Эта статья полна лучей зла. Недавно я скачал себе Uber, и приложение понравилось мне всем, кроме того набора разрешений, которое попросило себе дать.
Список разрешений, которые нужны для работы приложения, можно узнать из файла «AndroidManifest.xml» внутри APK. Вначале мы видим только мусор:
Однако на помощь нам приходит утилита xml-apk-parser.
Теперь мы можем видеть список разрешений в явном виде:
Какого черта? Приложение для поиска такси хочет доступ к моей камере, к моим телефонным звонкам, к соседям по wifi и тому подобным вещам? Погодите, дальше веселее.
Куда все это отсылается? Зачем? Что-то я не припомню, чтобы давал кому-то в Uber разрешение читать мои SMS сообщения.
Кому интересно, может посмотреть код здесь. Особенно мне понравился метод hasHeartbleedVulnerability(). Зачем им это знать?
Идем дальше.
Видите? Stericson.RootTools
Uber проверяет, есть ли на вашем устройстве рут и отсылает кому-то эту информацию. Он также ищет разную malware, отслеживает активность некоторых приложений и занимается другими интересными вещами.
Я не делаю однозначных выводов. Возможно, я просто параноик. Будьте осторожны.
Via geronsec.com
Список разрешений, которые нужны для работы приложения, можно узнать из файла «AndroidManifest.xml» внутри APK. Вначале мы видим только мусор:
Однако на помощь нам приходит утилита xml-apk-parser.
Теперь мы можем видеть список разрешений в явном виде:
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION">
</uses-permission>
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION">
</uses-permission>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE">
</uses-permission>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE">
</uses-permission>
<uses-permission android:name="android.permission.CALL_PHONE">
</uses-permission>
<uses-permission android:name="android.permission.CAMERA">
</uses-permission>
<uses-permission android:name="android.permission.GET_ACCOUNTS">
</uses-permission>
<uses-permission android:name="android.permission.INTERNET">
</uses-permission>
<uses-permission android:name="android.permission.MANAGE_ACCOUNTS">
</uses-permission>
<uses-permission android:name="android.permission.READ_CONTACTS">
</uses-permission>
<uses-permission android:name="android.permission.READ_PHONE_STATE">
</uses-permission>
<uses-permission android:name="android.permission.USE_CREDENTIALS">
</uses-permission>
<uses-permission android:name="android.permission.VIBRATE">
</uses-permission>
<uses-permission android:name="android.permission.WRITE_SETTINGS">
</uses-permission>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE">
</uses-permission>
<uses-permission android:name="com.google.android.providers.gsf.permission.READ_GSERVICES">
</uses-permission>
<permission android:name="com.ubercab.permission.C2D_MESSAGE" android:protectionLevel="0x00000002">
</permission>
<permission android:name="com.ubercab.permission.NOTIFY_ACTION" android:protectionLevel="0x00000002">
</permission>
<uses-permission android:name="com.ubercab.permission.C2D_MESSAGE">
</uses-permission>
<uses-permission android:name="com.google.android.c2dm.permission.RECEIVE">
</uses-permission>
<uses-permission android:name="android.permission.WAKE_LOCK">
</uses-permission>
Какого черта? Приложение для поиска такси хочет доступ к моей камере, к моим телефонным звонкам, к соседям по wifi и тому подобным вещам? Погодите, дальше веселее.
public void run()
{
Looper.prepare();
InAuthManager.getInstance().updateLogConfig(this.val$URL, this.val$acctGUID);
InAuthManager.getInstance().sendAccountsLog(this.val$transID);
InAuthManager.getInstance().sendAppActivityLog(this.val$transID);
InAuthManager.getInstance().sendAppDataUsageLog(this.val$transID);
InAuthManager.getInstance().sendAppInstallLog(this.val$transID);
InAuthManager.getInstance().sendBatteryLog(this.val$transID);
InAuthManager.getInstance().sendDeviceInfoLog(this.val$transID, true);
InAuthManager.getInstance().sendGPSLog(this.val$transID, true);
InAuthManager.getInstance().sendMMSLog(this.val$transID);
InAuthManager.getInstance().sendNetDataLog(this.val$transID);
InAuthManager.getInstance().sendPhoneCallLog(this.val$transID);
InAuthManager.getInstance().sendSMSLog(this.val$transID);
InAuthManager.getInstance().sendTelephonyInfoLog(this.val$transID, true);
InAuthManager.getInstance().sendWifiConnectionLog(this.val$transID);
InAuthManager.getInstance().sendWifiNeighborsLog(this.val$transID);
}
});
Куда все это отсылается? Зачем? Что-то я не припомню, чтобы давал кому-то в Uber разрешение читать мои SMS сообщения.
Кому интересно, может посмотреть код здесь. Особенно мне понравился метод hasHeartbleedVulnerability(). Зачем им это знать?
Идем дальше.
Видите? Stericson.RootTools
Uber проверяет, есть ли на вашем устройстве рут и отсылает кому-то эту информацию. Он также ищет разную malware, отслеживает активность некоторых приложений и занимается другими интересными вещами.
Я не делаю однозначных выводов. Возможно, я просто параноик. Будьте осторожны.
Via geronsec.com
