Комментарии 100
Производитель решил, что "этот вызов ОБЫЧНО используется для того чтобы (или прямо перед тем как) получить картинку — ну значит будем выдвигать камеру". Вероятно, это даже могло быть самым лучшим решением потому, что, например, выдвигание камеры на другом вызове могло бы заставлять пользователя ждать перед снимком пока камера выедет.
Это самое логичное объяснение учитывая, что браузеры должны спрашивать пользователя если код сайта хочет получить доступ к картинке с камеры, звуку, сенсорам движения, локации и прочему. И если он этого не делает (а не делают этого целых два браузера на разных движках) — скорее всего из JavaScript действительно запрашиваются только какие-то метаданные, которые не требуют разрешений.
Мой внутренний параноик говорит, что он был бы рад, если бы разрешения запрашивались даже на получение метаданных :)
А вообще, если смотреть на разрешения на уровне Android, то к этому некоторое движение есть. Если вспомнить детализацию разрешений в Android 4-5 и текущих версиях — сейчас стало гораздо подробнее. На одно только использование стореджа минимум два разрешения есть.
Хотя не все проблемы решены. Например, всё ещё очень неочевидно для конечного пользователя выглядит запрос разрешений из группы «location» для того чтобы, скажем, подключиться по Bluetooth к чему-то или посканировать Wi-Fi сети.
неочевидно для конечного пользователя
Сканируя сети ПО может определить локацию пользователя в городе достаточно точно, по мне так все логично. Ну или добавлять еще одно разрешение.
Для него это не очевидно.
Логично != Очевидно.
UPD: Чуть поясню.
Человек, который не понимает того как устроено API и система разрешений может из-за такого подумать, что вполне добросовестное приложение хочет за ним следить.
Я к тому, что здесь тоже есть поле для улучшений.
А тут палка о двух концах. SSID и вышки это более чем данные о местоположении. Раньше их можно было получать без разрешения о местоположении. Плохо. Теперь работа с WiFi явноттребует разрешение на местоположение. ИМХО намного лучше, хотя и не очевидно
В этом и была идея — дать понять пользователю, что запускаемое приложение узнает его местоположение.
Видимые телефоном сети показывают его с довольно высокой точностью.
Внутреннему параноику стоит поставить на телефон XPrivacyLua.
Возможно, да, стоит.
Но суть поста была немного в другом :)
Правда? А я в этом не уверен. Сегодня это скрипт гугла, совершенного безобидный и чисто случайно так жёстко обфусцированный. Сегодня это чья-то ошибка. Допустим. А что будет завтра? Думаете, имея возможность собирать отпечатки, подслушивать и подсматривать, все компании вдруг остановятся и скажут сами себе "не-ет, так не годится, что же мы в самом деле делаем, нельзя же так с пользователями поступать, срочно перестаём собирать приватные данные на всех, до кого можем дотянуться"? Ну вот и я так не думаю.
Суть этого поста может быть только в одном: спасение утопающих дело рук самих утопающих. Кто не защитит себя сам, того не защитит никто. Никакие законы и штрафы не остановят крупные компании вроде гугла (частично потому, что они сами лоббируют эти законы, частично потому, что законы везде разные, частично потому, что имея хороших юристов и регулярно совершая "технические ошибки" можно иметь глубоко в виду те законы, которые мешают им жить).
github.com/ElderDrivers/EdXposed
github.com/M66B/XPrivacyLua
Неоднократно замечал контекстную рекламу по поводу разговора рядом с телефоном на настольном компе.
Совсем свежая ситуация: сегодня ночью долго не мог уснуть, т.к. жена храпела и несколько раз пришлось её будить. В конце концов решил посмотреть новые сообщения по подписям в Ютубе, телефон с Андроидом (Samsung) лежал рядом, на тумбочке. Сразу, после запуска приложения Ютуба, получил контекстную рекламу — средство «Антихрап»!!! Пора на микрофон ставить механический выключатель, иначе — если нечаянно пукнуть около телефона — получим рекламу активированного угля! Нет, большой брат за нами не следит, это так, случайно совпало!
Хм, у нас на работе есть проект с QR-ридером, написанном в такие бородатые года, что даже в андроид-эмуляторе плашка "Вы можете двигать камеру клавиатурой" не статично горит, а мерцает примерно с частотой обновления экрана.
Интересно, насколько сильная дискотека будет, если её натравить на девайс с такой выдвижной камерой %)
Пару лет назад исследовал эту тему в контексте рекламного трекинга, и в айоси обычно была такая комбинация:
Со стороны браузера — юзер-агент (версия ОС, язык, примерный размер экрана)
Со стороны приложения после установки — версия ОС, язык, размер экрана, при наличии пермишенов геопозиция
В обоих случаях — часовой пояс, айпишник.
Со стороны приложения уже давно не прокатывает использовать какие-либо штуки типа мак-адресов (постоянно возвращается пустой), UDID (private API), не очень работает advertisingIdentifier (можно выключить или сбросить).
Это просто предположение или в указанном скрипте используется этот enumerateDevices?
Я что-то тоже не смог продраться через обфускацию гугла.
А это по умолчанию настройки Firefox или нет?
Мне просто интересно, блокируя google analytics и яндекс.метрику, они осознают, что роют себе могилу?
