Комментарии 225
Спасибо за статью. Никогда не сомневался, что весь интернет - это "открытая страна" и создан исключительно для надзора, ещё и "за счет клиента". "В рекламных целях ид андроида"? ну-ну.. )
По сути это функции бэкдора в приложениях, гугл должен их все немедленно забанить.
И впредь не разрешать открывать сокеты без отдельного согласия.
Это никакой не бэкдор, автор просто упоротый (о чем любезно поведует его ник), и впаривает какой-то инфомусор, сгенерированный дипсиком, приправленный какими-то больными метафорами и воплями.
1) Приложение запукает на хосте (сиречь на Андроиде) tcp/udp сервер, открывает порт, делает LISTEN. Абсолютно ничего незаконного, это суть архитектуры клиент-сервер.
2) Юзер открывает в браузере специальный сайт, который загружает JS-код, которые берет куки с этого сайта и шлет их рандомно на рандомные порты(поскольку порты в диапазоне 1000-65535 могут быть заняты любым приложением/службой.
3) Приложение получает куки через лупбэк (хотя скрипт на странице мог эти прекрасно выслать на любой адрес в сети вообще, если ему это нужно)
4) Автор жжжолтой статьи на Хабре кричит "ужос", все пропало, нас взломали!!! Ахтунг!
Реально народ, читайте книжки, хотя бы "Компьютерные сети" Таненбаума и его же "Современные операционые системы", и будет вам счастье. А то смешно, внук у бабушки удалил все ярлыки с рабочего стола, стопудово хацкер.
Ваще в вашем стиле можно оправдать любой зловред. Это ведь суть архитектуры исполняемых файлов - быть исполненными.
Но если по делу - в п.3 как раз ключевое отличие:
3) Приложение получает куки через лупбэк (хотя скрипт на странице мог эти прекрасно выслать на любой адрес в сети вообще, если ему это нужно)
да, можно выслать хоть куда, но какая от этого кукиса польза с приватной вкладки (т.е. обезличенной).
Вместо этого кукис шлётся на локальный порт в аппку где пользователь уже авторизован, и вот приватная кука обрастает связью с вполне себе реальной учеткой.
И тут кстати можно граф связей принадлежности учеток к одной личности выстраивать, если в браузере будет залогинена учетка А, а в приложении - учетка Б.
Начать надо с понимания, что если вы запускаете у себя приложение конторы, которая живет за счет слежки за пользователями, то вы добровольно продаете ей себя. Тем более, если оставляете его крутиться в фоновом режиме.
Полностью понимаю желание продаться как можно меньше, но плакать "какие злодеи эти (вставить нужное), как они заманили меня сервисом и хитро впарили мне рекламу" - ну такое.
А как на счет предустановленных сервисов и приложений от яндекса (а сейчас на многие устройства они установлены сразу из магазина)? Нет, можно конечно снести, но не каждый это умеет или хочет заниматься, и вот пользователь вроде бы и не хотел, но все равно продался получается...
Хотя я не знаю, работает ли сервис яндекса на постоянку, если не запускать его приложения. Если не работает, то мои придирки беспочвенны.
Android удаляет разрешения у установленного приложения, если им не пользуешься. Подходит?
А этот механизм вообще работает на всё предустановленное? Просто на планшете родственника какой-то сервис яндекса без рута не удалить (конкретное имя не помню, не вчера было). Я так понимаю данный сервис достаточно глубоко в системе, есть подозрение что на него такая политика не распространится.
Он удаляет только всякие геолокации-видео-камеры. Базовые фичи типа доступа в сеть он не удаляет.
Тут никакие разрешения не нужны
Android удаляет разрешения у установленного приложения, если им не пользуешься
Описанный в статье механизм не имеет ограничений со стороны операционной системы - его нельзя разрешить/запретить.
не знаю, работает ли сервис яндекса на постоянку, если не запускать его приложения
Когда у меня было "Яндекс-Такси", "не запущенное" приложение что-то пыталось слать на свой сервер каждую минуту (не фигура речи) ¯\_(ツ)_/¯
скрипт на странице мог эти прекрасно выслать на любой адрес в сети
Мне кажется, вы не поняли суть проблемы. Отправить на адрес можно, но бесполезно. Тут речь про связь куки с аккаунтом пользователя в приложении.
ps блин, а может вы так злобно пишете, тк вы из фб/яндекса?)
автор просто упоротый, и впаривает какой-то инфомусор, сгенерированный дипсиком
Вы бы хоть сначала разобрались, кто именно авторы исследования, прежде чем позориться. Подсказка: это исследователи из IMDEA Networks (Испания), Университета Неймегена (Нидерланды) и Лёвенского университета (Бельгия)
Кстати, серьезность проблемы, обнаруженной в исследовании, подтвердили и разработчики бразуеров, начав оперативно выпускать фиксы для этой уязвимости.
Юзер открывает в браузере специальный сайт
Не "специальный сайт", а один из сотен тысяч популярнейших сайтов, на которых есть маячки Меты или Яндекса
оскольку порты в диапазоне 1000-65535 могут быть заняты любым приложением/службой.
Об этом есть в статье. Исследователи не обнаружили ни одного популярного приложения, которое бы слушало эти порты на локалхосте, кроме приложений Меты и Яндекса.
хотя скрипт на странице мог эти прекрасно выслать на любой адрес в сети вообще, если ему это нужно
Для нужных им целей - не может. У них в данном случае заадача - сопоставить незалогиненного или инкогнито пользователя в браузере и залогиненного пользователя в приложении.
Реально народ, читайте книжки, хотя бы "Компьютерные сети" Таненбаума и его же "Современные операционые системы", и будет вам счастье
К вам это в первую очередь относится. Пока что вы своим комментарием демонстрируете уровень скрипткиддиса начитавшегося в 2000-х низкопробных статеек в журналах и форумов уровня средней школы. Повышайте свой уровень и не больше не позорьтесь.
