей, для масс-маркета ужас, убытки и разорение, так как избалованный пользователь тут же массово начнет делать возвраты, если у него вот тут иконка неверно показыватся. Тестирование такой массы фичей стоит столько, что проще всё обрезать и ничего без крайней нужды не добавлять.

Во-вторых, для гугла андроид это площадка для продажи услуг. Потому интересы коммерсов всегда будут выше интересов конечного пользователя. Они давно бы перекрыли всё, но слишком высокая безопасность уменьшит привлекательность системы для бизнеса, который хочет выжать максимум из аудитории.

Вопрос: что реально может Rustore с такими настройками?

ну как минимум вот что
это те разрешения, на которые пользователь не имеет права влиять

Скрытый текст

Спасибо за труды, дружище.

ОК ! А теперь вопрос - это дерьмо желательно совсем удалить с телефона или достаточно не давать ему разрешений ?

дерьмо

Вы, кажется, сами ответили на свой вопрос

Если я айфон куплю, я буду защищён?

можно просто удалить рустор, ну да, айфон тоже пойдет

Нет, конечно. Просто в случае с айфоном ваши бесценные данные пойдут в другую базу ;)

если это не база товарища майора - устраивает

Если вы думаете, что наш товарищ майор не обменивается с забугорным и наоборот, по не официальным каналам - расскажите это вашему розовому пони в вошебной стране, он посмеется. Условный фейсбук продает данные тысячам контор по миру, те еще тысячам - все всё между собой шарят и дообогащают. У нас так же, причем этому бизнесу плевать на законы, санкции или политику - все хитро обходят... И тут была статья, как из системы таргетирования рекламы вытаскивается всё, просто зная номер телефона жертвы. Бесплатно, без смс. А есть еще непубличные сервисы, обладающие куда большими источниками данных по всему миру - думаете они не будут радостно помогать товарищу майору в обмен на неприкосновенность?

Статистика источников в реальных сервисах пробива рисует совершенно однозначную картину. Но совсем не ту, про которую вы пишете.

Удивляют такие заявления. Уже который год удивляют.

Но последние годы, с ростом количества интернет-зомби, становящихся закладчиками в минимальном случае, а то и натуральными терористами со взрывчаткой/коктейлями, как можно так считать? И это мы ещё с хозяевами данных напрямую не зарубились, для зомбирования хватает жалких обрывков, собранных по утечкам. А если за дело возьмутся настоящие Смиты?

Да, меня не зазомбируют (надеюсь). А вот попасть под раздачу, просто проходя мимо, шанс всё растёт и растёт.

привет

пока

Но вы же и правда школьник, который пишет нейрослоп

Если в статье есть правдивая информация, которой нет в сети, и которую никто не потрудился опубликовать, то нюансы не столь важны. Здесь выбор между наличием информации, и отсутствием информации. Если информация достоверна и уникальна, то вопрос о ее происхождении не принципиален.
Если в статье есть неправда, то нужно указать именно на это, а не на личность автора (или AIвтора).
В комментариях очень мало разбора статьи с технической точки зрения, и очень много оценок с идейной и эмоциональной позиции. Пикабу-стайл комментарии, а не айтишные. Вот это печалит больше чем нейрослоп.

Всем и так ясно, что любое мало-майски массовое приложение будет собирать кучу данных и иметь бэкдоры для спецслужб, без всякого реверс-инжинеринга. Другое дело, что статьи пишет психически больной школьник и выдает ответы исключительно с помощью ИИ. Вы почитайте у него описание в профиле на гитхабе

Вот опять. Классические маркеры современной гос-СМИ пропаганды:

Все так делают и мы так делаем
Он там что-то плохое написал
Психически больной
Школьник
ИИ

Я помню очень похожий кейс был, когда один оппозиционер пытался уличить чиновников в воровстве тыкая в абсолютно прозрачные и определенные факты. А в ответ были аргументы НЕ в стиле "мы не воруем, у нас все прозрачно, вот смотрите, можете прийти и сами проверить", а то, что он ставленник госдепа, ему иностранная разведка нашептала, и вообще он сам вор ... значит и нам можно.

Эти подходы сработают для массового электората, не выключающего телевизор, но не для публики хабра - тут люди способны критически мыслить и прекрасно знают что такое "логическая ошибка".

Просто этот оппозиционер на их место метил с посылом “ну я же так не буду” при наличии очевидных доказательств обратного. И стало ясно, что просто себе место пытался расчистить, а не то, что вы подумали. А тут, как известно, все средства хороши и относится к ним нужно соответствующе. Такие “доброхоты” на самом деле только ухудшают положение дел.

А что я подумал? Мне, например, без разницы кто показывает пальцем на злодея, хоть он сам трижды злодей. Поэтому апелляция к личности оппонента, а не к его доводам для меня пустой звук.

К тому же практика показывает, что уже достаточно продолжительное время ухудшают совсем не "доброхоты", которые в свою очередь не минуты не были у власти.

Сначала людям без разницы, кто показывает пальцем, а потом начинается веселуха вроде охоты на ведьм и Гуатанамо. Доказательства есть? Есть. Как собрали, неважно.

А мне вот кажется, что существующая в судебной практике система “доказательства, добытые преступным путем, не рассматриваются” весьма полезна от таких перекосов. Здесь конечно не то же самое, но не слушать тех, кто сам замешан в темных делишках, лучше, чем кивать как болванчик. Сильно сомневаюсь, что не найдется честных людей, способных указать на все недостатки, так зачем какую-то шушеру слушать?

Хорошо, что у нас все "доказательства" против тех, кто указывает на проблемы во власти, добываются "честным путем" без фальсификаций, правда? Безусловно у нас журналистам не шили нарколабораторию, а у правозащитников не находили запрещенные вещества, особенно когда в районе "ломались" все камеры? Правда ведь, ведь правда?

