Комментарии 40
Интересно, насколько нужно быть бесстрашным, чтобы свои дампы трафика куда-то там краудсорсить?
А так прикольно узнать, насколько интернет не анонимен на личном опыте, наверное :D
Ценный материал, хоть и перевод. Кто-нибудь проверял приложения из наших широт?
А как вы решили проблему (если вообще решили) с SSL Pinning? Некоторые приложения его используют и отказываются работать если замечают подмену сертификата.
P.S. Только заметил, что это перевод
Года 3-4 назад обходил SSL Pinning с помощью Frida, чтобы посмотреть трафик приложения одного маркетплейса.
сейчас даже нашёл перевод инструкции на русский - https://github.com/redzumi/android-frida-ssl-pinning
Но не знаю, работает ли на более свежих андроидах такое.
Просто не надо постоянно включенной геолокацию держать. Она у меня всегда выключена и включаю только если надо карты открыть / такси заказать
Многие приложения запрашивают доступные WiFi сети, уже этого достаточно зачастую чтобы определить ваше местоположение пусть и не с точностью GPS.
Уже лет 5 для этого нужно всё равно включить геолокацию. Без этого ни вайфай ни сотовые вышки не получить.
"Гениальное" решение от гугла. Теперь любое приложение, которое хочет работать с блютузом, просит геолокацию. И попробуй определи - оно ему действительно надо только для блютуза или чтоб сливать геоданные? А разработчикам приложения - докажи что не олень.
Так было году ещё эдак в 2016
И попробуй определи - оно ему действительно надо только для блютуза или чтоб сливать геоданные?
Не поэтому же. Оно показывает, что включение bluetooth == включение геолокации. Потому что по тому, что именно вокруг по bluetooth видно - приложение может эту самую локацию определить. Ввели как раз после того, как такое происходить стало и народ начал возмущаться 'как же так, я же ничему доступу к локации не давал, а оно почему-то знает'.
А разработчикам приложения - докажи что не олень.
Вот именно. Тебе действительно связь нужна, или просто хочешь вокруг 'осмотреться' и разные маячки (bluetooth устройства с уже известными координатами) увидеть?
1. Чтобы по блютузу определить геолокацию - недостаточно его включить, нужна еще база с расположением известных точек, причем регулярно обновляемая. А ее нужно откуда-то взять.
2. Допустим работа с блютузом - основная функция приложения. Как можно запретить ему включать GPS? И наоборот - запретить навигатору блютуз. И как разработчикам и первого и второго приложения доказать что их приложения действительно делают только то, что декларируется, а не пополняют базу из п.1?
Вообще надо давать минимум разрешений и пользоваться огнестенкой. А геолокацию я включаю, только если заблудился)
Трекеры они такие, да. Собирают всё до чего можно дотянуться, включая местоположение, серийники, имена точек подключений и даже список софта, если дадут. Вот поэтому в телефоне просто обязан быть firewall, и многим приложениям, кому это не жизненно важно, надо просто запрещать выход в сеть. К сожалению, firewall по умолчанию отсутствует и это только провоцирует подобные проблемы с утечкой данных.
Только firewallы были построены на vpn, а теперь он нужен для другого. Хотя может быть вы знаете такой полноценный?
Ситуацию с iOS не знаю, но в android штатного нет, а из предложений - только фильтр на базе vpn, что выглядит коряво, хотя бы потому что нельзя запустить второй vpn (кто-то решил, что подключенный vpn может быть только один). Поставить более полноценный сторонний firewall можно только на рутованный аппарат.
AFWall?
Требует рута, не все рутуют свои телефоны(а зря)
Нерутованный телефон сложнее, чем рутованный и эксплуатируемый обычным пользователем, который не глядя даёт разрешение всем и на всё.
Из-за рута может, например, отваливаться оплата. Устройство не проходит проверку SafetyNet — ваш *Pay отваливается.
Я так года с 19 до недавнего времени рутовал телефоны, но месяца два назад сдался: MirPay в очередной раз обновился и обновил методы защиты, а фиксы, которые вышли в течении месяца у меня не работали. Так что всё же пришел к варианту с удобствам и меньшим контролем.
Да и ещё помню у AFWall были какие-то проблемы с корректной работой на Андроиде 11-12-13. Но, возможно, ошибаюсь и перепутал с чем-то.
Лично я считаю оплату NFC несекурной. Даже не из-за технических возможностей кражи, там примерно как с картой, а потому что мне не нравится подход "вся жизнь в телефоне". Телефон можно потерять, его могут украсть, его можно разбить и т.п; вообще подумываю завести второй телефон чисто для авторизации, неправильно это - вводить пароль и получать код подтверждения на одном устройстве, к которому злоумышленник может легко получить физический доступ. Впрочем, я согласен, что мой сценарий использования телефона нетипичен для большинства пользователей)
Нет, вполне нормально работает на 11 и 12, на 13 не тестировал.
Правильно, поэтому многие не пользуются оплатой через нфц,а просто устанавливают карты-стикеры на чехол либо используют чехлы с кардхолдером под классические карты. Это конечно же сильно секьюрнее
Кстати, если проводить аналогию с репродуктивными органами, то вы рискуете сильно больше;)
Это конечно же сильно секьюрнее
Буратино, ты сам себе злейший враг! Помните, как умерла электронная почта? Чтобы ее сохранить, требовался ряд простейших действий от большинства пользователей. Сейчас по тему же принципу помирает классическая мобильная связь. Почему отношение ко всему остальному должно отличаться?)