приправленный какими-то больными метафорами и воплями.
Пока что истерика только у вас в комментариях. Это случайно не вы разработчик или менеджер Яндекса, который сделал эту штуку, и теперь сильно обижен, что оказался пойман за руку? :)
лично мне немного не хватило в статье именно такого простого последовательного объяснения. А не как это описано тут во вступлении.
незаметно слушают определенные локальные порты в целях отслеживания.
Тут вообще может создаться впечатление что мониториться весь проходящий трафик. Пожалуй изза "тонкостей перевода" термина "слушать".
Потом то я конечно понял суть проблемы (и немного офигел) - как раз в стиле @bigbamblbeeи получилось.
Пожалуй изза "тонкостей перевода" термина "слушать".
ну, "слушать порт" - это вполне нормальная и общепринятая терминология (калька с английского listen) среди разработчиков сетевых приложений.
но соглашусь, для непосвященного пользователя может быть не совсем понятно.
Только корректнее переводить будет "слушать на порту", чтоб таких недопониманий не возникало.
Слушать порт это устойчивое выражение. Оно корректно само себе.
Да тут по большому счету все вполне корректно
Нет. Это то же самое, как если сказать "Ихний это устойчивое выражение. Оно корректно само себе". Широкое применение неграмотной формы не означает её корректности.
Как, вы думаете, составляются те самые словари, из которых вы сделали вывод о «некорректности»?
Скрытый текст
Постфактум они составляюся. Если значительное количество людей будет говорить «ихний», то и в словарях это отразится.
(Уходя в оффтопик) Ну вообще-то определённая доля насилия со стороны стандартизаторов всегда есть. Например, исключение формы "ложить" из всего ряда (положить, разложить, etc.) - выглядит совершенно неестественно. Я за неимением точных данных верю в легенду, что её исключили, чтобы задавить выражение "ложить х.й". Впрочем, не помогло, тот же предмет стали класть, а не ложить:)
И исключение формы "ихний" немного логично при проблемах выбора - как правильнее "ейный" или "еёный", как писать "егойный" и т.п. - легче оказалось всё скопом запретить, чем разбираться.
Или, почему "февраль" принят в стандарт, при исходном ближе к "феврарь" (Februarius с византийским переходом б->в), а "колидор" - не принимают, изволь говорить "коридор".
Или почему "протвин", которое ближе к исходному Bratpfanne, не допускается, зато стандартизовано "противень", которое выглядит искусственным выгибоном.
Примеры можно долго продолжать.
Но для сейчас важнее отсутствие путаницы из-за коллизии смыслов. В этом смысле "слушать порт" не вносит никаких нежелательных смыслов по сравнению со "слушать на порту". Я, когда сам "генерирую" высказывание, пользуюсь скорее вторым, но если говорят в первом стиле, могу повторить вслед.
вы бы посмотрели какие коментарии оставлял везде этот упоротый тип
начав оперативно выпускать фиксы для этой уязвимости
Не соглашусь, что это уязвимость браузера. Веб архитектурно задуман так, что браузер может тянуть скрипты хоть откуда, и делать запросы хоть куда. Потом стали добавлять ограничения, но выглядит это как полумера и костыль, периодически протекает то тут, то там.
Я встречал случаи, когда браузер взаимодействует с локальным приложением через сокет, и это нормально, потому что приложение именно для этого и предназначено.
А вот приложение для вызова такси никак не должно обмениваться данными с браузером.
Следующим шагом приложения будут обмениваться приватными данными между собой. Или давно уже это делают.
Мне кажется, большинство защит данных работают в основном на юридическом уровне. То есть, в законе должно быть написано "не провязывайте куки с другими идентификаторами!", а если такое будет обнаружено, прилетит неплохой иск. Технически реализовать обмен данными не так уж сложно - оборвут локалхост, будут класть на какой-нибудь внешний сервер и резолвить по IP и временной метке. Неэффективно и неточно, но at scale вполне работает.
Давно уже обмениваются... Достаточно в одном приложении яндекса войти в аккаунт как он появится во всех установленных приложениях...
О, коллега, вы тоже из Яндекса?
Если бы все было так просто и "легально", фейсбук не отключил бы весь этот функционал сразу после публикации.
>ОБНОВЛЕНИЕ: По состоянию на 3 июня, 7:45 CEST, скрипт Meta/Facebook Pixel больше не отправляет пакеты или запросы на localhost. Код, отвечающий за отправку файла cookie _fbp, был почти полностью удален.
Лучше бы фаервол сделалил бы на Андроиде, а постойте...
Я всегда с недоверием относился к приложениям
Последние 5 лет, когда всякие скидочные и клубные карты заменили - "ставьте наше приложение" - вообще беда. Заправка - приложение, Продукты-аптека-кафешка-ресторан - приложения. И каждое сидит в фоне и постукивает домой, кушая аккум и приватность. Зато крутые "веб-разрабы" нашли себе работы, взрастили рынок и паразитируют с всё более и более абсурдными "приложениями".
Кстати, на десктопе при попытке обратиться к 10.0.0.0/8 получал
Access to script at from origin has been blocked by CORS policy: "The request client is not a secure context and the resource is in more-private address space
private.
и не знал как его обойти.
Приложение "Яндекс.Слежка" утекло в сеть.
Тема "Что об это думает Google" не раскрыта.
хотелось бы знать как ВК что-то узнает, когда ему не разрешён микрофон, а после разговоров во время чая, он начинает слать рекламу на тему разговора
В первую очередь это феномен Баадера-Майнхоф.
Плюс если кто-то из участников чая гуглил или упоминал в переписке тему разговора до или после этого разговора, то заматчить его и других участников (та же самая геолокация, та же самая вайфай-сеть рядом, или просто частые контакты) элементарно, и дальше вступает в игру тот же самый упомянутый выше феномен.