Уподобляться плохому не стоит. Да, знаю, сложно, но все же.

тут люди способны критически мыслить и прекрасно знают что такое "логическая ошибка"

Да я вижу. Причём настолько, что хавают выдуманный нейрослоп за обе щеки, главное что по хайповой и чувствительной теме, лишь бы услышать то, что хочется. Типичное поведение НЕ массового электората, а прогрессивной и думающей публики: записывать в чужой лагерь всех, кто подвергает линию партии сомнению.

Я вам говорю о том, что вас как мамонтов развели, вы мне затираете про госпропаганду. Насчёт этого государства лично мне всё стало ясно ещё в далеком 2014, если вам будет легче

RuStore не устанавливает приложения без активного согласия пользователей. При установке и запуске RuStore пользователь может принять или отказаться от предложенных разрешений. Они нужны, например, для своевременного обновления, предзаказа игр, проверки антивирусом и других функций. Это стандартные инструменты всех магазинов приложений, необходимые для работы сервиса

привет рустор наймите меня к себе работаь пж

Бесполезный ответ на комм с разбором

по “без активного согласия”: PreorderAutoInstallController (tq1/c.java) берёт packageName напрямую из тела пуша (PreorderAutoInstallPushDto.packageName) и передает в установку Среди зависимостей нет ни одного обращения к PreorderApi или PreorderNewRepository из vq1 клиент физически не сверяет присланный пакет с реальными предзаказами пользователя что сервер назвал то и ставится , это слепое доверие серверу, бекдор

по “стандартным инструментам”: покажите мне стандартный магазин приложений, у которого в схеме БД snapshot_records три независимых геофикса, MAC роутера, список сотовых вышек и флаг VPN, привязанные к userId, с интервалом съёмки 120 секунд по heartbeat. Для скачивания приложений это не нужно технической необходимости нет

по "MAX": вы устанавливаете в фоне правительственный мессенджер без E2E-шифрования не предлагаете - устанавливаете. setRequireUserAction(USER_ACTION_NOT_REQUIRED) + привилегия предустановленного системного магазина = установка без единого тапа

по Kaspersky kavsdk: 19 потоков телеметрии включая P2P-узлы, inotify по медиапапкам, в магазине приложений

и финально: 73 удалённо управляемых тоггла через FlipperRepository, все вышеперечисленное - Radar, тихая установка, сбор приложений - включается и выключается с сервера без обновления приложения

Резюме скину на почту?

Ответ из самой статьи который вы не прочитали

Иногда мне кажется они даже статьи не читают, это очень потешно

  • PR: ...не устанавливает приложения без активного согласия пользователей.

    • Код: Флаг SAK_MAX_MESSENGER_INSTALL с сервера и метод setRequireUserAction(USER_ACTION_NOT_REQUIRED). Плюс отдельная очередь тихой установки по пушу без проверки предзаказа.

  • PR: ..не передает данные третьим лицам...

    • Код: Отправка телеметрии в AltCraft (даже для неавторизованных) и раздача VK-токенов по AIDL сторонним приложениям (одобренным сервером VK) без диалогового окна.

  • PR: Они нужны, например, для своевременного обновления... Это стандартные инструменты...

    • Код: P2P-сеть Касперского, inotify мониторинг папок с фотографиями (DCIM) и отправка на сервер списка ВСЕХ лаунчабл-приложений без их версий (что делает своевременное обновление технически невозможным по этим данным).

Кароче я все еще жду, t.me/owenewans почта zarazaex@tuta.io или nori@memeware.net

А ты чего у них хочешь? :) переписать чтобы этого не было или чтобы никакая другая зараза не увидела?

денег....

Блок на негатив губит

я бы за деньги статью эту удалил, ну на месяц, типо я бы вот устроился в рустор работать типо - каждый месяц платят по 300к руб просто чтобы я эту статью скрывал, за 600к мб и макс буду \шутка

Зачем им платить, если проще прислать к вам на адрес пару крепких парней, которые «могут добавить на руки ещё пару локтевых сгибов»? Разумеется исключительно для беседы. После которой вы удалите статью вместе с аккаунтом, со слезами поклявшись никогда ничего больше не писать😉

я просто сильнее их да еще и умнее а еще я живу в америке -_-

РАСКРЫВАЯ ЭТОТ СПОЙЛЕР ВЫ СОГЛАШАЕТЕСЬ НА ВСЕ ОЗВУЧЕННЫЕ В НЕМ ТЕЗИСЫ, ДЕЛАЙТЕ ЭТО НА СВОЙ СТРАХ И РИСК

ВОТ ОНА РУКА ЗАПАДА, ЗАКАЗНАЯ СТАТЬЯ ИЗ ОМЕРИКИ!
ЕЩЕ ОСТАЛИСЬ СОМНЕНИЯ? САРМАТЫ НА ВАШИНГТОН!
СВЯТОЙ СУВЕРЕННЫЙ МАКС И РУСТОР ПОСТАВЛЕНЫ ПОД УДАР! УГРОЗА ЦИФРОВОМУ СУВЕРЕНИТЕТУ!
ПРОЛЕТАРИИ ВСЕХ СТРАН ИМПОРТОЗАМЕЩАЙТЕСЬ

если серьезно и без шуток то так и есть

ну, мы уже давно живем в клоунской версии метавселенной, поэтому как бы упорото не пошутилось - реальность окажется упоротее

ХА!

Похоже, Вы разворошили осиное гнездо! :-)

Пытаются спасти хотя бы репутацию рустора :) Ведь репутацию макса уже не спасти, он теперь у всех ассоциируется с трояном.