Вот есть типичный сайтик, который что-то продаёт или конструктор чего-либо. Выпускают они апдейт, который почему-то в продакшне сломался на Firefox. Тут команда аналитики видит в проде падение конверсий на конкретном браузере, смотрит в вебвизоре что пошло не так, фиксит.
Без аналитики никто не узнает, какого хрена там делают пользователи Firefox и что у них там отваливается и не работает. В сумме с небольшой рыночной долей браузера получится, что половина веба в итоге не будет на нём работать.
Только что зашёл, проверил — работает в Firefox (звонки только не проверял). Всё, что для этого нужно — подменить User-Agent, напр. через расширение Header Editor:
P.S. я теперь притворяюсь тупеньким, раз компании так не нужен я как клиент, ну и ладно. Модифицировать агент браузеру «это сложна», регулярки тем более XD Telegram просто работает, притом на медленном «могильном» интернете он работает, а Skype нет.
P.P.S. а тупеньким я притворяюсь потому что у «простых людей» тоже всё должно просто работать без необходимости манипуляций.
Говорят, когда-то давно браузеры отправляли специальную строку User-Agent, чтобы сказать веб-серверу, что это за браузер, и веб-сервер мог понять, с каким браузером проблемы. К счастью, это всё ужасы прошлого. Все браузеры отправляют одно и то же фиксированное значение, нет никакого бардака, только порядок: о том, какими браузерам пользуются люди, можно узнать у Google.
А зачем дебажить через аналитику, если для отлова ошибок есть Sentry?
Понятно что на заборе тоже написано, но в данном случае я склонен верить. Могли бы и не писать ничего совсем ведь.
При её открытии с телефона у меня выехала передняя камера. Блокировка по лицу отключена. На камеру, браузеру, права были даны. Я написал им в twitter, ответа не последовало.
Мы в курсе, да :'(
Работаем над этой ситуацией.
Тут у нас столкновение интересов технарей (которые, как и вы, не любят лишнюю фигню, которая блокируется uMatrix'ом) и редакции, которым очень нужна аналитика.
Но переговоры ведутся и компромисс не за горами.
А всё-таки красиво это выглядит на видеоролике из статьи.
Зашёл на роскомсвободу, улыбнитесь, вспышка, вы в базе ;)
А как думаете вы?Я бы попытался копнуть далее — пропустить трафик аппарата через прокси и отловить какими файликами и куда он пуляет.
Общий посыл в том, что практически невозможно отловить передачу таких данных. А сами фотки, конечно, никто так воровать не будет — палевно и очень большой трафик тратился бы впустую => юзер мог бы заметить/просто подумать, мол ну нафиг ваш браузернейм, у меня вон соседнийбраузернейм трафика в 10 раз меньше жрет
Блин, с этими выезжающими камерами ж получается, что линукс не нужен теперь! Вместо пеки на линуксе с CD-приводом можно теперь мобильник использовать, чтобы кнопку перезагрузки на сервере с виндой нажимать! :)
это старая шутка.
Соль её в том, что есть сервер на windows, который постоянно зависает, но ходить в серверную и перезагружать его — лень (а IPMI нету). Чтобы решить этот вопрос — рядом ставят сервер на Linux/BSD, который НЕ зависает, и делают скрипт, который выдвигает лоток CD-привода (а тот, в свою очередь через костыль нажимает на кнопку reset у вендового сервера.
bodqhrohro пошутил, что теперь для этого не нужен целый сервер на Linux (и вообще Linux), а можно использовать смартфон с выезжающей камерой.
Так-то!
// Всегда ваш, К.О.
А комментарии мне нужно обновлять…
А если еще не серьезно. Не люблю всякие девайсы, которые могут работать от собственной батареи. Только системник, только хардкор. Форева!
Можно батарейку выковырять и сделать питание от розетки только. Будет высокотехнологичный проводной телефон :)
Что будет, кстати, если заклеить камеру, чтобы она не выезжала? Как на видеокассетах выломанную для защиты от записи заглушку опять заклеивали. Зависнет, сломается или проигнорирует?
Напомнило ещё, как на сайтах вставляли , заставляя старые браузеры внезапно шуршать дисководом. История по спирали развивается.
Упс, последние два комментария должны были в корень улететь, а подцепились тоже сюда. Зарепорчено.
Потыкал код и ссылки из поста и комментов, так и не воспроизвёл выезжание камеры ( Oppo Reno.
stackoverflow.com/questions/21762076/why-does-gmail-use-eval
В iPhone есть такая фишка, что если при включённом фонарике зайти в камеру, то фонарик выключится. Таким способом на мой взгляд, может отслеживать в какой момент приложения используют камеру. Например сейчас обнаружил, что при открытие приложения Тинькофф, фонарик гаснет, если в настройках отключить разрешение для камеры, то фонарик при входе в приложение остаётся гореть.
Ну, банковские приложения вообще как только не трекают, оправдывая это тем, что им нужно однозначно удостовериться, что операцию проводит настоящий клиент.
Только вот если бы потом они не торговали этой бигдатой, и не утекала бы она в неизвестном направлении…
// косой взгляд в сторону зелёного банка
P.S. это возможно поскольку везде сейчас SOC используются (т. е. всё железо в одной микросхеме буквально).
И в самом деле, негоже если скрипт в браузере способен творить непотребное бесчинство.
Наверняка это обыкновенный недочёт.
Нет причин полагать обратное.
Оставлю это тут.
Скрытая активация камеры браузерами: Большой Брат или технологический просчёт?