>В первую очередь это феномен Баадера-Майнхоф.
Контекстная реклама в подавляющем большинстве случаев не ведется "по площадям", она потому и контекстная. Скорее всего вам не покажут рекламу отелей на Кубе, если вы не интересовались туризмом на Кубу хотя бы косвенно. Тем более уж если вы совсем не занимаетесь туризмом. Если вам показывают узкоспециализированную контекстную рекламу - гораздо разумнее предположить, что каким-то образом рекламная сеть решила, что это вам может быть интересно, чем предполагать что некто вдруг решил слить рекламный бюджет на нецелевую аудиторию.
Ваши контакты в том же городе/районе интересовались туризмом на кубе? А вдруг вы вместе думаете поехать? Не удалось продать им, может быть получится продать вам?
У меня буквально на днях был такой случай: чистил зубы, и заметил, что у одного из них повышенная чувствительность, если надавить ногтём, сделал себе заметку в голове купить специальную зубную пасту. На следующий день мне эту пасту впервые в жизни рекламировали на ютубе, хотя никакой возможности отследить мою заинтересованность не было. Я не носил мобильник в ванну, ни с кем не обсуждал эту проблему, ещё не успел зайти в магазин. Просто такое совпадение.
Или не совпадение.
Стоматология как раз не особо узкоспецилиазированная тема. Как вам такой пример - ко мне в гости зашел друг, и сказал что у него умерла кошка. Вечером РСЯ показывала мне рекламу кремации домашних животных, которых у меня в принципе нет и не было последние 10 лет. Единственное что приходит на ум помимо прослушки - друг подключался к моей точке доступа Wi-Fi.
В первую очередь это феномен Баадера-Майнхоф.
Классическая отговорка, похожая на то, когда кого-то тыкают носом в реальный подтвержденный фактами заговор, а он начинает верещать, что "вам к доктору вы верите в теории заговоров".
Функционал прослушки потока есть на всех трех экосистемах голосовых помощников - и у яблока, и у гугла, и у яндекса. Та же Алиса еще и шутки шутит местами, особенно часто, когда разговор идет о военной технике в ее присутствии - неоднократно лично проверял - вроде на вид всё закрыто (но нет - навигатор был свернут, однако не закрыт). Другой вопрос, что на сервер поток не передается, насколько понимаю, анализ идет в мелкой локальной нейросетке и на сервер уже уходят метаданные о том, что удалось распознать.
Люди просто не выключают ГП, вот он и слушает. Еще он встроен в пачку приложений, и может слушать оттуда. Гугл и Сири вообще частично сидят в специально отведенном для них ULP проце и слушают всегда без значка микрофона, если включены. ИЧСХ, это нормальный функционал ГП.
Читайте внимательнее. Вопрос выше был не про голосовые помошники, а про обычные приложения, которые вообще не имеют доступа к микрофону, но тем не менее успешно проворачивают все эти рекламные трюки (потому что их можно провернуть гораздо проще другими способами вообще без прослушки).
Ну а сам феномен действительно существует, нравится вам это или нет. Вон чуть выше хороший пример уже привели. И не забываем про бритву Оккама.
Этот ULP способен распознавать лишь только несколько жёстко заданных фраз типа "окей гугл", чтобы активировать помощника, который уже слушает по обычной схеме. Иначе бы батарейка высаживалась за час.
В том-то и дело, что фактов постоянной прослушки нет. Есть только здравый смысл, который говорит, что если бы:
микрофоны постоянно писали звук и речь анализировалась на устройстве, это бы создавало большую нагрузку на процессор, что в свою очередь отображалось бы на жизни аккумулятора.
микрофоны постоянно писали звук и отправляли его для анализа на сервер, это бы создавало большую нагрузку на сеть, а большое количество траффика легко отследить.
Ничего из этого нет - ни постоянной нагрузки на процессор, ни постоянного потока траффика на сервер.
Вычленение отдельных фраз типа "Ок гугл" или "привет сири" действительно происходит локально, но ввиду очень небольшой вариативности этих фраз, большую нагрузку на процессор это не создает.
Я недавно обнаружил, что приложение GBoard по умолчанию льет в интернет порядка 50-100 мб в сутки. Кто это замечает, за исключением тех, кто целенаправленно полез в стату?
Я недавно обнаружил, что приложение GBoard по умолчанию льет в интернет порядка 50-100 мб в сутки
Такие объемы может элементарно лить самая обычная обезличенная телеметрия, особенно если она криво реализована.
самая обычная обезличенная телеметрия,
говорите... их бы посадить.. на 2g интернет 64кбит, и пусть пользуют свои творения.
Может. Но может и что-то другое. Технически в указанный объем можно уместить несколько часов голосовых записей. Я не говорю, что это так и есть, я показываю, что аргумент "да такой объем трафика легко заметить" - слабоватый.
Это уже какая-то катана Оккама, отрубающая всё, что не устраивает.
Даже за счёт нисколько не добавляемой гипотезы, что в чуть ли не самом используемом приложении телеметрия криво реализована. (Да, Гугл делал веб-интерфейс своей почты с оценкой "на троечку" (из сотенки), но вроде уже исправил.)
Даже за счёт нисколько не добавляемой гипотезы, что в чуть ли не самом используемом приложении телеметрия криво реализована.
Скажем так, я работаю в компании, приложениями которой тоже пользуются миллионы людей по всему миру. У нее тоже есть свои механизмы "телеметрии", и я своими глазами насмотрелся, как криво там иногда все может быть сделано, даже когда приложения "топовые", а клиенты очень серьезные. Поэтому ничуть не удивлюсь, если с Гуглом все так же (к тому же Гугл с его ресурсами может себе позволить такие косяки).
у меня на тарифе всего 1Г, я бы давно увидел такой расход траффика. Открыл статистику - 16 Мегабайт за последние 30 дней всего лишь на вай фай и 16 килобайт на мобильном. Интересно что у вас там настроено в Gboard.