РуСтору нужен аж целые отдела PR? чтобы что? он и так обязан быть установлен на телефоны, чего там пиарить то? оО

они вам принудительно поставили макс, чтобы в него написать? :)

это телеграм ;)

серьезно? там же значок премиума - это звездочка...

ПС: причем я реально думал, что они уже во всю там премаки стригут с гоев)
Видел мемы про бесплатное место на подземном паркинге с подпиской Макс премиум:)

Да, признак премиума по умолчанию - звёздочка. Но премиум-пользователи могут устанавливать в статус любое эмодзи. Эта надпись показывает, что это эмодзи - признак премиума, а не просто буква имени.

Как вам фото члена прислать? Это нужно Олечке и Анечке. например, для своевременного обновления, предзаказа игр, проверки антивирусом и других функций. Это стандартный инструмент всех магазинов приложений, необходимые для работы сервиса.

Весь этот текст состоит из утверждений. А где доказательства для утверждений?

Господа, может вам не отдел пиара привлекать, а разработчиков? Вот у вас в блог есть статьи за авторством иныобеза, Дмитрия Морева. Так пригласите Дмитрия ответить на вопросы. Это как раз напрямую касается инфобеза. Пусть Дмитрий ответит, что не так с безопасностью приложения, ну или что всё так, и где тогда автор этого разбора не прав.

я так и не понял каким образом он что-то устанавливает, это прям установка или реклама которую этот недомагазин подсовывает в обновлениях, где вместо обновления приложений весит пак с предложением скачать тиньковы и т.д (один раз попался на этот скам, теперь внимательней смотрю) ещё и на каждой обнове подтверждать установку надо

и как он может следить,если у него по умолчанию вообще никаких прав нет (новый телефон с предустановленным стором)

О, раз у вас новый телефон с предустановленным стором – будьте добры, проверьте, куда именно он установлен (если adb под рукой):
adb shell pm path ru.rustore.app

Собственно, интересно – хоть где-то он установлен, как системное приложение с соответствующими правами?

ничего не выдает.

fleur:/ $ pm path ru.rustore.app                                                                                                            
1|fleur:/ $ pm list packages | grep rustore                                                                                                 
1|fleur:/ $ 

потому что не ru.rustore.app, а ru.vk.store

если не сложно то
adb shell pm path ru.vk.store
adb shell dumpsys package ru.vk.store
и...
adb shell
потом на приглашение
$
ввести
for f in (find /system /system_ext /product /vendor /odm -type f -name '*privapp-permissions*.xml' 2>/dev/null); do
  echo
  echof" done

и там уже секцию про ru.vk.store поискать...

не знаю что ты хотел увидеть, но оно не системное, его можно удалить, кстати называется оно ru.vk.store

Ага, спасибо. "оно не системное" – этого достаточно. Установка только с подтверждением пользователя и права можно нормально настроить (а можно вообще создать второе пространство, а из первого его убрать, чтобы не видело стоящие там приложения).

в том то и дело, что ни как, а фантазии автора статьи, что там приложение в priv-app с максимальными правами, указанными в privapp-permissions.xml для приложения (правда ни одного примера и доказательств этого мы от автора не увидели), тут все его доводы строятся на том что "если приложение положить в priv-app и дать ей системные права соответствующие... (да да... все вендоры телефонов так и сделали и дали рустору там... Максу и т.п. такие права).
ну разобрал он апк-шку, ок, увидел возможности что приложение могло бы... но в том то и дело что БЫ :)
зато статья, и куча плюсиков... Хабр уже не тот

Хабр уже не торт!!

А теперь сейчас же ответь на вопрос: если малварь требует судо для кражи паролей он перестает быть малварем?

ВТОРОЕ: код прямо требует права которые невозможны без priv-app, тоесть по твоему разработчики рустора совершенно случайно написали туда тихую установку, совершили 100 строк ошибок в 100 строчках кода ?

напомню старую клюкву:
"Скачал вирусов себе на линух.Распаковал.Поставил под root.Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать..."

"ВТОРОЕ: код прямо требует права которые невозможны без priv-app, тоесть по твоему разработчики рустора совершенно случайно написали туда тихую установку, совершили 100 строк ошибок в 100 строчках кода ? "
ну... на каких-нибуть яндексо-фонах это всё же может сработать, конечно же (если вендор не против, а там есть шанс что он будет не против). Только кто в здравом уме такое купит...Для 95% рынка смартфонов - эти все предположения про опасность рустор - не больше чем фантазия.
у меня тоже есть АПКшка моей разработки в т.ч. и с "тихая установка" и многое другое, я больше скажу, клиенты рады бы чтобы это работало на всех девайсах. Потому что там b2b приложение. Только вот работает оно в таком режиме только на Zebra через Profile Manager, а bluebird и honeywell подобной возможности не даёт.
И даже для такого специфичного рынка - возможности использовать priv-app привелегии нет, хотя там в целом подразумевается установка и распространение без сторов каких-либо (на некоторых железках вообще нет ни каких сторов).
так вот... я там тоже закаладывал чтобы через привелегии это работало, в коде это предусмотрено... на случай если всё же вдруг будут права. 100 строк кода на объем приложения же не влияют.

Приплетаю.жпг

одно дело устройство собственность компании, другое дело массмаркет и частные устройства. или раз холопы собственность государства, то и их устройства тоже?

так я о том что кроме российских вендоров никто подобного рода права рустору не даст. И в целом для "возможна слежка" тут нужна статистика по покупкам устройств "РФ производства". (понятно что их всё же кто-то даже покупает :) (непонятно правда, зачем)

"Опять эта проклятая неопределенность" (с)

После того как самсунг купленный за пределами рф и находящийся за пределами рф вкатал мне это всё предустановленное говно при втыкании российской симки, я такие аргументы игнорирую.

При этом нельзя было никак остановить процесс (только самолётный режим помог) и часть софта стала неудаляемой (даже после смены российской симки).

