Как стать автором
Обновить

Комментарии 335

Так а решение есть какое-нибудь, пропатчить что-нибудь, фары протереть там? Через VPN всё время не вариант.

Использовать DNS-сервер, которому отдаются правильные значения. Понятно, что российские DNS (провайдерские, нац. системы доменных имён, Яндекса и пр.) отпадают. 8.8.8.8 от Google и 1.1.1.1 от Cloudflare, что характерно, тоже отдают "embargo". То ли у них есть локальные сервера в России, то ли ещё что, тут я нюансов не знаю, не копал глубже. А вот 9.9.9.9 от quad9.net уже перенаправляет на корректный работающий домен:

$ host path3.xtracloud.net 8.8.8.8
...
path3.xtracloud.net is an alias for path3_new.qcomgeo2.com.
path3_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.

$ host path3.xtracloud.net 1.1.1.1
...
path3.xtracloud.net is an alias for path3_new.qcomgeo2.com.
path3_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.

$ host path3.xtracloud.net 9.9.9.9
...
path3.xtracloud.net is an alias for path3_new.qcomgeo2.com.
path3_new.qcomgeo2.com is an alias for xtrapath6.xboxprod.izatcloud.net.

Свой DNS-сервер в неподсанкционной юрисдикции, само собой, тем более решит эту проблему (и не только эту).

P.S. Ну и "через VPN всё время не вариант" - это пока VPN не очень умный :) Если VPN корректно роутит что надо через что надо, а не всё через одно место, - то вполне себе вариант. Другой разговор, что в текущих условиях не так просто настроить эту корректность, особенно если работать надо из разных стран.

у меня последнее время и 9.9.9.9 перестал работать...

Да вроде РКН он пока не заблокирован, но конкретный провайдер может вообще все запросы к сторонним DNS или блокировать, или перенаправлять на свой. Если постоянно включенный VPN по каким-то причинам не вариант, то DoH спасает. И, опять же, лучше свой, поднять его элементарно.

Гугл и cf активно используют anycast DNS. То что ты прописал как сервер "8.8.8.8" не значит что тебе ответит именно он. Тебе отвечает наиболее близкий к тебе сервер (тут уж не знаю, географически, или "условно", с наиболее быстрым временем отклика). А ближайший сервер может находится даже в соседнем дворе

Когда работал в телекоме лет 5 назад, у провайдеров были кеш-сервера от всяких разных фаангов. У нас гугловский ставился в разрез всех гейтвеев и запросы на свои сервисы обрабатывал на месте, в том числе и 8.8.8.8. Почему вразрез всего трафика - не знаю, то ли наши криворукие, то ли от гугла требования такие были. Фейсбуковский например ставился "в сторонке" и провайдер сам заворачивал туда весь их трафик.

Не понял, если честно, что вы хотели сказать.
Через сервер гугла проходил весь трафик, а не только гуголвский?

Да, через сервер гугла весь трафик проходил.

Да потому что до половины трафика ютуб занимает, вот и срезают сразу лишнее.
Чтобы магистральный канал не грузить.

Не совсем понятно, зачем для этого весь трафик через них проводить - гораздо проще было бы просто прописать маршруты гугловских подсетей и заворачивать на эту железку только трафик "до гугла".

Я конечно далёк от IT, но кмк железка которая будет анализировать и переадресовывать весь трафик потребуется серьёзная и дорогая.
А гугл свои сервера бесплатно предоставлял.

Эм... нет. Это самый базовый функционал любого роутера, от маленького квартирного до большого провайдерского, и более того - это происходит каждую секунду даже в операционной системе у вас на компьютере или в телефоне. Не надо глубоко "анализировать трафик", достаточно брать заголовки IP-пакетов (они идут в самом начале и у них фиксированная структура), проверять адрес по маске на соответствие маршруту и отправлять пакет на нужный интерфейс. В современных роутерах подобное вообще делается не процессором общего назначения, а специализированными чипами или FPGA, и они способны таким образом разруливать большие объемы трафика. Это вообще основа всей маршрутизации в Интернете, в любом сколь-менее серьезном провайдере таких железок десятки и даже сотни.

Я так и не понял с чем вы не согласны.
Это в любом случае сотни тысяч рублей в объёмах провайдера, которые можно легко и безболезненно сэкономить.

Вы не поняли. Это не сотни тысяч рублей. Это ноль рублей ноль копеек.
Железки, делающие это, уже и так есть в ядре сети у любого провайдера (без этих железок он не был бы провайдером), их нередко не одна, и именно ими обрабатывается весь абонентскй трафик. Добавление нескольких записей в таблицу маршрутизации на них не сыграет существенной роли в плане нагрузки, это абсолютно обычное и простое действие.
При этом такая схема гораздо более надежная, нежели "лить весь трафик в гугловскую железку" - в одном случае при отказе или проблемах на гугловской железке ляжет только доступ к гугловским ресурсам, в ином же случае ляжет доступ во весь интернет целиком.

Я зачем меня минусуют, объяснение подробное, вопрос закрыт.
Практически не ляжет. Достаточно сделать управляемые таблицы маршрутизации в зависимости от доступности этого хоста.
Возможны проблемы с доступом на несколько секунд. Потом, правда, будут некоторые тормоза из-за увеличения нагрузки на основной канал и отсутствии кэширования.

У Гугла вероятнее всего SDN на их обычных серверах. Могу смело предположить что большей части провайдеров это не нужно.

То, что вы описываете - это только маленькая часть функционала гугложелезки (или любого другого CDN endpoint). Большинство "экшена" происходит не на 3-4 (IP/TCP), а на 7 уровне модели OSI и даже выше.

Попробую вспомнить хотя бы часть сервисов, реализованных в них:
- специализированный DNS-сервер
- HTTPS-сервер с защищенным пространством для тысяч приватных ключей
- транскодер и ресайзер изображений/видео
- движок темплейтов и поиска-замены (например, расширений файлов, на которые ссылаются HTML/CSS/JS)
- кэш для скачиваемого веб- и стримингового контента
- кэш для загруженного пользователями контента
- сервис сжатия траффика (например, keep-alive популярных библиотек Web-сокетов)
- специализированные модули для поддержки популярных сайтов и SaaS-услуг
- управление постоянно (много раз в секунду) меняющейся конфигурацией вышеперечисленного
- (опционально) роутинг CDN-траффика через выделенный канал, не зависимый от каналов провайдера

Ничего из перечисленного вами не требует пропускать через себя весь траффик.

Да - конфигурация с гугложелезкой "в стороне" теоретически возможна. Только для ее реализации придется дать Гуглу управление тем самым раутером - пропускающим весь траффик. Потому что правила раутинга меняются в реальном времени - в зависимости от нагрузки (в первую очередь), разворачивания/сворачивания сервисов и так далее.

Только для ее реализации придется дать Гуглу управление тем самым раутером - пропускающим весь траффик

Вы какие-то ужасы рассказываете. Стандартный GGC, устанавливаемый у провайдеров (несколько серверов) в конфигурации без роутера Google требовал выделить им IPv4-подсеть /28 (или /27, не помню), воткнуть все сетевухи серверов в VLAN с этой сетью и поднять с ними BGP-сессию, в которой передавать им "своои" подсети, в т.ч. с различными BGP Community для возможной балансировки. Всё. Со своей стороны в BGP они ничего не отдают вообще.

Вся маршрутизация на уровне гугла - он динамически пользователям подсосовывает либо домен местног гуглокэша, либо вышестоящих. Никакого "пропускания всего трафика" и какой-либо хитрой динамической маршрутизации не требуется вообще, с точки зрения оператора это простая клиентская маршрутизируемая подсеть.

Возможно, на IX у крупняка, где гугл хотел иметь Anycast и т.п., ситуация другая, но это и не стандартный GGC как у большинства операторов уже. Причем всё еще не понятно, зачем пропускать весь трафик, если достаточно всё того же BGP, только уже с другими правилами.

Всё верно, технической необходимости пропускать весь трафик сквозь гуглокеш нету, но у нас тогда было реализовано именно так. Это был ~2017-2018 год, на мой резонный вопрос "какого хрена" тогдашний сисадмин сказал, что таково было требование гугла, хотя фейсбуковский "стоял в сторонке". Вот и задаюсь вопросом, то ли криворукий сисадмин (что вероятнее), то ли действительно тогда у гугла были странные правила (что маловероятно).

К слову, у того прова тогда гуглокеш + фейсбуккеш снизил нагрузку на аплинки на ~30%.

Нет, GGC в сторонке был и в 2017.

Там есть вариант GGC с роутером от гугла (ставят Cisco NCS 5001 или аналогичный), когда подсеть терминируется на нем, а с провайдером стандартный пиринг на /31. Но опять же - это всё еще простой пиринг по BGP.

Что значит "подсовывает домен"? CNAME? А откуда он знает, для чего делается этот конкретный DNS-запрос? И кто "подсовывает" правильный SSL-сертификат в HTTPS - ведь пользователь думает, что он обращается к оригинальному google.com (например)...
Я с Гуглом не сталкивался - а у Akamai все было намного навороченнее, там одним DNS вряд ли можно обойтись.

Что значит "подсовывает домен"

Пользователь заходит на ютуб, ютуб резолвится в европейский айпишник гугла. А уже ютуб, видя с какого IP пришел пользователь, в качестве URL самого видео отдает ссылку вида aa11-bb23.googlevideo.com/videoplayback... , поддомен aa11-bb23. - это местный кэш. Аналогично с загрузкой обновлений приложений Android с Google Play - сами файлы приложений скачиваются с поддомена местного кэша.

Бесплатный сыр - только в мышеловке, да и то только для второй мышки.

Это выгодно в первую очередь гуглу. Т.к. разгружает его каналы и серверы.

Аплинк(и) провайдера - тоже нехило разгружает. Так что тут - вполне себе win-win.

Гугловые DNS позволяют обходить блокировку, только непонятно какая локация сейчас используется.

Вот Cloudflare работает как описано и разрешает всё через локальные резольверы.

в мой vpn роутятся только те хосты и сети которые мне надо щупать не из россии. как итог скоро буду обновлять железку потому что таблица маршрутов перестала влазить в ОЗУ..

У меня частично тоже роутинг на железках реализован там, где железка достаточно мощная, чтобы не перегружать VPN-сервер. Со своего VPN-сервера раздаю по BGP маршруты железным роутерам. Но это уже дополнительное усложнение, базовый вариант - VPN в России, клиенты весь трафик гоняют через него, а он уже роутит что надо, через Европу, что не надо - напрямую.


Две проблемы последнего времени, решённые пока костылями:


1) Некоторые российские сайты российский адрес хостинга тоже банят, только резидентный требуют. Эти пока вручную заносятся в отдельный список и роутятся через один из тех самых железных роутеров (офисный).

2) Внезапно (с) выяснилось, что работать надо не только из России. При этом гонять весь трафик через соседнюю страну, например, через мобильный интернет, изрядно тормозит работу. А в других странах тоже есть сайты, активно не любящие иностранные IP. И свои аналоги РКН. В общем, вот тут приходится масштабироваться на новый уровень... геораспределённый VPN для конторы на 10 пользователей - сильно, конечно, но что делать.

Я пришёл к обратному: роутить мимо впн только российские сети, список российских сетей куда меньше списка заблокированного.