Почему бы создавало-то? Вот на лекциях я частенько запускаю на планшете приложение "Диктофон", до четырех полуторачасовых порций за день - и ничего, ни загрузки проца заметной, ни высаживания батареи, даже повербанк не нужен на день. Жмётся именно речевой трафик тоже хорошо уже много лет, тут качества музыки не нужно.
А вот что сайт ВК на компе в проигрывании музыки мне звуковую рекламу операций по коррекции зрения выдал на следующий день после приема у офтальмолога, где я спросил насчет операции по глаукоме, а планшет был в сумке - вот такой факт я наблюдал.
после приема у офтальмолога
одного этого факта более чем достаточно, и никакого распознавания речи не нужно.
Вот на лекциях я частенько запускаю на планшете приложение "Диктофон"
это обычный диктофон или "умный", с превращением звука в текст и анализом этого текста для сравнения с базой рекламы?
А вот что сайт ВК на компе в проигрывании музыки мне звуковую рекламу операций по коррекции зрения выдал на следующий день после приема у офтальмолога, где я спросил насчет операции по глаукоме, а планшет был в сумке - вот такой факт я наблюдал
это все может быть объяснено другими факторами - от феномена Баадера-Майнхоф, до того, что рекламная сеть узнала, что вы посещали офтальмолога, получив GPS-координаты, которые передал ваш телефон, если на телефоне стоит какое-нибудь сотрудничающее с этой рекламной сетью приложение, что использует геолокацию.
где я спросил насчет операции по глаукоме, а планшет был в сумке
тем более, что качество записанной из сумки речи вряд ли будет таким, чтобы можно было что-то полезное разобрать.
Фактов нет - потому что всё анально огорожено, и вся псевдобезопасность устроена именно для затруднения исследования внутряка. Реверс огромных обфусцированных бинарей стоит миллиончики вечнозеленых минимум, туда можно совать любой левый функционал, и никто никогда его не найдет, а если вдруг - ну найдут стрелочника, маркетингу отмазываться не впервой.
Использую периодически нейросетку BirdsNET - голоса птиц распознавать. Не сказать, что оно жрет хоть сколько-то значимое количество проца и батареи. А еще эту сетку завернули в отдельное устройство для размещения в лесу, довели его потребление до 100мА в среднем - и это любители на коленке...
Это я к тому всё, что на телефоне, при наличии акселератора, можно уложиться в пакет 25-50мА - никто ничего не заметит. Телеметрии идет много, плюс-минус пару лишних рестов погоды не сделают. А еще нам не надо распознавать речь полностью, для нужд маркетинга нам нужно только ловить отдельные ключевые слова в небольшом количестве - задача очень сильно удешевляется по энергетике.
Я когда-то тоже искренне верил, что на основе наших разговоров под нас же формируют контекстную рекламу, ибо была пара казалось бы невероятных совпадений.
Но! Потом как-то раз схватил за один день три таких уже совсем невероятнейших совпадения, причём таких, которые никак не привязать к прослушке смартфонами, микрофонам в розетках и козням рептилоидов маркетологов, что стал сильно сомневаться (впрочем, это не значит, что прослушки не существует).
Подумалось, что если бы нас слушали (особенно близко к дедлайнам), то интернет заваливал бы многих из нас рекламой всяких разномастных дилдо и услуг дам с пониженной социальной ответственностью. )
Я правильно понимаю, что любая страница, которую открываешь в браузере, сидя в домашней сети - может подключиться к любому другому устройству в этой сети если на нём нет пароля: видеокамерам, файлопомойке и по списку?
На JS можно аналог nmap написать на сканирование всех адресов и положить его в воркер чтобы в фоне работал. Чужие скрипты на сайте зло.
Я помню лет так 15 назад упоминания случаев, когда вредоносные сайты пытались стукнуться на адреса типа 192.168.0.1 и стандартными паролями типа admin/admin для популярных моделей роутеров, и потом открывали telnet доступ наружу или еще что-то нехорошее делали.
20015 год кажись.. Прокладка домашней сетки от Ростелеком, ибо в частный сектор Нск больше никто заходить не захотел. Роутер "только наш", ну ок. Захожу и .. первым делом меняю admin/admin на своё .. на следующий день связи нет. Перезвон с поддержкой: верните дефолтный пароль или нам придется поменять роутер.. Защита, говорите? ну-ну.. ) Давно, надеюсь чито-то изменилось с тех пор..
Нам очень жаль, что у вас сложилось негативное мнение о работе компании, мы внимательно относимся к обратной связи. С каждым днём мы совершенствуемся, улучшая пользовательский опыт.
жесть какая то. ладно когда отказываются работать с нестандартыми роутерами потому что это надо разбираться где нажимать, и то к у меня есть для этой цели простой роутер "для мастера" чтобы по быстрому потестировать связь, а микротик можно потом настроить. но и даже это уже не "только наш" - навастривают мой роутер.
с другой стороны когда он ИХ тогда и проблемы должны быть только ИХ ;)
надеюсь чито-то изменилось с тех пор
появился протокол TR69 по сути официальный бэкдор
Гуглите "NAT slipstreaming"
более того, если этот браузер chrom , edge и некоторые другие то условному сайту доступны usb, bluetooth (плюс еще midi как отдельная сущность). можно даже сменить прошивку если устройство такое поддерживает
Для этого надо явно дать в браузере разрешение на использование WebUSB и подобных API, втихую не получится.
А можно на js написать как нить скрипт который кнопку подтверждения сам нажимает?
в целом же, я например наблюдаю пользователей которые бездумно кликают кнопку "подписаться на уведомления" на сайте в результате смартфон гремит уведомлениями не переставая, 150 уведомлений удалил в браузере. т.е. разрешение это дадут бездумно даже не представляя что через браузер можно понатворить всякого, он дает такую возможность.