S25Ultra и S25FE так не делают, даже если сменить регион на SER и прошить на SER после этого.

Это какой-то из А серии был. Но что это меняет?

Про S25 не скажу, но мой S22 купленный не в России и сделанный не для России. Примерно год назад внезапно обзавелся кучей говна положенного по закону гражданину и не отключаемой обновлялкой этого говна.

Вы не дооцениваете китайских друзей те за деньги поставят и фамилию не спросят. Ну или не за деньги, а за доступ к рынку.

ну и... а что... функционал заложен хороший )). Рядового пользователя как раз заставить пользоваться "только телефонами в которых всё это зашито" сложно. А вот чиновникам раздать - надо бы :). На гос.уровне решить что только девайсы такого-то производителя, где там всякие МАКС и Рустор следять по полной :).

типа "хотели Рустор, МАСК, Рутуб" - получайте )) добровольно-принудительно... или девайсы где это всё с полными правами и полной слежкой... или мандат сдавай )). Голосовали? вот и ответочка...

тоесть по твоему разработчики рустора совершенно случайно написали туда тихую установку, совершили 100 строк ошибок в 100 строчках кода ?

А вы уверены, что это их код, а не какого-либо фреймворка? Сегодня, знаете ли, такие времена, что полноценный браузер в каждом втором приложении, налабаном тяп-ляп на электроне.

А почему это проблема пользователя? Фреймворк кто использовал? Ну вот пусть отвечают.

Я вот вспоминаю например историю неоднократную - Apple чтонибудь в требованиях меняет (про рекламные идентификаторы или там какие должны быть архитектуры в fat bundle) - им как то пофиг что ой это sdk не обновился а нам надо приложение обновить - код не выполняет требования - ловите reject (и дергайте авторов этого sdk).

Тут зависит от степени фундаментальности фреймворка. Условно говоря, если находят дыру в каком-нибудь openssl, то почему-то претензии именно ему и выставляют, а не сотням тысяч приложений, которое это openssl себе тянет через десяток зависимостей.

ну разобрал он апк-шку, ок, увидел возможности что приложение могло бы… но в том то и дело что БЫ :) зато статья, и куча плюсиков…

Статья все равно интересная. А потенциальные возможности программы характеризуют разработчиков определенным образом. Ну и никто другой пока эту тему не копает. Плюсы за инфу и оригинальность вполне оправданы.
А разработчики пусть знают - за ними следят. Пакости будут разоблачены и обнародованы.

У меня он скачивал моего согласия. Как было: в приложении вылезает реклама, нажимаешь на крестик, но это ловушка и открывается рустор и сразу начинает скачивание этого приложения. Хотя кроме крестика в конце рекламы я ничего не нажимал.

В любом случае глупо доверять рустору, так что более интересным выглядит не его реверс-инжениринг (который лишь подтверждает подозрения), а исследование ограничений от OS – при каких условиях он может получить соответствующие права (например, есть ли хоть один телефон, в который рустор установлен в /system/priv-app или в /vendor/priv-app), какие данные он может получить, а какие ему не даст система, как ограничить его ещё больше, если он всё-таки нужен (у меня живёт во втором пространстве, где видит только ограниченный список приложений – предустановленные и те, что поставлены через него).

Да и вообще, сегодня рустор, завтра мессенджер, фонарик или какая-нибудь игрушка начнёт проявлять лишнюю активность. Проблемы надо решать глобально, на уровне полного отсутствия лишних прав.

раз у нас теперь как в сша может еще зарплаты вырастут?

Специально зарегистрировался, т.к. статья откликнулась. Но действительно не хватает описания рисков и что с ними можно сделать. Я очень далек от IT сферы, но саммари статьи хватило, чтобы понять, что риски есть.

К примеру, эфемерная ситуация само собой, что государству понадобится найти человека, а его нет по месту жительства из цифровых реестров. Может случится исключительно эфемерная ситуация, что RuStore будет с этим сильно помогать и из-за Android ID ничего с этим сделать нельзя, кроме как избавившись от телефона.

В итоге вывод какой? Покупать телефоны без RuStore? Если уже купил, сливать телефон на Авито/выбрасывать? Вдруг ещё что-то забыл.

просто удалите его, если можете

Никогда еще государство не помогало лично человеку ради него самого (были очень исключительные ситуации, если какой то чиновник сам проявил рвение, но такие долго не задерживаются, там работает отрицательный отбор).

Найти человека что бы убить или покалечить (отправить на сво), отобрать все его деньги (не важно виновен он или нет), или просто на пустом месте создать проблемы - это пожалуйста.

Найти его что бы он не потерял деньги (пример повестка в суд по делу от мошенников, если не придешь, потеряешь деньги) - никогда.

У меня стоит рустор на смартфоне, проверил логи adguardhome и не одного указанного домена за неделю логов там нет (и да у меня перехватывается весь трафик на 53 порту и отправляется на роутер).

Интересно, что мешает РуСтору использовать собственные статические записи DNS или принудительно использовать DNS-over-HTTPS или DNS-over-TLS для своих доменов...

в том что DoT/DoH можно тоже отследить и...заблокировать? Ну и бустрапить ж надо. А статику - как тогда обновлять?

А есть ли смысл статику обновлять? Думаю, ничего не мешает ВК выделить на долгий срок парочку IP-адресов чисто для телеметрии.

"Может втихаря поставить" по вашему равно "обязательно поставит по воле товарища майора"? ДА? Паранойю свою лечить не пробовали?

Вот например ГуглПлей. Я захожу на сайт на компьютере, говорю "поставь мне на телефон (или на телевизор)" такую-то программу. Гугл делает вжух, и эта программа устанавливается. На телефоне в этот момент я ничего не делаю.