А что подразумевается под "списком российских сетей"? Просто я тоже весь трафик по умолчанию отправляю в VPN, но исключения у меня не по "сетям" (что бы это ни значило), а по доменным именам и маркировке их IP при резолве (через dnsmasq.conf). После резолва трафик на этот маркированный IP идёт уже вне VPN.
В итоге у меня штук 25 доменов-исключений всего (4 критичных к производительности, остальное - доступно только из РФ).
В итоге замедление совершенно некритичное, управлять легко.

А что подразумевается под "списком российских сетей"?

Именно это и понимается: от ip2location получается список сетей по странам, фильтруются российские, и результат скармливается nftables

Понятно, логично. (Хотя мне лучше подходит моё решение)

решение конечно рабочее, но как-то это с пушки по воробушкам ИМХО. оверхэда не много? или это в пределах квартиры а не офиса на пару сотен тел?

Оверхеда не много. Это про квартиру, конечно.

куда меньше

в целом да, но ВНЕЗАПНО оказалось что многие российские сервисы хостятся на зарубежных ip при этом пуская только с российских ip

апофеозом для меня стал sberins сайт которого доступен только с зарубежных ip а файл который с него надо скачать (лежит на поддомене, но на том же ip) только с российских.. ладно я маршрутиками разрулил, представляю как страдала какая нибудь условная "марина из бухгалтерии"

Весь этот роутинг - вообще глупость и костыли. У меня VPN всегда включен, раз в месяц отключаю, чтобы зайти на госсайты.

рад за вас
но мне для работы нужны и сервисы которые у нас заблочены и сервисы которые нас блочат, и зачастую одновременно, что предложите по 10 раз в минуту лазить на роутер и включать/выключать vpn?
ну да, это конечно проще, а главное веселее

Какие занимательные костыли, ну хотя бы не докер..

Не, мне кажется моё решение продолжит работать без замены на это.

NS-сервер на домене path3_new.qcomgeo2.com обрабатывает EDNS Client Subnet, и возвращает embargo независимо от того, где расположен сам резолвер, так что нужен какой-то резолвер, который не добавляет IP-адрес клиента в запросы.

https://dns.google/query?name=path3_new.qcomgeo2.com&rr_type=A&ecs=172.68.12.0%2F24

Хм, а что если самому эту штуку им передать, из "разрешенного" диапазона?

Извините за оффтопик, но хочется задать вопрос знающему человеку.
Я использую vpn по дефолту в системе и, если мне надо выйти в инет с айпи из РФ, я запускаю приложения, типа стима, через cgexec с настроенными cgroup. И, соответственно, отдельный чистый браузер для РФ.
Насколько это оверхед?

Вполне нормальный вариант.

Cloudflare передаёт EDNS лишь Akamai, но этот сайт выдаёт заглушку с эмбарго.

А другие ресурсы в том же Route 53 c геоблоком доступны через Google DNS и недоступны через Cloudflare, но я на всякий случай переключу всё на Quad9.

NS-серверы домена также блокируют и резолверы, расположенные в России.

В примере выше в качестве Client Subnet указан адрес резолвера Google в России, а не клиентский диапазон IP-адресов какого-либо из провайдеров РФ.

У Cloudflare есть датацентр в Москве. Однако, если использовать их VPN - Warp - а не просто DNS, то он вполне даже обходит блокировки.

Ненадежный в реалиях РФ. Варп постоянно ломается, РКН не дремлет.

Причем сам адрес xtrapath6.xboxprod.izatcloud.net резолвится на разных dns серверах в разные группы IP адресов.
Что это географическая балансировка? Или что-то еще

Варианты адресов

Сервер: one.one.one.one

Address: 1.1.1.1

Имя: xtrapath6.xboxprod.izatcloud.net

Addresses: 13.33.60.92

13.33.60.80

13.33.60.42

13.33.60.129

Сервер: dns.google

Address: 8.8.8.8

Имя: xtrapath6.xboxprod.izatcloud.net

Addresses: 108.156.22.93

108.156.22.82

108.156.22.125

108.156.22.17

Сервер: dns9.quad9.net

Address: 9.9.9.9

Имя: xtrapath6.xboxprod.izatcloud.net

Addresses: 13.226.153.103

13.226.153.3

13.226.153.109

13.226.153.91

Сервер: public1.114dns.com

Address: 114.114.114.114

DNS request timed out.

timeout was 2 seconds.

Имя: xtrapath6.xboxprod.izatcloud.net

Addresses: 13.35.125.56

13.35.125.27

13.35.125.63

13.35.125.61

При этом embargo.xboxprod.izatcloud.net в одну и ту же группу адресов

Сервер: one.one.one.one

Address: 1.1.1.1

Имя: embargo.xboxprod.izatcloud.net

Addresses: 54.70.12.181

34.215.213.136

54.70.147.98

Сервер: dns.google

Address: 8.8.8.8

Имя: embargo.xboxprod.izatcloud.net

Addresses: 54.70.12.181

54.70.147.98

34.215.213.136

Сервер: dns9.quad9.net

Address: 9.9.9.9

Имя: embargo.xboxprod.izatcloud.net

Addresses: 34.215.213.136

54.70.147.98

54.70.12.181

Сервер: public1.114dns.com

Address: 114.114.114.114

Имя: embargo.xboxprod.izatcloud.net

Addresses: 54.70.147.98

54.70.12.181

34.215.213.136

Как это вообще с точки зрения DNS?

Судя по наборам в 3-4 IP адреса 99% что это AWS CloudFront, который CDN и да имеет географическую балансировку.

Да, я уже посмотрел все IP адреса, независимо от какого DNS сервера были получены, обратно разрешаются в ****.r.cloudfront.net

Любопытно где этот механизм сидит в протоколе DNS. Потому что внутри CloudFront может делать что угодно и нам не рассказывать. Но мы снаружи от разных DNS серверов получаем разные группы адресов. А DNS сервер это вроде как RFC...
Причем даже если к одному и тому же DNS серверу обращаться через различных провайдеров (но все внутри РФ) IP адреса могут быть разные.

Этот механизм напрямую связан с изначальным вопросом поста о разрешении path3_new.qcomgeo2.com либо в xtrapath6.xboxprod.izatcloud.net либов embargo.xboxprod.izatcloud.net, в зависимости от того окуда пришел запрос.

Почитайте про Anycast DNS, плюс ниже написали про EDNS для дополнительного таргетирования по локации.

В идеале это могли бы сделать провайдеры отдавая "правильные" адреса в ответ на запрос.

Временный какой-то идеал получается. Спустя время на той стороне увидят нулевой трафик через embargo.xboxprod.izatcloud.net. (ну или как они там ещё удостоверяются в работоспособности этого "эмбарго") и найдут более устойчивое ограничение.

В иделае, провайдеры не должны вмешиваться в трафик.

Провайдеры вмешивались и вмешиваются и будут вмешиваться в трафик, как минимум чтобы обеспечить NAT или не допускать IP-спуфинг. Никакой существенной боли в том, чтобы добавить пару-тройку полезных функций, нет.

Скользкая дорожка
Полезных для кого?
Роскомнадзор вот сравнительно недавно решил что надо добавить несколько полезных (по их мнению) для всех граждан России функций.
А с точки зрения Qualcomm (и тех кто считает считает что чем больше санкций — тем лучше) вмешательство из-за которого описанное в статье работать не будет — очень даже вредное

На мнение квалкома который пакостит пользователям пофиг.

Они то причём? Наверняка "попросили" так, что отказаться было нельзя.

В данном случае — да (и логично бы в НСДИ как раз поправить — хоть польза от той НСДИ будет реальная) но вот аналогия почти 1-1 возникает с тем что в 2012-м когда всю эту эпопею с блокировками начинали — четко говорилось в каких целях (и ни в каких иных) это будет использоватся (защита детей от педофилов и наркотиков) а что мы имеем сейчас?
А предлагается по сути на госуровне легализовать не только блокировку но и подмену резолвинга днс на правильный, а когда(почему то мне кажется что речь о когда а не если) найдутся желающие сделать "правильный" резолвинг еще для каких то имен?
Да — с вебсайтами это не даст сделать https хотя подождите… есть же Russian Trusted CA и есть нужные десяткам миллионов людей в России сайты в отношении которых народу четко сказано что без него — они работать не будут а значит у них будет способ доступа и останется только убедить что если что не так — используем яндексбраузер или ставим сертификаты (при этом CT-логи врядли помогут — днс то будет совершенно официально резолвится "правильно")

Если смотреть на НСДИ как на инструмент обеспечения работоспособности критической инфраструктуры и сервисов - как это и декларировалось (а декларировалось оно как раз как инструмент для защиты от атак с использованием DNS а не как защита от условных пдефилов и наркодилеров), то, с учетом того, что навигация давно стала таковым критичным сервисом, задача восстановить этот сервис становится вполне себе задачей НСДИ.

Условный гнусный враг использует DNS для того чтобы испортить жизнь пользователям сервисов в РФ, самое время применить технические средства.

Вот только пока сверху не пнут, росминсвязьком и прочие не пошевелятся.

Через ADB в файл hosts сделайте поправки да и все, чтобы резолвило на правильный айпишник.

Ну это до тех пор, пока правильный сейчас xtrapath6.xboxprod.izatcloud.net. не сменится на какой-нибудь xtrapath7.xboxprod.izatcloud.net. А уж айпишник тем более может меняться регулярно.

Или так, или держите VPN включенным, когда пользуетесь картами, или тыкайте DNS сервера разные, может какой-то отрезолвит правильно.

Ну так выше про это и написал. В нынешних условиях это базовый набор. И свой DNS. И свой VPN, который роутит российские сайты через Россию, заблокированные в России - не через Россию и т.п. (вот в Турции, например, ещё больше местных сайтов не хотят открываться с нетурецких IP, чем в России), и который из-за этого не надо постоянно включать и отключать... Внезапно оказалось, что связность интернета - проблема, которую надо решать своими силами.

Ну а если (пока) этого всего нет - в данной конкретной ситуации DNS от quad9 спасает.

оффтоп

Кстати, а не знаете случайно, где можно достать список всех российских подсетей в машиночитаемом формате, чтобы по крону их закидывать в Allowed-Ips вæргарда? А то сервер в России есть, а трафик через него приходится напрявлять через SOCKS5 внутри VPN 🥲

Офтоп

Попробуй посмотреть в сторону policy based routing, дабы указывать домены, а сервер сам разруливал бы. А вообще гуглятся всякие гео-ip базы, но их актуальность всегда была под вопросом

За денежку (посильную) - https://www.maxmind.com/en/geoip2-databases. Бесплатно (реже обновляются и, вроде как, чем-то менее точные) - https://dev.maxmind.com/geoip/geolite2-free-geolocation-data

Я бы рекомендовал ip2location или db-ip, они позволяют скачивать бесплатные версии баз без регистрации и смс.

MaxMind теперь надо сначала убедить, что ты не из России. ip2location в этом плане не такой жёсткий.

Самое правильное решение - переехать куда-нибудь, где все это работает :)

Из расследования не совсем понятно, главная интрига: это Qualcomm российские подсети у себя по ошибке либо намеренно забанил, или это отечественный Роскомпозор по традиции в результате ковровых блокировок у себя на фильтрах пришиб облако/CDN, с которого грузились альманахи?