Используемый вами способ безусловно безопаснее, только вот неудобнее, это я про своему опыту могу сказать точно: два телефона у меня уже имеются. И идея идти в два часа ночи, обычно в это время мне приходит светлая мысль зарегистрироваться/зайти на какой-то не сильно нужный сервис, за телефоном с 'мусорной' сим-картой становится очень печально. Ещё печальнее, если сервис какой-нибудь важный и идти точно надо.
Периодически думаю на тему того, чтобы схлопнуть всё в один телефон, но пока ещё не собрался.
За уточнение касательно файрволла - спасибо. Видимо, я ошибся.
А много ли существует приложений которые могут автономно работать?
Чтобы получить список приложений не нужно разрешения от пользователя же, достаточно permissioon в manifest. Только Google play только более внимательнее к таким приложениям относится. Если из APK ставишь, то никто и не запрещает этот permission добавить в apk
Мне у принципе плевать отслеживают мое положение или нет. Мне скрывать не чего.
Это очень спорное утверждение.
Вам есть что скрывать. Огромное количество информации о вас может и будет использовано против вас. Даже если вы святой, и вас не за что посадить( во что верится слабо, учитывая концепцию расплывчатых законов по всему миру - всегда есть за что присесть).
Как минимум вас можно развести если знать ваши слабости и болевые точки.
Вопрос с сбором данных он всегда не столько о "нечего скрывать", сколько "а к кому это попадет?".
Если атака таргетированная, то в принципе не важно, насколько озабочен цифровой гигиеной и безопасностью, в конце концов, бить людей разводным ключом придумали давно. А вот как можно использовать нетаргетированную информацию о положении - не очень понимаю.
Я знаю, что мои личные данные, в том числе весьма свежие, слиты в нелегальные БД. Без моего участия, по структуре данных до поры было вполне очевидно, что утекают они от страховщиков ОСАГО. Менее вероятно, что из ГИБДД, но тоже может быть. Кроме описанных в статье вариантов, я имею представление о ещё множестве способов собрать информацию обо мне. Я знаю, что любой сетевой "умный" прибор может быть бэкдором в мою локалку. Я сам могу сделать такой прибор. И т.п.
Поэтому тут три варианта. Первый вариант поведения: абсолютное большинство граждан понятия не имеют обо всём сказанном, живут себе и не парятся. Имеют один пароль на все ресурсы, дефолтный пароль на роутере и т.п. И лишь небольшая их часть становятся жертвами атак. Причём не потому, что легкомысленно относятся к собственным данным, а потому что не обладают достаточным критическим мышлением.
Второй вариант: некоторая осмотрительность. Зачастую уже требующая определённой технической подготовки. Использование генератора и хранилища паролей, надёжный пароль на нём самом, настроенный файрволл в домашней сети, отдельный vlan для всякой китайской хрени (это уже для большинства за гранью), и т.п. А если есть ценности, представляющие достаточно серьёзный интерес, то надо думать об охранных функциях.
Третий вариант: паранойя. И тут попытки ограничить доступ к геолокации отдельно от других мер всё равно что воду в сите носить. Надо отказываться от большинства удобных современных сервисов (а лучше от смартфонов вообще), никаких умных колонок, умных домов, современных авто, банковских карт и т.п. Всё это будет требовать очень немалых временных затрат. Тогда, если паранойа действительно имеет основания под собой, практически наверняка человек занимается чем-то этаким. И тогда ему больше стоит боятся не утечки геоданных, сколько крепких мужчин, которые его найдут по старинке, наружным наблюдением.
Для абсолютного большинства граждан, которые просто живут, просто работают, пусть даже зарабатывают серьёзные деньги - куда важнее прокачивать критическое мышление, чем скрывать свои геоданные. У этого большинства геоданные совершенно скучны, по одному и тому же графику дом-работа-магазин-дом с небольшими девиациями. А самое интересное, что может быть - это поход к любовнице/ку. Нижеприведённый сценарий с отделением соцстраха нафиг никому не нужен, достаточно знать возраст человека. А это всё уже давно в соответствующих БД, только если вы не повёрнутый параноик со стажем минимум лет 30. Криминал безо всяких геолокаций профиль построит кучкой иных способов.
Отследят, что вы были сегодня в отделении соцстраха в определённое время.
После чего мошенники организуют атаку, основанную на этом знании, и вы будете уязвимы перед ней, поскольку действительно обращались туда.
И так далее.
Кроме того, криминал может построить ваш профиль "где и когда бывает, когда дома отсутствует" и тд.
Мне скрывать не чего.
Опубликуете прямо здесь в ответ на этот комментарий в открытом для всех посетителей хабра виде свой домашний адрес, место работы, должность, годовой доход и номер счёта в банке?
Если нет - а в личку мне то же самое опубликуете?
Можно немного подушнить насчет хайпового заголовка? "Все", "где", "ты" - эти понятия надо уточнить. "Все" - какая доля приложений? Входят ли сюда те, кому я легально дал разрешение на локацию (к ним вопросов нет), или вообще все без каких-либо разрешений сливают? "Где" - насколько точно, где? точность GPS координат ограниченная, как можно вычислить кокнкретную квартиру многоэтажного дома? "Ты" - а имеют ли они привязку к личным данным, типа ФИО, паспорта и т.п.? скорее всего, не более чем привязку к IP, и много ли это даст?
Все знают, где ты находишься — можешь убедиться сам