С точки зрения телефона, - это инициатива гугла.

Давайте теперь дружно бросимся паниковать, что господин мейджор какой-нибудь из ЦРУ не навставляет всем шпионских программ? Или Сергей Брин не захочет чего-нибудь помайнить? Копеечка к копеечке, знаете ли.

Я захожу на сайт на компьютере, говорю "поставь мне на телефон (или на телевизор)" такую-то программу. Гугл делает вжух, и эта программа устанавливается. На телефоне в этот момент я ничего не делаю.

Вы серьезно считаете, что тут на Хабре сидят такие идиоты, которым можно впаривать такую безграмотную чушь на уровне детского сада? Если вы на каком-то сайте (на каком сайте-то? play.google.com что ли?) дали команду что-то установить на свое устройство - вы сами, осознанно в этот момент совершили действие в своем аккаунте гугла - в котором вы, очевидно, должны быть залогинены, чтобы "сайт", а на самом деле сервис гугла, понял, на какое именно устройство что-то устанавливать - действие, авторизующее гугл на совершение определенных манипуляций с доверенным устройством. Действие, которое полностью эквивалентно тому, как если бы вы сами нажали на кнопку install в магазине приложений на телефоне. С "точки зрения телефона" (у телефона есть точка зрения?) это не "инициатива гугла", это действие в активном аккаунте пользователя, совершенное им самим.

В то время, как в описанном случае доверенным является приложение, которое таким же образом вполне может ставить другие приложения, не обладая никакой авторизацией от имени пользователя. ОС телефона имеет пометку "вот эта софтина может творить все что угодно", при этом проверить, действительно является ли это действие авторизованным, она не может - у нее нет связи между вашим гуглоакком на телефоне и внешней системой, гейтом которой софтина является. Именно поэтому при выдаче разрешения install unknown apps андроид выдает экран с обязательным 10-секундным таймаутом и галками "да, я ТОЧНО согласен, что даю вот этой софтине полный и абсолютный доступ к установке чего угодно на свой телефон". Проблема в том, что в случае предустановленности как системного приложения из коробки софтина имеет это разрешение изначально, и отозвать его может быть нельзя, а доверия к софтине, позволяющего думать, что она такого ну точно не сделает - ровно ноль.

С “точки зрения телефона” (у телефона есть точка зрения?) это не “инициатива гугла”, это действие в активном аккаунте пользователя, совершенное им самим.

Как телефон понимает, что это “действие в активном аккаунте пользователя, совершенное им самим”? И как отличает его от такого же, инициированного гуглом?

У вас есть тотальное доверие к приложению гуглплей. И вы ему дали полный и абсолютный доступ к установке чего угодно на телефон. (А попробовали бы вы не дать...)

А ещё на телефоне может быть предустановлен каталог самсунга или хуавея. Тоже с правами ставить что попало.

И у них нет связи с гуглоакком, а у гугла - с акком самсунга.

Чем технически рустор, который вы сами установили, или который был предустановлен наряду с сервисами гугла, - отличается от этого?

И телефон не имеет точку зрения. Телефону гугловский сервер послал команду, телефон её выполнил. Но благодаря вашему тотальному доверию к гуглу вы знаете (считаете, надеетесь), что гугловскому серверу команду отдали вы.

Пишу в былинной нити.

простите не совсем по теме.
тоесть макс он может втихую установить и обновить..
а все остальные лядские приложения надо нажать 50 подтверждений чтобы он их просто обновил.....

Еще один анальный зонд...

Помню время, когда тем, кто предполагал подобное, рекомендовали надеть шапочку из фольги и пойти полечиться.

Надо, наверное, беречь старые телефоны.

А новые рассматривать только те, которые позволяют разлочить загрузчик и накатить кастомную прошивку.

Кстати, с Ali еще можно что-то заказать без всей этой малвари? ?

Разумеется, это все паллиативы, да. Проблема не техническая.

Старые телефоны - старые уязвимости.

Кстати, с Ali еще можно что-то заказать без всей этой малвари?

Именно без этой — можно. Но там будет аналогичная китайская. Так что перешивать все равно придется.

А какие крупные вендоры сейчас лучше всего позволяют разблокировать загрузчик?

У Realme более-менее нормально?

На Xiaomi&Poco после перехода с MIUI на HyperOS стало как-то совсем глухо :( Я для честной глобалки Poco X6 Pro так и не смог достучаться до разрешения.

заграничный телефон при втыкании российской симки может накатить весь этот скам. имею такой опыт.

И это понятно и логично. Производитель требования соблюдать обязан, делает в глобальной прошивке IF на российскую симку - включает накатку приложений.

Выход - заграничный телефон без потенциальной продажи тут.

Он сегодня без а завтра пришло обновление и привет рустор скам и тындекс браузер.

А новые рассматривать только те, которые позволяют разлочить загрузчик и накатить кастомную прошивку.

Это в целом не добавит безопасности. Если взять и разобрать любое коммерческое приложение - запрещенограмм, вк, фейсбук, любой крупный банк (не только РФ, но и по миру), приложения ритейла и транспорта, ... - там будет точно такая же картина. Шпионят и крадут данные все поголовно, просто с разным уровнем скрытности. А без этих приложений телефон неюзабелен, так как он сейчас, фактически, пульт к реальности.

Да, вы правы.

Но для жителей РФ российское spyware опаснее.

>>10 лет назад, из дискуссии, задумчиво глядя на залепленную жвачкой фронтальную камеру телефона у оппонента:

-- Зачем?

-- Не хочу, чтобы за мной подсматривали.

-- Понимаешь, Саша, параноики не пользуются смартфонами. Тру параноики не пользуются мобильной связью вообще. Паранойя должна быть последовательной. А у тебя не паранойя, а какие-то ролевые игры: здесь играем, здесь не играем, камеру залепил, но у тебя аккаунт в "В Контакте" и почта на mail.ru...