А можно на js написать как нить скрипт который кнопку подтверждения сам нажимает?
Будь это возможно, в разрешениях не было бы смысла.
А можно на js написать как нить скрипт который кнопку подтверждения сам нажимает?
Из клиентского JS со страницы нельзя нажимать кнопки нативного интерфейса браузера за пределами этой страницы. Более того, они обычно даже в отдельном процессе обрабатываются, насколько я помню.
Ответ сложнее и интереснее, чем может показаться.
Во-первых, открывать голые TCP/UDP соединения браузер всё-таки не позволит (если только через расширения конкретного браузера).
Однако, http-запросы из JS куда угодно разрешены, НО! CORS не позволит прочитать ответ внутри JS, если в ответе нет явного заголовка Access-Control-Allow-Origin: XXX. Да, в wireshark очень чётко видны открывающиеся TCP-сессии, запросы от браузера и радостные ответы локальных сервисов. Тем не менее:
остаётся возможность атаки по стороннему каналу (например, замеряем время запроса к
http://127.0.0.1:5432— косвенно понимаем, работает Postgres у пользователя локально или нет);банально, всё ещё можно отправить запросы вида
PUT http://192.168.0.1/login?user=admin&password=admin&set_dns=99.99.99.99(зависит от API слушающих сервисов) — ответ нам вообще не важен, мы просто в лоб передаём в запросе нужную информацию слушающему сервису. Именно такой вектор обмена информацией рассматривается в статье.
Для меня лично стало неприятным сюрпризом, что
даже в современных браузерах есть возможность напрямую из песочницы обращаться к локальной сети и выполнять такой жирным пласт запросов (пусть и чаще всего односторонних);
и что CORS всего навсего блокирует ответы, но не запросы (что логично, но требует осознания).
Однако, http-запросы из JS куда угодно разрешены, НО! CORS не позволит прочитать ответ внутри JS, если в ответе нет явного заголовка
Access-Control-Allow-Origin: XXX
Позволит ли CORS установить websocket-подключение?
Я что-то не понимаю. Если нативному яндексмому или фейсбуковскому приложению хочется пообщаться с ихними же скриптами на веб-страничках, это удобно, конечно, делать через http://localhost:NNNN/, но вроде принципиально ничего не добавляет. С таким же успехом они могли бы общаться через свои сервера...
Тут суть в том что они "узнают" что скрипт на веб страничке и приложение с одного устройства. Без этого они "считают" что это разные устройства.
Более того, из-за того что _fbp - это first party cookie, заходя на каждый сайт один и тот же пользователь выглядит как разные устройства (если он не залогинен на фейсбуке). А таких хаком с localhost'ом они изящно обходят это ограничение.
First-party cookie означает, что она не может использоваться для отслеживания пользователей на разных веб-сайтах, поскольку она устанавливается в рамках домена веб-сайта. Это означает, что один и тот же пользователь имеет разные файлы cookie _fbp на разных веб-сайтах. Однако метод, который мы раскрываем, позволяет связывать разные cookie fbp с одним и тем же пользователем, что обходит существующие меры защиты и противоречит интересам пользователей.
Приложение знает уникальную учётку пользователя, и отдаст её сайту даже если в браузере учётки пользователя нет и вообще браузер в инкогнито.
Благодаря этому трюку "яндексмому или фейсбуковскому приложения" знают когда вы заходите на другие сайты помимо яндекса и фейсбука. И знают о ваших посещениях не абстрактно, а в привязке к вашему аккаунту (включая вашу геолокацию, историю покупок, кредитные карты, историю звонков, телефонную книгу и т.д.).
Это как посмотреть. Браузер сам является приложением, которое способно считывать с устройства идентификаторы и массу других данных. Естественно, практически все они шлют обогащенную телелеметрию своим работчикам. Т.е условный Chrome отправляет данные о вас в Google, Firefox стучит Mozilla и т.п. Но они не сообщают их в условный Яндекс - в этом как бы проблема. Трюк, описанный в статье, позволяет подтягивать данные, если пользователи выбрали чужой браузер.
Спасает ли от этой беды uBlockOrigin для Firefox for Android? Он же должен резать соответствующие скрипты.
Чем заменить погодный виджет от Яндекса? Приложение от другой шпионской конторы не предлагать ))
Есть ли аддон для ФФ или приложение, которым можно заблокировать доступ к localhost? Желательно без рута. Ну и вообще, что делать-то?
Спасает ли от этой беды uBlockOrigin для Firefox for Android? Он же должен резать соответствующие скрипты.
Да, если есть правильные правила в нём.
Новость по теме habr.com/ru/news/505804 от 2020 года, но в ней описана поштучная блокировка скриптов-сканеров, а не общая настройка.
Чем заменить погодный виджет от Яндекса?
Для себя выбрал приложение (не виджет) "Погода Гидрометцентр России".
Есть ли аддон для ФФ или приложение, которым можно заблокировать доступ к localhost? Желательно без рута. Ну и вообще, что делать-то?
Выше писал про атаку "NAT slipstreaming". В десктопном Firefox пофиксили где-то в районе 91 версии, НЯП, в андроидном эта уязвимость впроде тоже исправлена.
Теоретически, можно попробовать установить/настроить фаервол с запретом для всех приложений на доступ к localhost, я полагаю.
Только вот доступ к локалхосту вроде бы идёт мимо файервола.