Почему не понятно? если бы это был бы роскомпозор, то тогда адрес просто был недоступен, а тут он подменяется. Значит это бан со стороны сервиса.

если бы это был бы роскомпозор, то тогда адрес просто был недоступен

В том-то дело, что далеко не всегда, зависит от того, как именно реализована блокировка у конкретного провайдера или вышестоящего оператора. Нередко адрес "доступен", но вместо реального контента с сервера выдаётся операторская страница-заглушка (иногда с помощью фейкового DNS, иногда прозрачно заворачивая соединение на левый хост). Особенно когда запрос делается не по HTTPS, а через обычный нешифрованный HTTP (и судя по адресу приведенному в статье, тут как раз именно простой http). Причем я такое наблюдал даже не только на домашне-офисном интернете, но и у некоторых российских VDS/VPS-хостеров, видимо фильтрация была где-то у магистралов.

Да понятное дело, что это роскомпозор виноват. А оператор просто настроил такой странный фейковый DNS, который на конкретную запись якобы заблокированного домена отдаёт алиас на этот же самый заблокированный домен (со странным словом embargo), чтобы потом ещё раз помучаться с подменой алиаса.

Да понятное дело, что это роскомпозор виноват. 

Я этого нигде не говорил. До февраля 2022 я бы однозначно подумал на РКН, после февраля вероятности как блокировки изнутри, так и блокировки снаружи примерно сравнялись, поэтому я и задался этим вопросом.

Скажите, как возможно подумать на РКН, если в статье приведены такие данные резолвинга, которые в принципе не допускают подобной трактовки?

Данные в резолвинге не могут быть надёжным источником в реалиях, когда isp вмешивается в трафик. Ибо dns сервера могут быть или подконтрольными, или запросы могут перехватываться. Есть ли в этом смысл? Это вопрос отдельный, техническии в трафик вмешиваются и так

Вы совершенно правы. В общем случае. Но мы рассматриваем конкретный случай и два конкретных ответа от сервера с и без VPN. И содержимое ответов, если их читать глазами, явно говорит, что блокировку делал не РКН. Ну либо РКН, но так, чтобы подставить Qualcomm.

Э нет, с vpn и без vpn вам скорее всего отвечали разные dns сервера. Я не вижу в ответе чего-то что абсолютно точно гарантировало атаку не ркн. Я вижу слово "эмбарго", но ведь это просто слово. Так же я не заметил в статье информации о дополнительных мерах принятых для защиты от подмены dns и указаний о ресолвинге на одном и том же dns сервере. Да, я склонен думать что проблему создаёт не ркн в этот раз, но я пока ещё не увидел в статье гарантии такого

РКН тут не причём

Вам embargo в URL домена ну прямо вообще ничего не говорит?

Говорит. Но слово "embargo" я, признаюсь честно, действительно не заметил / не воспринял - мало ли странных хостнеймов бывает чтобы в них вчитываться.

так заминусили жёстко, я думал тут прям сотона написал )))

Хотя честно говоря, я вот ноль в IT и поэтому из статьи тоже не понял кто виноват. Наши или не наши.

qualcomm банит российские подсети как минимум у себя на сайте, попробуйте зайти в описание какого-нибудь продукта.

у меня в машине навигатор (ос андроид) принимает только GPS, к интернету не подключен (но можно по wifi раздать с телефона)

и примерно с апреля перестал определять положение... вернее в основном не определяет, но бывают прозрения когда поработает какое то время...

больше 4-5 спутников никогда не использует и зачастую вообще их не видит...

это так совпало и у меня аппаратная проблема, или все таки "происки врагов" ?

и еще один вопрос - есть ли какие то программы способные передать на андроид в машину данные gps\глонасс например с телефона (тоже андроид, телефон положение определяет), чтобы андроид в машине эти данные подставлял для своего навигатора (навител) ?

есть ли какие то программы способные передать на андроид в машину данные gps\глонасс например с телефона (тоже андроид, телефон положение определяет), чтобы андроид в машине эти данные подставлял для своего навигатора (навител) ?

Просто программой вопрос не решить, потребуется поддержка нужных интерфейсов.
Автомобильный навигатор должен уметь подключаться к внешнему GPS-приемнику, к примеру, через COM-порт на стеке bluetooth.
Тогда можно искать программу на внешнее устройство (телефон на андроиде), которая будет транслировать данные со спутников на выше озвученный COM-порт.

UPD. Пример такой программы (но она давно не поддерживается автором) можно посмотреть в этой теме: https://4pda.to/forum/index.php?showtopic=251294

ну как минимум у навитела есть возможность настройки порта к которому подключен приемник (есть автоматом, а есть вручную)..

и блютуз конечно есть...

а какая программа может создать этот мост с андроид-телефона на андроид-машины ?

программа уже не существует, ссылки в теме битые :-( но спасибо за наводку, попробую еще поискать....

Там же в теме почитайте последнюю страницу, где народ обсуждает альтернативные решения.

спасибо, попробую !

Скорее всего, у вас аппаратная проблема… у тоже есть навигатор на андроиде (без подключения к сотовой сети), работает корректно. Катаюсь с ним, в основном, за городом (ПО — Навител последней версии)

у вас в устройстве только gps или gps + glonas ?

Только GPS.

спасибо за ответ. завтра попробую расшарить gps с телефона....

сейчас и у меня нормально работает(только GPS чип китайский не процессорный в ГУ) и сброс AGPS приводит к быстрому поиску спутников и точности в метр, а вот в мае апреле. Час едешь по трассе и думаешь почему камеры пищат с отклонением в сотни метров, заехал в город а точка в середине квартала, а ты на проспекте, залез в gps test а там 4 спутника и точность 40-100м скачет. при этом ни до ни после антенна и ГУ не трогались. я не любитель теории заговора, но телефон в тех же условиях сразу все нормально словил(4 gps +4 Glonass +...), хотя интернет у них общий.

У меня тоже самое с начала лета примерно. До этого всё было отлично.
Поставил ПО для просмотра подробных параметров GPS - спутники видит, про наземную корректировку пишет что недоступна. Сигнал со спутников очень слабый, со всех. Грешу на модуль в телефоне. У коллег всё нормально.
Возможно, когда работала наземная корректировка, слабый сигнал нивелировался ей.

а что за программа просмотра подробных параметров gps ?

похоже все таки не модуль :-(

"При получении файла с домена embargo.xboxprod.izatcloud.net некоторые смартфоны затирают данные альманахов как минимум для GPS, даже если они были получены со спутников." - а вот это уже тянет но практически полноценный бэкдор и атаку, поскольку фактически блокирует работу GNSS.

То есть если кто-то начнет обходить "мягкий запрет" то ему просто вкрутят жесткий, с полной блокировкой всех систем навигации.

Понятно что когда это раскопают репутации производителя чипов придет полный трындец и квалком просто как пробка вылетит с рынков Индии и Китая. Но кого когда интересовало мнение коммерсов?

Проблема в реализации алгоритма в ПО смартфона, который считает загруженный по AGPS файл априори: а) наиболее актуальным, б) максимально полным, т.е. содержащим все альманахи. Достаточно лишь накатить небольшой патч, который внесёт изменения в данный алгоритм и смартфон более не будет: а) удалять актуальные данные, загруженные со спутника, и б) не удалять те альманахи, которые в полученном файле не содержатся. Но конечно, "удалить всё" гораздо проще, чем заниматься дифференциацией, поэтому ситуация и возникла.

Бэкдор - намеренно встроенный в легальный код способ получения тайного несанкционированного доступа к системе, что позволяет получать доступ к данным или управлять системой. Ни того, ни другого в данном случае не осуществляется; об атаке вообще речь не идёт даже приблизительно. Ну а насчёт полного "трындеца" Qualkomm ну это такое себе)

Этим летом заметил что творится какая то дичь с навигацией, бросало по всему району при включении. Самсунг новый. После обновления проблемы исчезли.

"Бэкдор - намеренно встроенный в легальный код способ получения тайного
несанкционированного доступа к системе, что позволяет получать доступ к
данным или управлять системой."

  • тайного - вы только из этой статьи и плохой работы GPS узнали об этом механизме

  • несанкционированного - вы такое поведение не разрешали

  • доступа к системе - этот механизм меняет системные данные альманахов

  • доступа к данным - этот способ меняет уже полученные данные альманахов.

Согласно вашему же определению это бэкдор.

Маленький нюанс - к вашей системе никто доступ не получал, ваш смартфон сам обратился к серверу в ходе штатной процедуры обновления информации, а получив от сервера битый файл - криво его обработал, что привело к повреждению информации уже существующей. В то время как бэкдор изначально проектируется для вредоносного использования, и для того же самого удаления данных - должна быть явно переданная команда извне. И да, я быть может и не академик, но о существовании Assisted GPS я узнал задолго до написания обсуждаемой статьи.

вы такое поведение не разрешали

Не удивлюсь, что-таки разрешали, просто нажав на "принимаю" на экране с Terms of Service при включении устройства.

Браузер это просто сплошной бекдор: сайты делают, то что я им не разрешал; и файлы какие-то постоянно пишет на диск

Берите выше: сам смартфон - бекдор.

  • несанкционированного - вы такое поведение не разрешали

Это натягивание совы на глобус. Производитель чипа по определенным причинам отказывается предоставлять Вам полноценный сервис ускоренной загрузки данных. Вы можете продолжать использовать усеченный сервис + загрузка карт данных напрямую со спутников для не скрепного GPS или пользоваться только ГЛОНАСС, или не пользоваться чипами QUALCOMM.

Выбор за Вами.

Одно дело не предоставлять данные, это нормальная практика. Другое дело подсовывать файл, который заставляет забыть те данные, которые уже были загружены через медленный канал, это бэкдор.

Это не баг, а фича - прошивка навигатора не занимается анализом полученного файла, а заливает его поверх, считая информацию от производителя априори полной и достоверной. К примеру, нельзя оставлять в памяти данные о спутнике, которого уже нет. И производитель лучше знает какие спутники можно использовать, а какие нельзя (не стоит) для горячего или теплого старта. Так что здесь все корректно и надежно - стартуете быстро, но без GPS, или медленно, но со всеми доступными в данной локации GNSS.

Повторю для минусаторов: протестуйте кошельком, отказывайтесь от Qualcomm! Минусы моим сообщениям не наносят вреда бизнесу Qualcomm!

Это не баг, а фича

Правильно, потому она и называется бэкдором.

Достаточно лишь накатить небольшой патч, который внесёт изменения в данный алгоритм

И тут выясняется, что телефоны на квалкомах блокированные и многие даже не рутуются, я уж про патчи в фирмварь, которая отвечает за все это, вообще молчу, там подпись проверяется аж на загрузке.
Qualcomm против рута ничего не имеет, это исключительно шаловливые ручонки производителей смартфонов, которым лишь дай повод избавиться от гарантийных обязательств.
Все смартфоны, что я использовал, были на Qualcomm, и все рутовались свободно. У ASUS в частности утилита лежит прямо на сайте.

Не наблюдаю никаких проблем, альмонахи грузятся через инет, чипсет квалкомовский.

Это от производителя телефона зависит? У меня Сяоми.

PS ждал чего-то такого. Следующий этап - когда Google вежливо попросят прикрыть работу пуш-уведомлений для непокорных россиянцев.