-----

Следят все, надо просто минимизировать риски. Если на телефоне 100 зондов, это не повод добровольно вставлять себе 101-й и наиболее охреневший и стремный.

Я вот с опаской смотри на российские linux, думаю: а что запихнули туда? Пока не очень актуально, в силу небольшого охвата, но все же?

«А вот у них там…». Ну не «у них», это глобально для всех. Поэтому смотреть что у них там важно и нужно. Ибо последствия. Поэтому, даже несмотря на законы в некоторых странах явно заставляющие засовывать зонды, последствия оказываются сильнее. Что просто постоянно и происходит. Сейчас зондирование сильнее, да. Тенденция хреновая

Т.е. про «у них» не все равно.

Но переключать фокус с «у нас» на «у них» это максимально тупо. И дело не только в наличии чего-то зондоподобного. А в том, что оно опасное просто для всех. И в отличии от «у них», «у нас» не будет никаких последствий. Еще один способ «пробива за 3 копейки». Не в самом ВК, просто by design.

Очень полезная статья и показывает всю суть приложений, которые хотят иметь доступ к каждой минуте вашей жизни и зарабатывать на этом, зная все ваши маршруты, контакты и много чего еще. Но, как понимать "Ха как вам идея реверсить по одному русскому приложению в месяц пока они не позовут меня к себе работать..." - автор, получается непрочь сам делать такие приложения, просто сейчас без работы", работа в финтехе - все компании в этом секторе используют различные способы слежки и работать у них, помогать им в этом

Даже такой реверс-инжиниринг может кому-то надоесть и подберут статью "по вкусу".

На хабре открывают понятие “шутка”…

В комментах потерялся главный вывод, что без привилегированного статуса это все как молдавский вирус.

Ну так этот "вирус" прекрасно работает.

Люди своими руками ставят себе RuStore. Ведь там столько всего нужного!

Он настойчиво требует разрешений - они добровольно дают.

пока они не позовут меня к себе работать...

Опасайтесь медовой ловушки :) Позовут, сладко в уши нальют, как-будто даже денег предложат, только потом после всех подписей мёд окажется говном, и скажут что Вы не пчела, а муха.... Тот, кого нельзя называть, не любит слишком умных.

Если что, я вот это вот всё осуждаю, и жаль что не удалил Рустор раньше. Просто хочу уточнить для прояснения: насчет скрытой установки приложений (не только Макс ведь) - может это сделано для того, чтобы проще загружать приложения из "обязательного списка" на устройство, которое официально предназначено для продажи в РФ? Или такой процесс как-то по-другому организован... Это разумеется никак не снижает опасности такой фичи для пользователей.

Осталось ответить на вопрос: зачем их так загружать.

обязательно сообщите, когда будет делать что-то более гадкое чем гугл, сяоми, хуавей.

Свастики не пощу, за словами в интернете слежу, закладки не ищу, не понимаю чего бояться из перечисленых топик-стартером "уязвимостей". Ощущение будто недовольны те, кто и телефоном не пользуется и не видят всего ада маркетплейсов приложений и предустановленных производителем ОС, а остальные - кому нужно пользуются кастомными прошивками.

Чтож..это в очередной раз доказывает что отечественное ПО от крупных компаний является вредоносным..собственно даже правительство об этом ранее заявляло ...

Неспроста так требовали:

обязательно предустанавливать!

Не то будет ата-та!

После такой статьи начинаешь задумываться, что вообще не стоит иметь смартфоны.

А с дамбфонами разве дела лучше обстоят?

Отчего же.

Есть Lineage, есть Graphene. Да много чего.

Нужно иметь смартфон, принадлежащий тебе. А не Сяоми, Гуглю, Ябблу, Хуавею...

Да, это сложно, но пока что возможно. :)

На крайний случай останется вариант с планшетом на linux (есть уже варианты даже на risc-v) + сотовый wifi роутер в рюкзаке.

Большой брат решил стать ещё больше и уже мягко просовывает свою ручку по самый локоть в заветное место

По стандартам безопасности любого адекватного магазина приложений по типу Fdroid или Auroraoss - тихая установка нового ПО без явного согласия пользователя - это абсолютно недопустимый произвол.

Не совсем понял что это значит. Aurora Store -- это оболочка над Google Play, там нет никаких проверок (кроме проверок от Гугла).

Автору статьи респект за ворошение этого осиного гнезда. Могу накинуть пару вещей дополнительно от себя.

Я сам занимаюсь безопасностью мобильных приложений и один из моих проектов - это изготовление “обезвреженных” модификаций приложений, т.е. я беру исходное приложение и патчу в нём все возможные мутные точки сборы данных (контакты, локация, информация об устройстве, идентификаторы, список приложений итд) подменяя данные на случайные/фейковые, при этом полностью вырезаю из манифеста разрешения на доступ вообще и байткод который это делает. Также вырезаю СДК для массовой слежки, фингерпринта, антифрода и прочего вредительского мусора “для вашей безопасности” (с). Вырезаю всякие хитровыкрученные способы тихой передачи данных между процессами в одной экосистеме для слежки, запуска процесса в фоне отложенными задачами, пушами, и т.д. Также я встраиваю в приложения своего рода “фаервол”, в котором приложениям принудительно ограничивается доступ в сеть и оставляется возможность ходить только на разрешённый “белый” список хостов (забиваю его руками под каждое приложение сам, обычно хватает вбить один или несколько эндпоинтов бэка). В общем, пишу вот такие разные обработчики, которые позволяют мне быстро брать, кидать в конвеер apk файл, автоматически очищать приложение от лишней грязи и получать на выходе уже чистый, “обезвреженный” apk файл, который можно уже спокойно ставить на устройство.