Мой кент сильно параноик. Не осуждаю, но постоянно слушаю его истории. Так вот, он пользуется фаерволлом. Не помню уже каким и на какой мобиле, могу уточнить, если это интересно. Так вот. Зарубил по максимуму, но всё необходимое работает как надо. Через сутки фаервол был закрыт системой принудительно и фильтрации трафика снова нет. Он опять включил - сутки и всё. Я посоветовал копнуть логи и вот что выяснилось. Если фаерволл не активен, то ничего в логах нет. А если активен, то перед закрытием фаерволла присутствует запись об перезагрузке радиомодуля (и gsm и wifi). Сделали предположение, что кто-то настойчиво хочет интернет, а его нет. И он начинает дёргать оборудование, считая что оно зависло. Устройство кратковременно пропадает и фаерволл падает в сегфолт. Ну или оно догадывается, что виной фаерволл и намеренно рубит его. Догадываешься, Петров? (С)
полагаю должен спасать, судя из описания статьи сначала сайт тебе должен загрузиться JS скрипт с трекером от Meta Pixel/Yandex Metrica. uBlockOrigin должен блочить такие скрипты своим листом против трекеров.
Если я правильно понял механизм в статье
Чем заменить погодный виджет от Яндекса? Приложение от другой шпионской конторы не предлагать ))
Есть отличное опенсорсное Breezy Weather в F-Droid
Спасибо!
(Кстати, я в таких случаях предпочитаю качать apk'шку непосредственно из Releases на Гитхабе).
Меня забавляет, что Яндекс использует собщение через локалхост (стандартный механизм IPC для Unix систем) уже больше 7 лет, а обратили внемение на это только сейчас.
Не удивлюсь, если у них даже были публичные доклады на эту тему в русскоязычном сегменте
А что забавного? Кто-то случайно наткнулся, залезли в архив, посмотрели с какого момента. С бэкдорами процессоров та же петрушка была не так давно - нашли бэкдор, который, как оказалось, уже десятки лет существовал. Плюсом идёт и то, что в девтулс на мобиле не зайдешь по одной ф12 -> меньше исследователей.
Удачно мне статья попалась. Пару часов назад сам один инструмент для стримеров писать закончил, где данные браузер-бэк-софт-браузер через веб-сокеты передаются.
Не удивлюсь, если у них даже были публичные доклады на эту тему в русскоязычном сегменте
Найдете хоть один? Я не нашел. Сдается мне, они намеренно этот факт всячески скрывают и не упоминают.
а обратили внемение на это только сейчас.
Страница (причем видимо только при открытии на мобильном устройстве) стучится на какой-то легитимно выглядящий домен яндекса, в devtools видно что запрос не прошел... Ну, мало ли, может какой-то баг или временная проблема. То, что домен указывает на 127.0.0.1, вполне можно и не заметить - в devtools отрезолвенные IP-адреса доменов, насколько я помню, нигде не пишутся.
Самое странное тут это то что браузеры такое испокон веку разрешали. Это ж по сути огромная дырень в песочнице JS.
@ShpankovВот так вот.
Почему вообще мобильные браузеры позволяют подключаться к не стандартным портам (выше 1000)? Когда на дескторе без правок about:config доступен только с десяток стандартных портов, даже на локалхосте
Это где на десктопе такие странные ограничения? Испокон веков же всяческие веб-приложения на нестандартных портах работают, и их как-то отлаживают без правок в конфигах.
Когда на дескторе без правок about:config доступен только с десяток стандартных портов, даже на локалхосте
Нет таких ограничений. Любой разработчик во множестве поднимает локальные сервера на 8080 и окрестностях (можно и на любых других, так просто лекче запоминать) и всё работает из коробки.
У меня Firefox не давал подключить, нужно было about:config поменять
Первый раз слышу, Firefox пользуюсь с 2010 наверное. Ни на mac, ни на linux, ни на win никогда не приходилось ничего для этого разрешать.
https://support.mozilla.org/ru/questions/1083282
Каждый раз при чистой установке сталкиваюсь
Удивился, скачал свеженький Firefox (139.0.1) на чистенькую от него систему (макось), запустил пачку тестовых серверов на "яндексовых" портах - нормально по всем ходит.
Только бы в нём не работал speedtest, который замеряет скорость через вебсокет на порт 8080.
Получается «Яндекс» и «Фейсбук», по сути, взламывали конечные устройства пользователей, обходя защиту, чтобы подглядывать за пользователем даже когда пользователи явно и недвусмысленно использователи режим, который недвусмысленно означает, что пользователь хочет закрыть информацию о посещении?
Разве это не УК 272?
Никто ничего не взламывал. Использовалось то, что даёт API устройства.
Плохо что не озвучили? Плохо, но дофига чего в жизни не озвучивают. В целом глупо полагаться на анонимность в жизни. Её нет. Смирись
Когда хакер подбирает пароль, он тоже всего лишь «пользуется АПИ устройства».
Сидишь в сельском туалете, делаешь свои дела, в дырку подсматривают сотрудники «Яндекса», а когда ты возмущаешься, всё село говорит о том, что это АПИ у туалета такое и предлагают тебе смириться.
Интересно а если во все дырки пустить яд а там сотрудники были это что нарушает?
А если не яд а просто звук.Тюлилихум ааухум... ?
даже когда пользователи явно и недвусмысленно использователи режим, который недвусмысленно означает, что пользователь хочет закрыть информацию о посещении?
Между тем мобильный огнелис при включении этого режима отображает ссылку на мифы о этом режиме, по которой написано, что приватный режим таки на самом деле не является по сути приватным, ибо не обеспечивает должного уровня приватности, а всего лишь что-то там не сохраняет на устройстве, не позволяя другим пользователям потом увидеть, что вы делали. А пока вы что-то делаете, все ваши действия могут быть видны кому попало.
А так вывешивание чужих метрик и прочих подобных плюшек - канал угечки, но разработчикам сайтов начхать на вашу приватность, и они пихают на свои страницы этих шпионов, ибо им так удобно.
Я понимаю что даёт и чего не даёт приватный режим. Вот только «Яндекс» с «Фейсом» обходят то, что приватный режим даёт.
Приватный режим - это банковский суперсейф с дверцей для уборщицы и ключом от нее под ковриком. Если на эту дверцу навесят дополнительный замок с ключом у охраны, я буду не против. Но пока что есть, то есть. Яндекс с ФБ использоваливполне легальный канал связи, работавший и в приватном режиме, в злобных целях.
А вообще давно пора реализовать в браузерах нормальный приватный режим, обеспечивающий полную изоляцию сайта от системы в одноразовой песочнице и явным запросом разрешения со стороны пользователя на нарушение этой изоляции (например, на сохранение файла).
который недвусмысленно означает, что пользователь хочет закрыть информацию о посещении?
А зачем вы светили свечой в окошко хотели закрыть информацию о посещении?...
Скрытый текст
Так это моё дело — зачем я хотел.
Когда дело касается госбезопасности то это не только ваше дело, зачем вы хотели. Так они вам будут объяснять, я думаю.
Причём тут вообще госбезопасность? Давайте ещё будем запрещать мужчинам трусы носить, чтобы оружие потенциального правонарушения не прятали.
Ну вероятность этого не нулевая же. Вот есть два человека: один реальный диссидент а второй просто осторожный. Оба ходят в интернете максимально скрытно и без следов. Как узнать товаришу майору человеку, кто из них опасен? Вопрос риторический.
Это твоё право несомненно хотеть. Но у тебя нет права требовать от кого-то поведения которое ты хочешь, если их поведение не нарушает закон(*см ниже) и у вас нет договорённости. Ты можешь по своему требованию соглашаться или не соглашаться на их поведение.
Но ты соглашаешься и почему-то требуешь.. это твоя проблема коммуникации с миром.
У разработчиков есть задача от начальства/бизнеса - они решают задачу всеми доступными способами. Коль API системы позволяет взаимодействовать процессам через сокеты без прав/авторизации - они и взяли этот механизм. Ты сам в жизни используешь принцип "не запрещено - разрешено".
Соответственно априори известно что бесплатного ничего не бывает. Т.е разработчики получают прибыль какую-то с тебя(по сути по твоему согласию, когда ты ставишь их ПО).
Не хочешь быть товаром - сноси ПО которое не можешь контролировать или с разработчиками которого нет отдельного контракта у тебя. Сноси ПО и используй иные способы взаимодействия с миром.
По сайтам лазить хочешь? Подключайся телнетом(аль что найдёшь иное) к серверу, отправляй команды и читай результаты. Выбор вариантов у тебя не забирают, т.ч тут нет тоталитаризма и какого-то иного ограничения. В конце концов может не пользоваться сервисами и вообще смартфоном - кнопочный телефон наше всё.
*- связать ID аппарата с контентом - не нарушение закона. Более того формально(если подумать не эгоистично "я хочу") это обеспечение безопасности окружающих путём обнаружения/пресечения/выявления противоправных действий и наверняка какому-то закону соответствует. И это не только в РФ как бы ты или иные не хотели, но делают все.
Я уже писал, что грань тут тонкая. API системы может иметь открытые порты, но их сканирование может быть правонарушением, API системы может иметь возможность указать логин и пароль, но их перебор — правонарушение.
Так же и тут.
Не думаю, что вы можете однозначно сказать — было нарушение закона или нет.
Существует негласное соглашение, по которому функционал приложения должен соответствовать его заявленному назначению. Соблюдение этого соглашения отличает нормальное ПО от вредоносного.
Если я ставлю приложение для просмотра картинок, а оно удаляет мои данные и форматирует диск, потому что "API позволяет" - никто же не станет сомневаться, что это же вредонос?
Точно так же, когда я ставлю приложение для вызова такси, я ожидаю от него, что оно будет вызывать такси, а не "стучать" о посещенных мною сайтах. И некорректно говорить, что оно бесплатное, так как я плачу за такси деньгами, из которых агрегатор забирает свою долю.
В firefox на android в uBlock есть возможность подписаться на Block Outsider Intrusion into LAN
В ЕС Meta и Яндекс оштрафуют?
Мне интересно не то, что Яндекс за мною следил, а то, насколько сложно или легко было взломать приложения Яндекса через это отверстие?
Какой я молодец, что два года назад перешел на Brave. Интересно сколько еще раз сам себе это скажу.
Перешли на запасной режим? )
Я еще добавлю Молодец! Там в приватном окне есть Tor. Жаль только, что Leo "напрямую" не соединяется, это в Firefox'е любой ИИ на выбор.
К сожалению, brave тоже не супер. https://www.spacebar.news/stop-using-brave-browser/
К сожалению, brave тоже не супер.
Потому, что его основатель (и по совместительству тот самый автор языка джаваскрипт) выступал против однополых браков, а демократию не считает равноценной свободе. Занятная статья, в 2023 это звучало как серьезные обвинения.
Я считаю, что это достаточно важный вопрос, чтоб не поддерживать такого чувака. У меня есть друзья ЛГБТ, и я хочу, чтоб они могли женится, как и любые другие люди.
Но там и другие пункты есть, не связанные с политикой.
Самый неприятный - вставка в урлы своих трекинг айди, чтоб трекать юзеров. Рекламировать свой браузер как приватный, и при этом добавлять трекинг - это самый лучший способ показать, что на деле тебе насрать на приватность, и интересуют тебя только деньги. Особенно учитывая, с какими скамерами они постоянно имели дело (ftx, crypto.com и так далее)
По состоянию на 3 июня, 7:45 CEST, скрипт Meta/Facebook Pixel больше не отправляет пакеты или запросы на localhost.
А как Яндекс, тоже "исправился"?
Уверенное дополнение в список корпораций зла:
Microsoft
Google
Яндекс
Я правильно понимаю, что отключение рекламного идентификатора на устройстве + браузер с адблоком решают проблему?
P.S. Актуально (там про рекламу, но счетчиков и аналитики тоже касается)
Ведь несколько приложений не могут сесть на один и тот же порт, верно? Нельзя ли сделать фейковое приложение, которое будет садиться на эти порты и таким образом блочить слежку Меты/Яндекса?
А можно сделать приложение-Антияндекс и Антифб, которое будет сидеть на том же порту и слать им всякую хрень?