У меня сяоми редми 5 плюс и с весны наблюдаю проблемы как в статье.

у меня сяоми на чистом андройде... и проблема действительно есть. Какраз с того времени перемещение по навигатору - это одно мучение: постоянная потеря спутников.

Я был уверен, что именно такая хрень и происходит... обидно от Куалкома такую подставу получить :(

ООО !!! вот и у меня так... то работает, то нет... то ли провод где переломился например (что странно, потому что провод просто проложен, он не проходит через двери или еще где нить где гнется постоянно туда-обратно..

у вас в устройстве тоже только gps ?

нет... у меня ГПС, Глонасс и Байду.

Обычно это зависит от производителя SoC, в андройде есть раздел /vendor, где лежит реализация HAL и прочей низко уровневой функциональности, в том числе и спутниковой навигации. И это все обычно в том или ином виде поставляется производителем SoC.

Покупка смартфона с ГЛОНАСС себя оправдала.

Полагаю пора присматриваться к чипа MediaTek diministy или к самсунговским эксинос. Жаль что санкциями победили чипы от huawei kirin.

Жаль, что Kirin 9000 - чипсет 2020 года.

Единственный источник "новости" про Mediatek - фраза про "неделю назад" в перепечатке этого поста в телеграме MobileReview без каких-либо подтверждений или указания, какой именно домен/адрес блокируется.

Там любопытная фраза: "При желании их можно усилить (например, определять геопозицию и закрывать работу GPS, наполняя таблицы мусором, то есть вы будете где-то в Африке). "

Весной года у многих в Москве смартфоны просыпались даже не на ВПП Внуково или Шереметьево, а вообще в озере за Воронежом.

НЛО прилетело и опубликовало эту надпись здесь

Сейчас все модули gnss поддерживают по нескольку систем. Найти современный смартфон без ГЛОНАСС тебе будет мягко говоря трудно

Когда я покупал, то такие чипы были, но не так уж много.

Вообще помнится была статья (возможно на хабре) о внедрении этого самого ГЛОНАСС. Был какой-то проект смартфона что-ли, который загнулся. Ну и крики "распилили". А там как раз рассматривалось что в результате были проведены работы по чипу ГЛОНАСС из-за чего он и пошёл в массы. Т.е. сам проект своё предназначение выполнил.

Когда я покупал

В каком году хоть? И какой, собственно говоря, телефон? Если верить википедиям, то Samsung Galaxy S3, iPhone 4S - уже с ГЛОНАССом, а это 2012-2013 годы. К середине десятых по-моему уже все телефоны выпускались с ГЛОНАСС.

Вот тот самый смартфон Приостановлено производство МТС 945 ГЛОНАСС который не взлетел МТС 945.

Год выпуска 2011. Т.е. как раз провели НИОКР и интегрировали в навигационный чип наш ГЛОНАСС. После чего и начали клепать смартфоны уже с ГЛОНАССом.

А вот и сама статья по теме: Финт ГЛОНАССом

Яблоко имело чип с поддержкой gps/ГЛОНАСС от Broadcom, 2011 год. Решения не для мобильных телефонов - существовали уже некоторое время. Тут QC просто не желал уступать и интегрировал в свой gnss модуль для большей привлекательности и его soc

Когда искал ссылки из комментария выше, то натыкался на статью "Broadcom сделал поддержку ГЛОНАСС", но там дата 2012 год. А статья о QC - из 2011 года. Так что тут скорее Broadcom не захотел уступать и интегрировал, так как QC вроде раньше по датам сделал это поддержку.

Хотя сам я за этой темой особо не следил, просто опираюсь на даты статей.

Дата выхода на рынок iphone 4s - 2011 год. Он умел gps/ГЛОНАСС силами отдельной микросхемы для gnss от Broadcom. Решение от QC интегрированное в soc, в этом плане, мне нравится больше, но этот самый ZTE на который вы ссылаетесь имел рабочего коммерческого конкурента

P.S. открыл статью, правда не читал. Там вроде речь про soc от Broadcom. В яблоке был gnss модуль

UPD. Я прошу прощения, BCM4750 из iphone 4 не умел в ГЛОНАСС. Чуть более новый чип BCM47511 уже мог. Но в iphone 4s как gnss решение использовался MDM6610 от Qualcomm, на базе которого и был получен ГЛОНАСС

Или я опять нашел что-то не то :(

С таким подходом и лада без ABS оправданная покупка))

Хотелось бы уточнить.

Летающие доступные спутники принадлежат разным группировкам: GPS, GLONASS, Galileo. Но необходимые для работы данные чип отвечающий за работу с геопозиционированием запрашивает из одного источника. И этот источник может передавать их искаженными или не передавать вообще. Правильно я понял?

Но тогда вся борьба за GLONASS, как свою, независимую от других систему, для гражданских с гражданскими приёмниками теряет смысл?

Да нет, просто нужен свой сервис альманахов и настроить получение данных из него.

Этот сервис в космосе летает. Я лично с большим удивлением узнал, что кому-то вообще надо в инет лезть за всем этим зачем-то, хотя вся информация передается и так.

через инет (при его наличии) — быстрее.

Но это касается только процедуры "холодного старта" - а дальше-то все должно пойти как надо, просто чуть дольше подождать, если ГПС долго не использовался. Но из статьи следует, что там в принципе все реализовано... странно.

Не то, чтоб «странно» — а «для причинения неприятностей и неудобств в случае *».

Она-то передается, только скорость L1 сигнала GPS - 50 бит в секунду, и этот сигнал используется далеко не только для альманаха.

GPS, как и Глонасс как таковые работают нормально, но медленней обычного, т.к. ускорение их работы реализовано через проприетарные сервисы производителя чипов

Там не только в ускорении дело. Проприетарный сервис может и портить "медленные" данные со спутника:

некоторые смартфоны затирают данные альманахов как минимум для GPS, даже если они были получены со спутников.

Получается… лучше вообще резать на уровне сети и тогда хоть медленный старт будет работать на всех аппаратах?
Это затирание к чему приводит? К неработоспособности GNSS или все же к ухожу в медленный старт каждый раз/при смещении на 300 км?

Условно, без работы A-GPS:

  • смартфон побыл час на улице, получил альманахи для всех группировок и эфемериды для слышимых спутников

  • если закрыть и открыть приложение навигации через полчаса - эфемериды еще будут живы, будет "горячий" старт

  • если открыть приложение навигации через день - альманахи еще будут живы, будет "теплый старт"

  • если затереть данные или открыть приложение через месяц - будет холодный старт

  • если сместиться на 300км, смартфон будет пытаться в "теплый" старт, а нужен холодный

Вот дальше зависит от того, что прошивка конкретного смартфона/чипа затирает при получении некорректного файла - только эфемериды только для группировки GPS, эфемериды и альманахи для GPS, или всё сразу для всех систем.

В общем случае да, можно порезать на уровне сети и тогда всё будет работать автономно.

Экспериментировал со своим сяоми, так и не смог воспроизвести проблему; возможно, он получает альманахи и эфемериды с гугловского домена. Хотя один запрос к указанному в статье домену (на несколько десятков включений/выключений gps с очисткой данных) я всё-таки видел.

Пара открытий:

  • при отключенной сотовой сети (в авиа-режиме с включенным wifi) a-gps не работает, хотя, казалось бы что стоило загружать альманахи и эфемериды для всех спутников, объёмы по сегодняшним меркам смешные;

  • при холодном старте сами спутники видятся как-то неохотно (если a-gps работает, то в приложении сразу проявляется несколько спутников с буквами AE; если же не работает — то долгое время видится 1-2 спутника без этих букв, а то и не вводится вообще ни одного).

Есть более продвинутый вариант A-GPS, который использует точное время и позицию от сотовых вышек, чтобы уточнить начальное положение. Если он ещё и поддерживается сотовым оператором на самих вышках, то позволяет творить чудеса навигации. При "обычном" A-GPS все равно тратится время на определение начального положения, после чего точность растёт постепенно. Возможно, что китайцам стало лень реализовать все возможные промежуточные варианты A-GPS.

Я вообще изначально думал, что A-GPS это получение данных от БС, ведь там есть всегда GPS антенна, она и оборудование (давно) постоянно включены, поэтому данные уже давно накоплены

С учётом эволюции чипсетов для гражданских девайсов - де-факто так. Потенциально можно сделать приёмник с отдельным чипом ГЛОНАСС, раздавая для него эфемериды и альманахи с контролируемого сервера, но кто ж его в свои смартфоны ставить будет при наличии уже интегрированных решений?

Если я правильно понял всё написанное, (а я много нового узнал, благодарю автора) надо просто в глубь настроек андроида запихнуть настройки логики поведения если нет данных от A-gps, либо эти данные не заслуживают доверия ( ну например вот такой пустой эмбарго-файл прилетает). Будет тупнячок иногда, но в остальном корректная работа после 10-15 минут ожидания, если дошло до холодного старта.

Вопрос только в том, реально ли "просто запихнуть настройки" - такое поведение может быть хардкодом и исправляться только патчем бинарника драйвера.

Вообще, все это контролируется /system/etc/gps.conf Другой вопрос, есть ли соответствующие настройки в конкретной реализации.

Но это так не работает. Вот вы у API центробанка запрашиваете курс доллара, как определить, что ответ не заслуживает доверия?

Проходящий проверку сертификат сайта.
Проходящие некий минимальный контроль целостности данные
Ну например:


  • дата в курсах в пределах месяца от текущей по мнению устройства (если не так — то либо сайт несет бред либо на устройстве проблемы с часами)
  • курс не меньше 10 рублей и не больше 500 рублей за доллар (потому что выход за эти рамки — повод все же проверить человеку — может начал курс какой то лиры отдаватся?)
И ваши проверки ни как не помогут, потому что сервис возвращает всё верно, кроме курса в 30 рублей, который был 10 лет назад.

В случае эфемерид видно, что там размер меньше и какие-то данные действительно не передавались. Но ни что не мешает им просто передавать не актуальные данные, которые выглядят нормальными и формальными проверками не отсечь. Да и собственно зачем это усложнение.
НЛО прилетело и опубликовало эту надпись здесь

Но спасет от курса 3 рубля за доллар или 3000 рублей
Ну и можно ж для вашей задачи взять например минимальный курс за последний год и самые оптимистичные и пессимистичные прогнозы и поставить границы 45-200 например.
А если мы получаем не один курс то добавить проверку что например курс доллара через теньге не сильно отличается от прямого (потому что если даже это реальные курсы — это что-то странное и может лучше как то отреагировать? а то была история с тиньковым уже как люди использовали предоставленный курс а банк потом решил что так нельзя)

У вас усложнение на ровном месте. 25 лет цетробанк исправно отдавал курс, зачем нужны эти костыли?
И пример с цетробанком был именно в части доверия к системе. Если вернуться к орбитам спутников, то примером могло бы выступать условно положение на орбите заданное в позиции на окружности. И единственная проверка это что значение от 0 до 360.
Напомню, что GNSS-чип это не компьютер. Чем меньше там логики, тем дешевле производство. Если вас всех послушать, он он должен не эфемериды грузить из инета, а загружать все сырые измерения на наземных станциях и сам высчитывать положение спутников. В общем заниматься тем, чем занимается целое отделение НАСА и Ко.