Приложение Рустора, среди прочих, также попадало мне на операционный стол и я тоже запомнил его как приложение, очистить которое от корпоративного мусора было не самой простой и быстрой задачей.

Там действительно много разных встраиваемых для массовой слежки СДК, и даже не все из них упомянуты в статье. Если с Касперским и так всё понятно, то лично мне больше остальных в плане масштаба, наглости и бессовестности сбора данных запомнилось СДК от компании “Кибертоника” (страна должна знать своих героев).

Более того, одно из встраиваемых для массовой слежки , если я правильно помню, как раз упомянутое мной выше, от Кибертоники, использовало для отправки собранных данных грязный трюк - данные отправляются на тот же самый хост, на котором живёт и основной бэкенд Рустора, просто по отдельному пути в урле. Как я упоминал выше, у меня есть инструмент, который позволяет достаточно точно и гранулированно резать сетевые запросы, и вырезать этот шлак у меня также получилось, но вот обычные адблокеры здесь попали бы в патовую ситуацию - они ЛИБО вынуждены были бы полностью блокировать и бэкенд и слежку, ЛИБО пропускать и то и другое.

Далее хотел бы честно отметить пару вещей, которые в статье немного перераздуты:

Во-первых, геолокацию запрашивает не сам рустор, а как раз один из СДК для массовой слежки встроенный в код приложения. Ответсвенность с них за затягивание к себе зависимости с этим вредоносным функционалом это не снимает, но чисто технически сам Рустор геолокацию напрямую не использует, по крайней мере та версия которую когда-то смотрел я. Из приложения можно и даже технически очень просто вырезать байткод этого СДК и разрешение на доступ к геолокации из манифеста, и всё продолжить спокойно работать, никаких проблем.

Во-вторых, на абсолютном большинстве устройств Рустор в действительности НЕ имеет возможности ставить какие-то приложения без согласия пользователя. Это просто технически невозможно без предустановки приложения в качестве системного. Да, приложение действительно содержит код, который пытается проверить было ли приложение поставлено вместе с прошивкой как системное и были ли ему выданы специальные системные пермишены на установку пакетов без подтверждения (как у GooglePlay), если это так, то оно попытается этими возможностями воспользоваться. Да, сейчас вроде как администрация пытается давить на поставщиков смартфонов чтобы они зашивали ряд российских приложений себе прямо в прошивку, и если оно поставлено именно так, то тогда подобная атака возможна. Однако, во-первых, я лично такого никогда не видел (впрочем, не берусь утверждать что такого совсем не бывает), а, во-вторых, эти вещи тоже достаточно легко вырезать из байткода и оставить в нём возможность ставить пакеты только с согласия пользователя, что мне и пришлось сделать в случае Рустора.

Если честно, посмотрев на то, какой объём функционала пришлось удалить из приложения Рустора просто для того, чтобы им можно было пользоваться, у меня возник закономерный вопрос. Так уж получилось, что взаимодействие между приложением Рустора и бэкендом достаточно простое, краткое и удобное, и я подумал - а может проще просто сделать для Рустора клиент с открытым исходным кодом? И оказалось что такая светлая мысль не одному мне пришла в голову, и нашёлся хороший добрый человек, который уже взял и сделал это. Ссылочку здесь уже кидали, повторяться не буду, ищущий да найдёт по ключевому слову “OpenStore”. В общем, по итогу, я сам пользуюсь именно этим решением и всем его рекомендую вместо неблагодарного процесса обезвреживания официального приложения от Рустора.

А вообще, удивительно как заходят Хабру статьи с разбором массовой слежки от российских компаний. Написать что-ли пару аналогичных разносов с техническими подробностями и советами как всё это обезвредить? :)

  1. Очень надеюсь, что вы таким хобби не изнутри РФ занимаетесь...

  2. Не пробовали предложить эти кастрированные вами версии разместить на Fdroid? Или вы только для личного пользования?

Я не думаю, что это такое уж необычное хобби. В конце концов, на 4пда есть аналогичные модифицированные версии буквально любых приложений. Мой подход отличается всего двумя моментами: стремлением к полной автоматизации процесса, а с этим, соответсвенно, возможности выпускать версии быстро, и прозрачностью. В настоящий момент я делаю приложения только для себя и пары знакомых, т.к. у меня пока что не до конца приготовлен второй аспект, та самая прозрачность.

Основная проблема любых подобных модификаций в том, что если вы ей пользуетесь, то вам необходимо доверять автору мода, т.к. в теории он может вставить в приложение что угодно. Это довольно серьёзная штука, т.к. есть люди кто вырезает из приложения лишнее и делает его полезнее и безопаснее для людей, а есть те, кто наоборот вставляет вредоносный функционал, и провалидировать качество мода неподготовленному человеку - очень не просто. Близкие люди знают меня, знают подпись, которой я подписываю пакеты, и знают с кого, в случае проблем, спрашивать почему что-то пошло не так.

Мне же интересно добить функционал именно с полной прозрачностью, т.е. с тем, чтобы у случайного человека, который лично меня не знает, необходимости доверять конкретно мне не было, а чтобы вместо этого у него был прозрачный открытый код модификатора, какой-то DSL, в котором декларативно описываются изменения, затем они этим кодом выполняются, сверяются по хешу и/или подписи с тем, что сделал я как автор мода, и всё это выполняется на каком-нибудь автоматическом пайплайне, вообще без моего участия. Соответсвенно, ничего злонамеренного вставить в процесс я даже в теории не могу, повлиять на сборку тоже, а значит подобному доверять можно.