Как получилось что ФБ и Я используют одну и ту же технологию? Совпадение?
А можно сделать приложение-Антияндекс и Антифб, которое будет сидеть на том же порту и слать им всякую хрень?
Можно
Как получилось что ФБ и Я используют одну и ту же технологию? Совпадение?
Кто-то у кого-то подсмотрел, вероятно, а может и совпадение.
А можно сделать приложение-Антияндекс и Антифб, которое будет сидеть на том же порту и слать им всякую хрень?
в фб-шном варианте он садится на первый свободный порт из диапазона. Надо занимать весь диапазон. По большому счёту это не страшно, но можно ещё кому-нибудь помешать. Хотя, нафига этому "кому-то ещё" слушать локалхост, как не с такими же целями? ))
Слать хрень можно, но достаточно просто сбрасывать соединение или не отвечать вовсе. У Яндекса там зашифровано, причём они соль/ключи/токен/фиг_знает_что каждый раз новые передают. Вообще, интересно было бы если б кто-нибудь реверснул эту хрень. А у ФБ вообще, наоборот В приложуху передаётся инфа, а не забирается, там и хрень слать бессмысленно. Можно наоборот заспамливать приложуху фейковыми данными, если протокол хакнуть.
Как получилось что ФБ и Я используют одну и ту же технологию?
Технологии довольно таки разные, общее только сервер на локалхосте. Но это довольно стандартное решение для многих задач.
Непонятно, почему этот метод использовали только на Android, хотя технически это возможно и на iOS ? Статья дает еще один повод для лозунгов "Apple меньше другими способами следит за пользователями"
Интересно бы узнать, есть ли такой бэкдор в Yango Maps ?
Тотальный бэкдор , как в здравом уме можно установить на комп Яндекс , они же корневые РФ сертификаты ставит принудительно при установки.
Раньше они следили только через плагин Яндекс статистику где могли дотянутся , а теперь просто выпустили браузер где в ядро вшит сбор не выборочно , а вообще все.
установить на комп Яндекс , они же корневые РФ сертификаты ставит принудительно при установки.
Разве? Они же в песочнице с ними играются - https://habr.com/ru/companies/yandex/articles/655185
Собственно, проверил на маке и линухе - ничего в системный список корневых сертификатов не добавляет. Яндекс успешно открывает сайты подсовывая сертификат из своей песочницы, соседний сафари по-прежнему ругается на гб-шные сертификаты:
А что насчёт Samsung Browser? Он тоже так делает? В нём вроде встроенная некая защита от отслеживания.
Страшно представить за чем следят и что сливают десктопные приложения от Яндекс, например яндекс музыка?!
Яндекс? Никогда не было, и вот опять?
Я подозревал, что так можно сделать.
Больше всего бесит что это все зря. Я не применяю никаких мер анонимизации и Яндекс о мне знает все, но упорно продолжает мне рекламировать всякие прозрачные женские наряды.
Вероятно, Яндекс подозревает вас в фетишизме? Подумайте, вдруг это вы чего-то про себя не знаете? /s
Яндекс о мне знает все, но упорно продолжает мне рекламировать всякие прозрачные женские наряды
может жена/подруга ими интересуется?
Мне дети подарили Алису. Она стоит в зале иногда жена включает музыку. Но всякий раз когда приходят знакомые с малолетними детьми или внуками, в приложение прилетает пуш с примерно таким текстом: "обнаружены чужие дети, включить родительский контроль?". Даже если с ней никто не взаимодействует весь визит. Она слушает и она всё записывает.
Обращение в электронную приемную РКН по вопросу обработки Яндексом персональных данных без получения должного согласия можно отправить здесь: https://rkn.gov.ru/treatments/ask-question/?theme_part1=3&theme_part3=3001
Пул приложений Яндекс.Бэкдор - в вашем смартфоне найдется все!
Почему они проверили Яндекс, когда он распространен только в СНГ, а это перевод, они, по идее, про него вообще не знают?
Я думаю, они сначала обнаружили эту штуку в трекере от Meta, а потом пошли тестировать самые популярные сайты интернета, нет ли на них каких-то других скриптов, которые делают то же самое.
А учитывая, что и сам Яндекс, и Мейл.ру (на главной которого тоже стоит трекер Метрики) входят в топ-50 самых посещаемых мира, то не удивительно, что они в итоге обнаружили что трекер Яндекса делает то же самое.
Интересно, а автор сам проверял свою статью?...
C:>ping yandexmetrica.com
При проверке связи не удалось обнаружить узел yandexmetrica.com.
Проверьте имя узла и повторите попытку.
Немного магии
Вы бы свой комментарий еще через год после публикации исследования написали, когда все участники уже точно уничтожили улики :)
Во всём этом треде появился в итоге яндекс, и ответил, что это для нашей собственной пользы? Пока не вижу что-то.
Вероятно, стоит добавить примечание, что Meta признана в РФ детьми сатаны.
респект ребяткам за работу!
печально, что уроды пользовались безнаказанностью и неизвестностью так много времени...
Странно, что автор не упомянул гугл. Они этим еще лет десять назад занимались.
С одной стороны, выглядит как backdoor, но с другой стороны, а как общаться между приложениями если закрыть локалхост?
Типичный пример, протокол аутентификации PKCE: https://auth0.com/docs/get-started/authentication-and-authorization-flow/authorization-code-flow-with-pkce
Я такое реализовывал пару раз, правда для десктопных приложений, но суть примерно одна. Мне нужно получить ответ из браузера. Для этого я открываю порт на локалхост. Если браузер мне заблокирует локалхост, то как я получу ответ?
Если вдруг кто-то знает решение без использования локалхост, буду рад об этом почитать. Возможно я как-то неправильно реализовал получение токена. 🤔
Localhost-атака: как Meta* и Яндекс следят за пользователями Android через localhost