25 лет цетробанк исправно отдавал курс

А потом раз и на 2 недели закрылся ддос-защитой (февраль) и ничего из автоматизированных получалок курса валют не работало от слова вообще...

Позволить пользователю самому принимать решение (сделать настройку), основанное на статьях с хабра.


А по вашему примеру — если API центробанка говорит, что доллар 30, а цены на импортную продукцию в магазинах соответствуют курсу в 100, то ответ не заслуживает доверия. Так, погодите-ка...

А по вашему примеру — если API центробанка говорит, что доллар 30, а цены на импортную продукцию в магазинах соответствуют курсу в 100, то ответ не заслуживает доверия. Так, погодите-ка..

У вас не совсем верное понимание, как мне кажется. Тут надо учитывать специфику наглых морд рынка и белого ввоза товара, что создает прибавочную стоимость нехилую.

Доверия небыло-бы еслиб я как в СССР не мог купить валюту по курсу, а еслиб она у меня и была - я-б ее не мог нормально тратить. Я вот недавно заказал через одного форвардера карту электронную визу припейд по +/- курсу центробанка, а при помощи этой карты купил себе запчасти для авто. Вышло в 4 раза дешевле чем в РФ. Мои знакомые успешно покупают/продают валюту через биржи криптовалютные. А в банке я успешно купил 200EUR по курсу, для поездки в шоппинг-тур. При искусственном курсе - такое было-бы не возможно.

Смотря какую продукцию
Вообще в случае курса доллара — наверно стоит сравнить курс ЦБ c курсом ну например QIWI в USDT с bestchange.ru — да — там будет расхождение но сейчас там например 68 и 61 для чего есть логичные причины в текущей ситуации и совсем уж расходятся эти курсы редко при этом понятно почему расходятся так что ответ — заслуживает доверия

понятно почему расходятся

И это понятно, ты должен был заложить логически, а не понятийно, в программу 10 лет назад. Я бы хотел на это посмотреть хотя бы в общих чертах :)

Напомню, что ещё несколько лет назад был коллапс в работе GPS-чипов, потому что старьё столкнулось с тем, что gps-неделя (которая отсчитывается от начала миссии и на ней завязана система отсчета времени) перевалила за 2000, а чипы к этому не были готовы.

Все эти истории вскрыли для государств единые точки отказа, которые были по тем или иным причинам, умные страны эту лавочку рано или поздно прикроют законодательно, как в первую очередь это было сделано заранее в виде эмуляции виза/мастеркард, что сделало бессмысленным попытку блокировки этих сервисов внутри страны

Эмуляцию сделали когда появились предложения заблочить (после Крыма) и то не так быстро.
А до этого прецеденты были — судя по https://www.ixbt.com/medium/payment-cards-part6.html — была история с югославией… где выключили карты удаленно.


При этом оплату смартфонами через НСПК для VISA/MC так и не смогли.

При этом оплату смартфонами через НСПК для VISA/MC так и не смогли.

В смысле, "не смогли"? Я-то не пользуюсь из-за того, что у меня смартфону 300 лет в обед (он не про удобство, а про живучесть в полевых условиях), но регулярно вижу в магазинах оплаты смартфоном. Или это не VISA/MC? Честно говоря, не очень в теме.

Сейчас только Мир оплату по NFC по факту поддерживает. Есть своё приложение Мир Pay, куда можно карты разных банков привязать; некоторые приложения банков в эту историю тоже заходили с переменным успехом.

Сейчас ситуация если упрощенно такая:


  • Российскую VISA/MC вы не сможете привязать к смартфону
  • НЕ Российскую привязать сможете но вот работать она в России она не будет в онлайн-режиме (если терминал хочет оффлайн, у кондукторов например, то может принять но проблемы будут потом)
  • Apple Pay не поддерживает МИР, а сделать Mir Pay нельзя потому что нужные API закрыты (в том числе и за это Apple в ЕС судят...)
  • для Андроида есть приложение Mir Pay, к которому привязываются карты МИР, и все работает(можно поставить и на часы, если часы на андроиде вроде Galaxy Watch 4). К Samsung Pay тоже можно привязать МИР (только на телефонах, не часах). Банк в принципе тоже может сделать свое приложение. У Сбера это вот работало некоторое время даже. у ЮМани приложение как минимум регистрирует себя как средство для оплаты
  • с банкоматами Mir Pay/Samsung Pay работают только в России, например в Казахстане если банкомат МИР поддерживает (ВТБ и Bereke(бывший Сбер КЗ) поддерживают) то на смартфон даст ошибку все равно.
  • есть такая штука как СБП, изначально через QR-коды в приложении банка, затем сделали СБПPay, в которую банки все никак загнать не могут и обещают сделать еще и NFC-версию причем вроде как на работающую не через эмуляцию карты (а значит будет возможность и на iOS).

Проблема с привязкой российских карт VISA/MC к Apple/Google Pay целиком на стороне ЕС/США, точнее вызывана их решением отключить российские банки от систем.

Apple Pay поддерживает МИР. И даже позволяла привзяать карты и с них платить. Отключили в апреле.

При этом оплату смартфонами через НСПК для VISA/MC так и не смогли.

Ну, тут дело не в Visa/MC как таковых, а в том, что привязывать их некуда: Google / Apple Pay сами прикрыли поддержку российских карт.

этот источник может передавать их искаженными или не передавать вообще

Потенциально - может, практически - нет инструмента для селективного загрубления (и ближайшие лет 15 не будет, ибо одномоментно все спутники не заменят). Если все же "загрубление" (отключение) произошло - то оно накроет огромную площадь. Т.е. сделать можно, но только если у тебя цель - лишить половину мира спутниковой навигации

В принципе, можно чип научить отдавать неправильные координаты, если реальные координаты находятся в запрещённых областях. Как раз удобно, что почти все чипы производятся одной и той же конторой.

Есть инструмент для загрубления и он уже несколько раз использовался. Реализуется через искусственные искажения в эффемеридах. Снижает точность до сотен метров на обширной территории. Проблема в том, что территориальная граница загрубления получается очень размытой.

Дома два телефона, провел эксперимент

Moto G8 Plus, Snapdragon 665 (куплен в местном Ситилинке) - после очистки в приложении данных A-GPS тел пару минут лежал на столе, координаты не определялись. Потом просто надоело ждать.

Sony 10 III, Snapdragon 690 (Тайваньский? Куплен у серого импортера) - после очистки в приложении данных A-GPS тел буквально за пару секунд словил все данные и определил координаты.

В момент эксперимента оба телефона были подключены к одному и тому же домашнему раутеру.

Так что возможно дело не только в DNS

А вы не подумали, что они могут использовать вообще разные домены для получения A-GPS? Конечно дело тогда будет не только в DNS. Однако если воспользоваться советом из статьи, то VPN и другой DNS проблему на Moto G8 исправят

Я высказал предложение, что проблема проявляется именно у телефонов, предназначенных для рынка РФ.

Завтра (судя по трекингу) должен получить Pixel 6 (куплен в JP) на замену Moto G8 Plus, он и станет контрольным подопытным.

Японский пиксеть вышел намного дешевле нормального? В них же неотключаемый звук срабатывания камеры.

Пиксели, емнип, отличаются прекрасной поддержкой со стороны кастомных прошивок, плюс умеют залочивать загрузчик с кастомом. Так что это ну вот совсем не проблема :р

А откуда уверенность что запросы к этим узлам происходят из подсистемы Android ?

Предлагаю эксперимент, отключить WiFi и поднять VPN через мобильную сеть, думаю модем ломанётся в сеть напрямую, и Андроид эти соединения даже не увидит и они в VPN не попадут.

Настройки SUPL и XTRA лежат в /system/etc/gps.conf, взаимодействием с провайдерами A-GPS занимается подсистема GPS Android и после загрузки альманахов/эфемерид отдаёт их через интерфейс прошивки в чип.
Отсюда и уверенность.

У меня нет такого файла. Только /system/etc/gps_debug.conf

Samsung S20FE на квалкоме.

Поглядеть бы на содержимое: какой домен там прописан в AGPS, XTRA...

Ничего интересного, какой-то пример просто

# Sample file for use for on device debug override only
# Prefer frameworks/base/core/res/res/values/config.xml and
# frameworks/base/core/res/res/values-mcc*-mnc*/config.xml

################################
##### AGPS server settings #####
################################
# FOR SUPL SUPPORT, set the following
# SUPL_HOST=supl.google.com or IP
# SUPL_PORT=7275

# supl version 2.0
# SUPL_VER=0x20000

#SUPL_MODE is a bit mask set in config.xml per carrier by default.
#If it is uncommented here, this value will overwrite the value from
#config.xml.
#MSA=0X2
#MSB=0X1
#SUPL_MODE=1

# Emergency SUPL, 1=enable, 0=disable
#SUPL_ES=0

#Choose PDN for Emergency SUPL
#1 - Use emergency PDN
#0 - Use regular SUPL PDN for Emergency SUPL
#USE_EMERGENCY_PDN_FOR_EMERGENCY_SUPL=0

####################################
#  LTE Positioning Profile Settings
####################################
# 0: Enable RRLP on LTE(Default)
# 1: Enable LPP_User_Plane on LTE
# 2: Enable LPP_Control_Plane
# 3: Enable both LPP_User_Plane and LPP_Control_Plane
#LPP_PROFILE = 2

##################################################
# Select Positioning Protocol on A-GLONASS system
##################################################
# 0x1: RRC CPlane
# 0x2: RRLP UPlane
# 0x4: LLP Uplane
#A_GLONASS_POS_PROTOCOL_SELECT = 0

# Below bit mask configures how GPS functionalities
# should be locked when user turns off GPS on Settings
# Set bit 0x1 if MO GPS functionalities are to be locked
# Set bit 0x2 if NI GPS functionalities are to be locked
# default - non is locked for backward compatibility
#GPS_LOCK = 0

Спасибо.

Интересно, если ему отключить позиционирование по сотовым и WiFi-сетям, то он наверное в программе GPS Test будет стартовать по 3 минуты...

Если не 10 минут.

Похоже, в оригинальных прошивках этот файл отсутствует, и данные берутся какие-то дефолтные из драйвера (?) Поэтому я и выполнял захват трафика, чтобы понять, куда на самом деле обращается.

У меня есть /vendor/etc/gps.conf только там тоже никаких особо настроек нет
Вот начало (он длинный)

# Error Estimate
# _SET = 1
# _CLEAR = 0
ERR_ESTIMATE=0

#NTP server
NTP_SERVER=time.xtracloud.net

#XTRA CA path
XTRA_CA_PATH=/usr/lib/ssl-1.1/certs

# DEBUG LEVELS: 0 - none, 1 - Error, 2 - Warning, 3 - Info
#               4 - Debug, 5 - Verbose
# If DEBUG_LEVEL is commented, Android's logging levels will be used
DEBUG_LEVEL = 3

# Intermediate position report, 1=enable, 0=disable
INTERMEDIATE_POS=0

# supl version 2.0
SUPL_VER=0x20000

# Emergency SUPL, 1=enable, 0=disable
SUPL_ES=1

#Choose PDN for Emergency SUPL
#1 - Use emergency PDN
#0 - Use regular SUPL PDN for Emergency SUPL
USE_EMERGENCY_PDN_FOR_EMERGENCY_SUPL=1

#SUPL_MODE is a bit mask set in config.xml per carrier by default.
#If it is uncommented here, this value will overwrite the value from
#config.xml.
#MSA=0X2
#MSB=0X1
#Sensor R&D : Change default bit mask
SUPL_MODE=3

# GPS Capabilities bit mask
# SCHEDULING = 0x01
# MSB = 0x02
# MSA = 0x04
# ON_DEMAND_TIME = 0x10
# default = ON_DEMAND_TIME | MSA | MSB | SCHEDULING
CAPABILITIES=0x17

# Accuracy threshold for intermediate positions
# less accurate positions are ignored, 0 for passing all positions
# ACCURACY_THRES=5000

################################
##### AGPS server settings #####
################################

# FOR SUPL SUPPORT, set the following
# SUPL_HOST=supl.host.com or IP
# SUPL_PORT=1234

# FOR MO SUPL SUPPORT, set the following
# MO_SUPL_HOST=supl.host.com or IP
# MO_SUPL_PORT=1234

# FOR C2K PDE SUPPORT, set the following
# C2K_HOST=c2k.pde.com or IP
# C2K_PORT=1234

# Bitmask of slots that are available
# for write/install to, where 1s indicate writable,
# and the default value is 0 where no slots
# are writable. For example, AGPS_CERT_WRITABLE_MASK
# of b1000001010 makes 3 slots available
# and the remaining 7 slots unwritable.
#AGPS_CERT_WRITABLE_MASK=0

А что такое A-GLONASS ?

##################################################
# Select Positioning Protocol on A-GLONASS system
##################################################
# 0x1: RRC CPlane
# 0x2: RRLP UPlane
# 0x4: LLP Uplane
A_GLONASS_POS_PROTOCOL_SELECT = 0

У GLONASS тоже есть эфемериды и альманах. Там все ограничено передачей времени раз в 30 секунд против раз в 6 у GPS.

То-то я думаю у супруги на Samsung A51 стало "прыгать" местоположение, точность пострадала. У меня на другом Самсунге всё ок.

В начале этого месяца побывал в горах Дагестана, и впервые столкнулся со странным эффектом: была включена запись трека (приложение Геотрекер) и вдруг движение якобы встало. Сотовой связи в том месте не было, попробовал перезагрузить телефон, спутники видит, но местоположение не определяет. Была неприятная ситуации, потому как налетел туман, видимость упала и без записи трека гулять по горам чревато. Только когда вышел к месту, где есть сигнал сотового оператора, через несколько минут все восстановилось. Вот и думай что угодно в условиях нынешней обстановки... Телефон Lenovo, поддерживает все системы.

Эфемериды и альманах верны долгое время. Так что это странно.

Возможно, само приложение требует доступа к интернету

Эта проблема на всех смартфонах? Или только на смартфонах с квалком? У меня на Huawei P30 pro все работает в лучшем виде, возможно что в сервиса HMS есть альтернатива A-GPS с обращением к своим серверам.

У хуавея в P30 стоит кирин 980, а проблема описанная в статье касается только квалкомов

У меня на Huawei M5 с Kirin 960 в качестве сервера в /system/etc/gps.conf указан http://gllto.glpals.com/7day/v5/latest/lto2.dat

И он в России отдаёт 403, за пределами бинарник скачивается

Похоже, gllto1.glpals.com используется еще и в некоторых Samsung.

Этот домен видимо принадлежит Broadcom:

glpals.com. 900 IN SOA ns1.glpals.com. gps_netops.broadcom.com. 2019011001 7200 900 1209600 86400

... и да, из РФ он действительно отдает 403.

Таким образом, Broadcom, похоже, тоже блокирует. Но не как у Qualcomm, где отдается неправильный файл.

в теле статьи чётко прослеживается "дело не в смартфонах, дело в провайдерах или сервисе"
в комментах "а у меня сяоми и..." и "а у меня самуснг и..."
а я точно на хабре? ну ок можно предположить что ораторы выше имели ввиду не сами смарты а разницу в том как и откуда их прошивки берут данные, ну что-ж давайте тогда копнём и подкинем немного tcpdump'а и cat'ов конфигов!

Прием альманахов занимает минимум 10-15 минут при уверенном приеме.

Для какой СНС? И для скольки видимых спутников?

Время передачи суперкадра (оба кстати ползут с космической скоростью 50 бод): 12.5мин. для НАВСТАР и 2.5мин. для ГЛОНАСС. Если словить сигналы более чем от одного спутника то соответственно кратно уменьшается время приема.

В чистом поле да с хорошей антенной, без энергосбережения - возможно.

Я отталкивался от 12.5 минут для GPS и практических наблюдений на двух смартфонах, из которых один - с интернетом, а второй - сброшенный и после сброса интернета не видавший. При движении в городской застройке для Navstar мне не удавалось получить альманахи на смартфоне меньше чем за ~15 минут, чаще под 20. Для Глонасс меньше 5 минут не видел.

На самом деле важнее всего передача времени. У GLONASS это происходит раз в 30 секунд (L1OF, L2OF сигналы), а у GPS раз в 6.

Сигналы точного времени без уточняющих данных эфемерид имеют мало смысла, так как не позволят точно определять позицию. Понятное дело, на них (на сигналах точного времени) основана работа системы, но их недостаточно.

Т.е. Суперкадр можно принимать не с начала и паралельно из нескольких источников? ?

Ну да. Каждый спутник его передает, и вещают они не синхронно а со сдвигом.

Давно не смотрел в интерфейный документ, а сдвиг то из-за чего возникает?
Там вроде бы все к началу секунды привязано было.

Суперкадр идёт 12.5 минут. Сдвиг как раз для того и нужен, чтобы принять всё нужное быстрее, чем за это время. Речь не о мелких сдвигах в доли секунды, а о крупных.

"Границы строк, кадров и суперкадров различных НКА синхронны с погрешностью не более 2мс" (с) ИКД 5.1.

Если последовательности длительностью 2.5 минуты сдвинуть на 30 с они ведь останутся синхронны?

Нда, покурил еще раз ИКД, не все так однозначно как я думал. По протоколу номер спутника в системе и его литера идет в составе альманаха для каждого спутника (по две строки на каждый НКА), т.е. чисто теоретически перетасовать последовательность выдачи строк альманаха для ускорения загрузки можно, однако об этом явно в ИКД не сказано.

Это странно. GNSS использует supl.google.com который зависит от MCC MNC (PLMN tuple), почему у вас используется такой сервер мне не понятно.

Может модем всё-таки в обход Android ходит?
Что значит вот это из gps.conf

##################################################
# AGPS_CONFIG_INJECT
##################################################
# enable/disable injection of AGPS configurations:
#     SUPL_VER
#     SUPL_HOST
#     SUPL_PORT
#     MO_SUPL_HOST
#     MO_SUPL_PORT
#     C2K_HOST
#     C2K_PORT
#     LPP_PROFILE
#     A_GLONASS_POS_PROTOCOL_SELECT
# 0: disable
# 1: enable
AGPS_CONFIG_INJECT = 0

supl.google.com имеет и glonass, и galileo и beidou.

Обьясни ТП, т.е. на квалкоме исходя из статьи проблема на любом спутниковом сервисе - и гпс и глонас и байде? Т.е. они в е исполбзуют а-гпс?

Формат данных A-GPS - проприетарный и у каждого вендора свой.

Это фиаско. Казалось бы, не так много данных.

Hidden text

А по-моему в самом android есть API для предоставлении этих данных системе. Поэтому можно самостоятельно загрузить их с другого сайта и внедрить.
Можно, например (если телефон рутован Magisk)
Нет, это не то. И root тут не причём. Автору же вот не потребовался root, чтобы очистить A-GPS данные.

Имелось в виду, что для установки модуля Magisk однозначно потребуется Magisk, а для чего Magisk ставят мы все прекрасно знаем.

То есть, если на телефоне есть Magisk, то достаточно установить указанный модуль и больше ничего делать не придется.

Зачем нам какой-то там Magisk, чтобы воспользоваться открытым API?

Можно попробовать вручную из файла скопировать в свой

XTRA_SERVER_1=https://xtrapath1.izatcloud.net/xtra3grc.bin
XTRA_SERVER_2=https://xtrapath2.izatcloud.net/xtra3grc.bin
XTRA_SERVER_3=https://xtrapath3.izatcloud.net/xtra3grc.bin
XTRA_SERVER_4=https://ssl.gpsonextra.net/xtra3grc.bin
XTRA_SERVER_5=https://ssl.izatcloud.net/xtra3grc.bin

странно, но у меня:
два samsung «одной модели», но с разных регионов (один на exynos с внешнем gnss от broadcom, другой на комбо qualcomm) лезут за альманахом на gllto#.glpals.com/4day/v3/lastest/lto2.dat (где # — цифра) и получают отлуп 403 с русских ip или ошибку при европейских
а huawei на qualcomm лезет на общеизвестные xtra#.gpsonextra.net/xtra.bin (где # — цифра) и получает файл xtra.bin весом 39802 или 40982 байт (весьма отличающиеся) при европейских ip или файл xtra.bin весом 99 байт (случайного содержания) при русских ip

зы вот что-т не верится, что альманах даже одного только gps имеет размер 386 байт.

xiaomi mi note 10 lite (Snapdragon 730G) global ... возможно серый не запаривался когда покупал, московский МТС - нормально работает a-gps

НЛО прилетело и опубликовало эту надпись здесь
У вас не
GPS на теле постоянно включен
а есть разрешение на его использование. А вот включился он или нет, это уже зависит от используемых программ. Поэтому да, если вы постоянно пользуетесь GPS и он каждый день обновляет свои данные, то скорей всего проблем не будет.
НЛО прилетело и опубликовало эту надпись здесь

Правильно ли понимать, что изменение supl с гуглового на к примеру китайский qwzx также решает проблему? По крайней мере у меня на китайском хайсенсе и вовсе не на квалкоме и не медиатеке, про который муртазин написал, а на юнисоке с гуглом также отвалилось. Вернул китайский, все завелось.

Имена серверов, к которым ведроид обращается за альманахом можно найти прямо в нём самом. При этом сам конфиг /system/etc/gps.conf может отсутствовать, может указывать на файл в другом месте, в нём может не быть нужных строк, или они могут быть закоментированы. Ничего страшного. С давних времён известно содержимое этого gps.conf и нам нужно искать где определяются переменные «XTRA_SERVER_1», «XTRA_SERVER_2» и «XTRA_SERVER_3». Поехали.


$ adb shell
G8441:/ $ su
G8441:/ # busybox find /system/ -type f -exec grep -q XTRA_SERVER "{}" \; -print | while read f; do echo FILE: $f; strings $f | grep XTRA_SERVER; done
FILE: /system/app/Messages/oat/arm64/Messages.vdex
EXTRA_SERVER_MESSAGE
FILE: /system/app/app-scan3d-release/oat/arm64/app-scan3d-release.vdex
EXTRA_SERVER_KEY
FILE: /system/app/dlna-somc-xhdpi-release/oat/arm64/dlna-somc-xhdpi-release.vdex
DOWNLOAD_EXTRA_SERVER_NAME
FILE: /system/etc/customization/settings/defaults/gps.conf
#XTRA_SERVER_1=http://xtrapath1.izatcloud.net/xtra2.bin
#XTRA_SERVER_2=http://xtrapath2.izatcloud.net/xtra2.bin
#XTRA_SERVER_3=http://xtrapath3.izatcloud.net/xtra2.bin
FILE: /system/framework/framework-res.apk
99XTRA_SERVER_1=http://xtrapath1.izatcloud.net/xtra3grc.bin
99XTRA_SERVER_2=http://xtrapath2.izatcloud.net/xtra3grc.bin
99XTRA_SERVER_3=http://xtrapath3.izatcloud.net/xtra3grc.bin
FILE: /system/framework/oat/arm64/services.vdex
XTRA_SERVER_1
XTRA_SERVER_2
XTRA_SERVER_3
FILE: /system/priv-app/CarrierServices/CarrierServices.apk
EXTRA_SERVER_MESSAGE
FILE: /system/priv-app/CarrierServices/oat/arm64/CarrierServices.vdex
EXTRA_SERVER_MESSAGE
FILE: /system/priv-app/SEMCSetupWizard/oat/arm64/SEMCSetupWizard.vdex
XTRA_SERVER_1
XTRA_SERVER_2
XTRA_SERVER_3
FILE: /system/priv-app/com.qualcomm.location/oat/arm64/com.qualcomm.location.vdex
XTRA_SERVER_1
XTRA_SERVER_2
XTRA_SERVER_3

Ну вот мы и нашли то что нам нужно: в найденных gps.conf строки закоментированы, а в /system/framework/framework-res.apk есть значения по умолчанию.
Теперь проверим что нам отдаёт DNS по этим именам. Вообще, оказалось что на embargo подменяются имена с xtrapath1 по xtrapath6:


$ for n in $(seq 1 6); do h=xtrapath${n}.izatcloud.net; host $h; done
xtrapath1.izatcloud.net is an alias for xtrapath1_new.qcomgeo2.com.
xtrapath1_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.
embargo.xboxprod.izatcloud.net has address 34.215.213.136
embargo.xboxprod.izatcloud.net has address 54.70.147.98
embargo.xboxprod.izatcloud.net has address 54.70.12.181
xtrapath2.izatcloud.net is an alias for xtrapath2_new.qcomgeo2.com.
xtrapath2_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.
embargo.xboxprod.izatcloud.net has address 34.215.213.136
embargo.xboxprod.izatcloud.net has address 54.70.147.98
embargo.xboxprod.izatcloud.net has address 54.70.12.181
xtrapath3.izatcloud.net is an alias for xtrapath3_new.qcomgeo2.com.
xtrapath3_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.
embargo.xboxprod.izatcloud.net has address 34.215.213.136
embargo.xboxprod.izatcloud.net has address 54.70.147.98
embargo.xboxprod.izatcloud.net has address 54.70.12.181
xtrapath4.izatcloud.net is an alias for xtrapath4_new.qcomgeo2.com.
xtrapath4_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.
embargo.xboxprod.izatcloud.net has address 34.215.213.136
embargo.xboxprod.izatcloud.net has address 54.70.147.98
embargo.xboxprod.izatcloud.net has address 54.70.12.181
xtrapath5.izatcloud.net is an alias for xtrapath5_new.qcomgeo2.com.
xtrapath5_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.
embargo.xboxprod.izatcloud.net has address 34.215.213.136
embargo.xboxprod.izatcloud.net has address 54.70.147.98
embargo.xboxprod.izatcloud.net has address 54.70.12.181
xtrapath6.izatcloud.net is an alias for xtrapath6_new.qcomgeo2.com.
xtrapath6_new.qcomgeo2.com is an alias for embargo.xboxprod.izatcloud.net.
embargo.xboxprod.izatcloud.net has address 34.215.213.136
embargo.xboxprod.izatcloud.net has address 54.70.147.98
embargo.xboxprod.izatcloud.net has address 54.70.12.181

По большому счёту, можно в /system/etc/hosts прописать правильные IP-адреса и закрыть вопрос, их я посмотрел на европейской VPS и вписал всю кучу в /system/etc/hosts.


$ for n in $(seq 1 6); do h=xtrapath${n}.izatcloud.net; host $h | awk "/has address/{print \$4 \" $h\"}"; done
18.244.155.98 xtrapath1.izatcloud.net
18.244.155.116 xtrapath1.izatcloud.net
18.244.155.121 xtrapath1.izatcloud.net
18.244.155.26 xtrapath1.izatcloud.net
108.156.60.99 xtrapath2.izatcloud.net
108.156.60.64 xtrapath2.izatcloud.net
108.156.60.22 xtrapath2.izatcloud.net
108.156.60.125 xtrapath2.izatcloud.net
18.65.39.74 xtrapath3.izatcloud.net
18.65.39.43 xtrapath3.izatcloud.net
18.65.39.33 xtrapath3.izatcloud.net
18.65.39.118 xtrapath3.izatcloud.net
18.244.155.77 xtrapath4.izatcloud.net
18.244.155.63 xtrapath4.izatcloud.net
18.244.155.61 xtrapath4.izatcloud.net
18.244.155.93 xtrapath4.izatcloud.net
18.65.39.77 xtrapath5.izatcloud.net
18.65.39.7 xtrapath5.izatcloud.net
18.65.39.94 xtrapath5.izatcloud.net
18.65.39.51 xtrapath5.izatcloud.net
52.222.158.124 xtrapath6.izatcloud.net
52.222.158.123 xtrapath6.izatcloud.net
52.222.158.52 xtrapath6.izatcloud.net
52.222.158.60 xtrapath6.izatcloud.net

Огламуривать всё это было лень.


PS. У меня телефон — Sony XZ1 compact, на квалкоме.

И мне ещё интересен один момент: почему выдача с разных зеркал не одинаковая?


$ for n in $(seq 1 10); do curl --silent http://xtrapath${n}.izatcloud.net/xtra3grc.bin | md5sum; done
c738d93e350ff4f7a804403c7f288832  -
861b106c1855ccabd3a985641213f657  -
1b39a9ebbd3ba421369d7fb781e4b7a2  -
95be23443be4830158da6150f8b4b6d1  -
95be23443be4830158da6150f8b4b6d1  -
95be23443be4830158da6150f8b4b6d1  -
7b21a9a730ebb292bece83c45292d971  -
7b21a9a730ebb292bece83c45292d971  -
7b21a9a730ebb292bece83c45292d971  -
31876193f2777ab495920d9e4c260bd2  -

 прописать правильные IP-адреса и закрыть вопрос

Только вот какие адреса правильные, если с разных DNS серверов эти адреса резолвятся в разные группы IP?

https://habr.com/ru/post/694984/comments/#comment_24848838

А не важно. Достаточно на компе в /etc/hosts указать найденные IP и проверить что получаем по урлам, по которым ходит ведроид. Если ответ визуально нормальный, то всё хорошо. Если похож на обрезок, как с embargo-серверов — значит нужно искать другие IP. можно вообще на всю пачку имён указать один IP и, по возникновению проблем, менять его на другой.

Бегло проанализировал бинарники в прошивке своего смартфона на базе Qualcomm на предмет интересных строк. Интересное нашлось в /vendor/bin/xtra-daemon:

vendor/etc/izat.conf: GTP_PRIVACY_VERSION_URL = https://info.izatcloud.net/privacy/version.html
vendor/bin/xtra-daemon: https://path1.xtracloud.net/xtra3Mgrbeji.bin
vendor/bin/xtra-daemon: nts.xtracloud.net
vendor/bin/xtra-daemon: time.xtracloud.net
vendor/bin/xtra-daemon: https://path1.xtracloud.net/xtra3grcej.bin
vendor/bin/xtra-daemon: https://path2.xtracloud.net/xtra3Mgrbeji.bin
vendor/bin/xtra-daemon: https://path2.xtracloud.net/xtra3grcej.bin
vendor/bin/xtra-daemon: https://path3.xtracloud.net/xtra3Mgrbeji.bin
vendor/bin/xtra-daemon: https://path3.xtracloud.net/xtra3grcej.bin

Скорее всего, именно эта программа лезет в сеть за данными A-GPS. Судя по всему, исходников к ней нет, и она поставляется в уже скомпилированном виде для включения в прошивки. Из прикольного - выдержка из политики конфиденциальности:

XTRA uploads the following data types: a randomly generated unique ID, the chipset name and serial number, XTRA software version, the mobile country code and network code (allowing identification of country and wireless operator), the type of operating system and version, device make and model, the time since the last boot of the application processor and modem, and a list of our software on the device).

Связка SoC ID ("the chipset ... serial number") и всех остальных сливаемых данных в теории легко позволит выявить пользователей из России даже за семью проксями.

Всю информацию собирал, можно сказать, на ходу, поэтому стоит проверить, действительно ли xtra-daemon лезет за A-GPS и, если да, затем как-нибудь его пропатчить, перенаправив на свой прокси (в идеале - с помощью magisk и его systemless модификаций, чтобы не марать руки ручной заменой байт).

А кто-нибудь задался вопросом о смысле такого "эмбарго"? Какой здравый смысл блокировать A-GPS? Кроме пользователей смартфонов от этого не страдает вообще никто. Ни крылатые ракеты ни авиация точно не пользуются им.

А какой здравый смысл блокировать вообще хоть что-то?

Здравый смысл потерян уже давно. А сейчас все стороны готовы сделать любую пакость противнику, если эта пакость не навредит им самим.

Интересно, а формат пакета A-GPS сильно проприетарный? Шифрованный?
Чтобы свой сервер поднять (подключить внешний GPS приемник к компьютеру, принимать данные от спутников и транслировать альманах с эфемеридами оттуда).

Бегло погуглил - этим занимались, с переменным успехом... https://www.researchgate.net/publication/351855783_Partial_Decoding_of_the_GPS_Extended_Prediction_Orbit_File

V. RESULTS AND DISCUSSION

At the end of this preliminary study, we partially succeeded in decoding the content of the Mediatek EPO-file. The partial layout is provided in the table XV. The Mediatek EPO-file format differs from the straightforward almanac counterpart of Qualcomm A-GPS format [1]. The respective binary file for Qualcomm gpsOne A-GPS service is provided in the table XVI. We assume that either the contents of the Mediatek EPO-file are heavily obfuscated or contain some additional data since the record size is more than enough to hold all necessary orbital elements for the satellite almanac. It is also possible, that the data on orbits is stored in the form of interpolation coefficients and, therefore, is unmatchable to the data, provided by the space agencies.

Плюс там в конце статьи еще интересные ссылки есть.

PS: И опять - преимущества хотя бы частично открытых систем, пользователи Android могут хоть что-то сделать, а когда Apple отрубит - будет гораздо сложнее.

сейчас все стороны готовы сделать любую пакость противнику, если эта пакость не навредит им самим.

А она при этом вредит. Как минимум - по принципу упущенной выгоды (тратят время на то, что им ничего не даёт).

Могут быть блокировки со стороны хоста, а не владельца сервиса.

Ты должен после этого "поменять свою философию" (С) и свергнуть режим, это же так просто.

(Создаётся ощущение, что люди аккуратно записали на бумажку и теперь исполняют все те гадости и небылицы, которые сочиняла про них российская пропаганда.)

Создаётся ощущение, что люди аккуратно записали на бумажку и теперь исполняют все те гадости и небылицы, которые сочиняла про них российская пропаганда

Угу.

А капитализм оказался в точности таким, каким его описывала советская пропаганда.

Когда слышим "эмбарго", заменяем на слово "война". Смысла не больше, но и не меньше, чем в ударах по инфраструктуре противника. При обострении отключат гуглосервисы и интернет в тех точках, в которых смогут.

Это война, сэр.

Поддерживаю. Если речь уже открыто идет о применении "грязных бомб" и ядерного оружия, то такая мелочь, как отключение сервисов и использование всех имеющихся бэкдоров в софте и оборудовании - легко.

<paranoid>Стоит подумать - а сделаны ли оффлайновые резервные копии конфигураций, прошивок для всего используемого оборудования, далеко ли лежат программаторы, если придется поднимать самоочистившиеся устройства? Есть ли резервные старые устройства (принтеры, ПК) на случай, если всё новое оборудование выйдет из строя - чтобы организовать хотя бы критичные рабочие места.</paranoid>

Да и просто бэкапы ценных данных проверить... :)

Если будет атака на инфраструктуру - это автоматическая ядерная война, программаторы не помогут

Ну что Вы, это при Советах так бы было. Например, в ответ на угрозу блокировки проливов Громыко пообещал проложить по территории Турции два новых пролива, с тех пор Турция об этом не заикалась.

Нами правят серьезные, интеллигентные люди, эффективные менеджеры с активами за рубежом. Такие простят и взрыв Северного потока с последствиями в виде одних оральных интервенций.

Если речь уже открыто идет о применении "грязных бомб" и ядерного оружия

Источник, я так понимаю, у вас в истории браузера сохранился?

Так то это уже недели полторы из всех утюгов звучит, посмотрите в поиске "грязная бомба" и "маломощное ядерное оружие". Счастливый вы человек.

Раньше про такое даже подумать боялись, а сейчас открыто рассуждают в СМИ - и ведь точно рванет, и каждая сторона будет обвинять в этом другую. Собаки...

Раньше об этом думали непрерывно, поэтому ничего и не произошло.

https://wikipedia.org/wiki/Семь_дней_до_реки_Рейн

Ну а сейчас ощущение, что применение тактического ядерного фугаса увижу. Повезет, если по телевизору.

С ссылкой проблема какая-то. Наверное, ру. должно быть.

"Из всех утюгов" звучать может любая хрень, особенно когда кому-то одному нужно раздуть проблему, например, из вырванной из контекста фразы. Я предполагал, что у вас есть какая-то более адекватная информация, чем то, что предназначено для масс (а следовательно, должно быть максимально тупым, чтобы все всё поняли правильно).

Одна мелочь. США/Европа по их же словам с Россией не воюют а только помогают Украине и очень не хотят воевать и этим обосновывают в том числе не использование своих воиск.
Не Украинские же агенты в Qualcomm все это устроили.


В результате возникает скажем так путаница на тему а что собственно является военными действиями а что ими НЕ является.

Смысл очевиден. В Орланах и прочих попильных поделиях российской оборонки используются готовые навигационные модули с алиэкспресса. Куча безаналговых поделий в виде всякого рода терминалов и защищённых телефонов для армии и находящихся под санкциями РЖД, Газпромов, Сбербанков и прочего представляют из себя перелицованные китайские телефоны с минимальной кастомизацией прошивок.

Пол часа ко времени холодного старта военного беспилотника - бесценно.

И сразу ответ на вопрос "разработчики же не идиоты, и заменят сервера". Нет, там именно идиоты и студенты с зарплатой 20 тысяч. "Неидиоты" не используют кривые и глючие модули с алиэкспресса, а как минимум, паяют свои под требования температурного режима и надёжности. И не используют первые попавшиеся куски кода из интернета и китайских SDK. А электронный артиллерийский планшет на китайском андроиде со временем холодного старта в десятки минут делают только идиоты и распильщики. В результате у батареи время развёртывания 5 минут, а у планшета - полчаса при ясной погоде.

В Орланах ... модули с алиэкспресса.

Ага, он поди еще и через старлинк управляется, через те же модули с алиэкспресса.

В Орланах уже давно почти всё с алиэкспресса. И даже супер-безаналоговый модуль радиосвязи, которой по документам 100% отечественный, совершенно беспалевно содержит впаянный целиком американский радиомодуль. От российского там только усилитель на импортных транзиторах и схема питания, тоже вся импортная. Раньше маркировку счищали и эпоксидкой заливали, а в последние годы и этого не делают.

Да ну, в тех условиях, где планируется применять такие модули, рассчитывать на наличие какого-либо доступа в интернет для загрузки данных agps несколько наивно.

И не так долго стартует GPS на холодную под открытым небом (сейчас специально взял планшет, перевел в режим полета, сбросил данные agps и выставил на окно - 1 минута 30 секунд до нормальной фиксации координат с точностью 3 метра). Если включить мобильную связь и WiFi - отфиксировался секунд за 7. И это видно меньше половины небесной сферы, если на открытом месте - было бы еще быстрее и точнее.

PS: Данные agps обновляются быстро и корректно, планшет Lenovo на SD625.

Наивно - применять кровельные саморезы для крепления обшивки и пятилитровые баклахи вместо топливных баков. А A-GPS загружается для ускорения холодного старта, и софт для этого писали криворукие студенты на основе китайского SDK. И берут данные они там, где и китайцы брали.
У вас разве модуль с китайского Алиэкспресса в Lenovo? У и у вас однозначно закэшировано предыдущее состояние. За 90 секунд до точности в 3 метра с холодного состояния обычный GPS никак включиться не может
Если на неделю вырубить планшет и потом включить или перевезти на достаточно большое расстояние, то GPS легко может 20 минут стартовать без связи.

Если включить мобильную связь и WiFi - отфиксировался секунд за 7. 

Это в городских условиях?

Да, обычная городская многоэтажка, видно немного меньше половины полусферы неба (не знаю - как выразить, в стерадианах, что ли ;) ). Половина перекрыта самим домом, и немного - соседними.

Любопытно, как это время изменится где-нибудь за городом, на удалении километров 5 от населённого пункта...

Предположил бы, что время без AGPS еще немного уменьшится (за счет большего количества видимых спутников, с которых будут параллельно получаться данные), а время с AGPS не изменится.

Провел сейчас чистый эксперимент, достал из сундука старый Samsung Note 10.1 N8010 (планшет на Exynos 4412) - лежал он там точно больше полугода выключенный, симки у него нет. Отключил в доме Wifi, закинул на него apk GPS Test, и поставил в то же место, что и вчера планшет Lenovo. Очень холодный старт занял около 8 минут, скорее всего из-за того, что было видно только 3 спутника GPS и 2 Glonass.

Вчера планшет Lenovo видел больше 15 спутников (6-8 GPS, 5-6 Glonass и нечто в количестве 4 шт, обозначенное SBAS, скорее всего - это EGNOS европейский досвечивает до СПб?). Видимо, повезло с расположением - отсюда и быстрый старт. Еще и погода была ясная, а сегодня плотные облака и дождь. В итоге сегодня он же рядом с самсунгом видел 7 спутников и этот же SBAS, и стартовал минуты за 3.

Выводы;

1) да, холодный старт может занять долгое время в неудачной позиции.
2) за 8 лет работа приемников сильно улучшилась.
3) если работа навигации критически важна - включай приемник заблаговременно. ;)

было видно только 3 спутника GPS и 2 Glonass.

Вчера планшет Lenovo видел больше 15 спутников

Спасибо!

Да, 3 спутника GPS - это вообще почти минимум. Стояли бы в линию, нифига бы не определился. Подозреваю, что что 2 Глонасса тут вообще не играли роли.
А вчера 6-8 GPS - это было в другом месте?

Нет, там же с точностью до пары сантиметров, просто спутники движутся и через час может уже совсем другая картина быть.

Я тут почитал про SBAS (https://ru.wikipedia.org/wiki/СДКМ) - скорее всего оно еще помогает быстрому старту на новой технике.

если работа навигации критически важна — включай приемник заблаговременно. ;)

Хм, а как включить заблаговременно GPS приёмник на телефоне? Он же отключается при блокировке экрана, а класть телефон в карман с разблокированным сенсорным экраном...

Включить и посмотреть геопозицию. Он закеширует нужную информацию и следующий старт будет уже не холодным, а теплым :)

И не используют первые попавшиеся куски кода из интернета и китайских SDK. 

Российские пилоты, штурмовики, бомбардировщики поголовно летают с телефонами на Android, закреплёнными в кабине, на фото такое часто вижу. Туда спецпрограмма из Goigle Play ставится. :)

Это уже вопросы к службе РЭБ и ЗГТ, раз такое проглядели

Может они заодно и летать сами начнут, или в пампасы - и там цели подсвечивать

Ну, справедливости ради, вы не правы. Судя по захваченным Украиной Орланам как раз модуль навигации свой: "Павел Кащук отметил улучшение качества сборки по сравнению с предыдущими захваченными моделями: практически все детали сделаны за рубежом. Исключением стал парашют и микросхема с GPS-модулем "МНП-М7". Последнюю в "Орланах" уже заменили на чип "Комета-М-ВТ", который производится по израильской лицензии, возможно, купленной еще до начала вторжения."

"МНП-М7", как раз, и пришлось заменить на китайские модули, так как у него координаты прыгали на 50..100 метров, а скорость на +-50км/ч, и даже китайские поделки вели себя лучше.
"Комета" - да. Но чип не в РФ производился и больше его нет и даже запасов уже нет. Теперь снова китайские поделки. В результате подавляющее большинство всего сделано реально на деталях с Алиэкспресс.

А источником сведений поделитесь? Украинские источники более чем устроят (только хоть с какими-то доказательствами; в статье, отрывок которой я цитировал, были фотки и т.д.).

Не поделюсь. Но, мне кажется, что даже тут на Хабре были тесты отечественных чипов навигации, и даже там "МНП-М7" показывал более чем странные результаты

Не, я именно про то, что сейчас там китайские чипы. Раньше (в 2018-ом) точно были (с маркировкой HC4060 2H7A201 и STC 12LE5A32S2 35i), но на всех последних разборах, что видел, были МНП и Кометы. Вот и хочу понять, точно заменили, или из Сирии и т.п. старьё завезли.

Прямо сейчас вообще ни черта не собирают по причине полного отсутствия комплектующих. Только старое ремонтируют и восстанавливают. Иногда с присвоением нового серийного номера и выдают за новое.
Перед этим собирали на китайском, иногда реально с Alibaba купленного.
Степень безумия была такова, что ставили чёрте-какие китайские моторы и даже пытались электромоторы ставить, по причине полного исчерпания бензиновых. Фотографии этих чудес можно найти сбитыми/упавшими.
Но потом кончилось всё остальное, включая "российские" блоки ВЧ связи и импортные камеры и процесс остановился окончательно. Камеры, например, через ГРУ организовано воровали в Швеции со столбов. Спецоперация, блин! Не для Оралов, но для БПЛА.

Камеры, например, через ГРУ организовано воровали в Швеции со столбов. Спецоперация, блин! Не для Оралов, но для БПЛА.

Это круче, чем плоская земля.

Спасибо за прекрасный образчик отсутствия критического мышления. Чем глупее слух, тем лучше он распространяется.