Сборки я раньше выкладывал на свой селфхостед фдроид репозиторий (действительно отличный, удобный способ распространения подобных приложений), но сейчас пока что его свернул. Вообще, под такие приложения лучше не держать постоянные каналы распространения, а делать это именно на каких-то CI/CD пайплайнах, т.к. выкладывая в ФДроид репу вы технически "распространяете" копию, и до этого можно докопаться юридически, а вот за опубликованный способ, которым теоретически возможно сделать изменения в байткоде, которые в итоге делает конкретно только для себя какое-то конкретное физлицо - нет. Обычно, в 99,9% случаев такие моды никакие компании не интересуют, но по мере растягивания "Окна Овертона" в части нормализации массовой слежки во всём мире, скатывания глобального, когда то свободного интернета в странные олигополии, беспрецедентного роста бессовестности компаний и, как следствие, возможно, роста популярности вот таких вот модов, с этим вполне могут начать бороться. Пока что борются, например, только с модами приложений, которые связаны с финансами (условно, приложение Мирпей и подобного ему уровня) - вот там да, почти моментально понабегают юристы, которые начинают гавкать на площадки, вроде 4пда, где подобное обычно распространяется

Если найдёте способ выйти на публику, дайте знать. Я бы с удовольствием начал использовать. Даже платно.

один из моих проектов - это изготовление “обезвреженных” модификаций приложений, т.е. я беру исходное приложение и патчу в нём все возможные мутные точки

можете написать статью подробную про это?

Кажется, действительно стоит довести уже этот проект до ума и опенсорса. Выглядит так, что в наши времена это действительно становится нужно, даже широкой аудитории

Написать что-ли пару аналогичных разносов с техническими подробностями и советами как всё это обезвредить?

Это было бы замечательно!

Rustore и Макс не люблю, но кто голосует за эти нейрослоп-статьи?!

я проголосовал. высокий рейтинг у таких статей говорит тем, кто считает себя хозяевами, что как бы нас ни гнобили, мы всё это НЕ принимаем

Они и так в курсе, что вы не принимаете. Да на вас оно и не рассчитано)

че за мем я в этой статье ии вообще не юзал, буквально где угодно пропусти - оно покажет что статью писал НЕ ии, при этом ты не можешь опровергнуть не один аргумент из статьи

а просто так говорить что статья написана ии без доказательств это = неувожение =

Ну у тебя несколько пунктов относится к авто обновлению, эта функция никак не скрыта в приложении - я её просто не включаю. Да и не вижу в ней опасности, не может он переустановить поверх приложение с подделанной подписью.

По поводу сбора статистики ни встроенного антивируса тоже не пойму в чем проблема, сейчас это норма.

Почему у меня такое отношение к статье - частое упоминание Макса, ощущение, что больше для хайпа. Макс выполняет по умолчанию главную свою задачу - хранит всю переписку и файлы в открытом виде для доступа спец служб в любой момент, то что оно там что-то ещё пытается выследить - это не его основная задача.

Сейчас каждый месяц в топе статьи а-ля инструкция по установке впн для домохозяйки - которая ей никогда не воспользуется и разбор кода макса от чатжпт...

Всё, мне пора идти на завод)

Ну у тебя несколько пунктов относится к авто обновлению, эта функция никак не скрыта в приложении - я её просто не включаю. Да и не вижу в ней опасности, не может он переустановить поверх приложение с подделанной подписью.

полный бред, статью чем читал. У меня был всего один вопрос - почему он авто обновляет приложения скачаные не им а каким то другим способом ( допустим из того же плей маркета )

По поводу сбора статистики ни встроенного антивируса тоже не пойму в чем проблема, сейчас это норма.

тоже самое, просто статью прочитай

Почему у меня такое отношение к статье - частое упоминание Макса, ощущение, что больше для хайпа. Макс выполняет по умолчанию главную свою задачу - хранит всю переписку и файлы в открытом виде для доступа спец служб в любой момент, то что оно там что-то ещё пытается выследить - это не его основная задача.

"основная задача репака игры с вирусом быть игрой а не взломать ваш пк"

Сейчас каждый месяц в топе статьи а-ля инструкция по установке впн для домохозяйки - которая ей никогда не воспользуется и разбор кода макса от чатжпт...

ха а тут факты, регай

ни в коем случае не защищаю эту помойку, но при использовании этого магазина приложений более 2 лет ни одна прога/игра не устанавливалась без моего ведома. работа в фоне отключена

Задолбали эти бесплатные пиарщики MAX-а. Без этих обличительных статей все бы уже давно думали, что оно сдохло и забыли. Пенсионерки, ставящие себе MAX и прочие рядовые водители камазов, которым вообще плевать на безопасность, этих статей и не читают никогда, а аудитория хабра вынуждена лишний раз видеть рекламу MAX. Аудитории хабра давно ясно что эту пердь не надо ставить себе на смартфон, все уже хотят перестать слышать про эту помойку, но нет - как ни зайдёшь. а на главной в ленте снова реклама Макса. Главный принцип рекламы - продолжать обсуждение продукта, что вы успешно и делаете. Оттенки, с которыми вы его обсуждаете глубоко не важны, реклама работает.

Сдохло?! Примерно 9/10 моих знакомых его установили. Кого обязали, кто для связи с родственниками, кто и идеологически (есть такие). У меня оно живёт в рабочем профиле, но появилось - во-первых, я организую пару локальных активностей, и некоторые доступны только в махе. Во-вторых, некоторые блогеры, которых я читаю, сделали резервные каналы - и я подписан.

Настолько впечатлился, что зарегистрировался чтобы оставить комментарий. Надеюсь, вы троллите, когда просите Рустор взять себя на работу. Ну и в российской компании после такого как можно работать (так-то после 24.02.2022 не стоит, но технарям часто пофиг)?

С Вашими знаниями и способностями вы найдёте приличную работу в приличной стране!

А Google Play реверсить не пробовали ? Неужели там ничего нет примечательного :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации