Previous Entry Share Next Entry
2016-01

Купи Android — раскрой свои секреты всему свету!

Оригинал взят у svarttestare в Купи Android — раскрой свои секреты всему свету!

Рассадник

Случилось то, что давно уже напрашивалось: в результате наплевательской политики Google по отношению к собственной платформе, к софту, который создавался для неё, а главное — к конечным пользователям, ставшим невольными жертвами мощного пиара низкопробного продукта, Android был назван самой небезопасной платформой.

Можно долго спорить о том, насколько авторитетной является компания Kaspersky Lab в вопросах борьбы с вредоносным ПО, но нельзя отрицать факт роста количества этого самого ПО и случаев заражения устройств с Android за последний год.

Только за этот неполный 2011 год Google уже столько раз обделалась со своим Android, что просто стыдно:

Март: вредоносное ПО в официальном маркете достигает невиданных объёмов

Десятки тысяч пользователей смартфонов на Android загрузили зараженные приложения, которые крали их персональные данные и незаметно отправляли сообщения на платные номера.

Google удалила 55 таких приложений из своего официального маркета после многочисленных жалоб пользователей.

Эти приложения имитировали популярные безобидные программы, но благодаря уязвимостям во многих версиях Android позволяли своим разработчиками получать доступ к персональной информации пользователей.

Google не ответила на просьбу прокомментировать ситуацию.

Июнь: обнаружены зараженные дополнения к популярной игре Angry Birds

Фанаты игры Angry Birds, будьте осторожны! Google удалила как минимум 10 приложений из Android Market, которые были обозначены как расширения или читы для игры Angry Birds.

Некоторые из приложений были заражены программой Plankton. Эта программа подключалась к удалённому серверу и загружала на него информацию о вашем устройстве, например код IMEI. Коды IMEI часто используются для идентификации устройств операторами и, например, помещения устройства в «чёрный список» в случае его кражи. Кроме того, Plankton крадёт информацию о ваших закладках и истории посещений веб-сайтов.

Google удалила подозрительные программы в начале июня. К сожалению, вредоносное ПО может долго находиться в «инкубационном периоде» прежде чем будет активировано или обнаружено. Тогда, в марте, Google удалила почти 60 приложений из Android Market, но 200000 человек успели до этого загрузить их.

Кроме Plankton, были обнаружены и другие вредоносные программы. Одна из них называлась YZHCSMS. Это троянский конь, который незаметно от пользователя отправлял сообщения на платные номера. Обнаруживший его разработчик заявил, что троянец находился на Android Market почти три месяца, пока Google сообразила, что происходит.

Июль: на китайском рынке появляется новый троянец

Этот троянец не обнаруживается ни одним антивирусом. Он рассылает сообщения на платные номера, а также удаляет входящие сообщения предупредительного характера от операторов.

Август: для смартфонов на Android обнаружено новое вредоносное ПО

В этот раз оно «просто» записывает телефонные разговоры пользователей.

Сентябрь: опубликованы две серьёзные уязвимости в Android

Эти уязвимости за целый месяц никто не исправил!

Первая уязвимость позволяет приложениям устанавливаться без разрешения пользователя. Эта уязвимость позволяет атакующей стороне беспрепятственно устанавливать вредоносное ПО, которое затем получает доступ к контактам и может отправлять информацию личного характера на номера злоумышленников.

Вторая уязвимость находится в ядре Linux, на основе которого построен Android. Эта уязвимость позволяет приложениям с ограниченными привилегиями получить полный доступ к устройству. Уязвимый код находится во многих популярных устройствах на базе Android, например в Nexus S.

Представитель компании Google отказался комментировать ситуацию.

Октябрь: появляется вредоносное ПО, обманывающее пользователя

Это приложение якобы следило за здоровьем аккумулятора и сообщало пользователю о его состоянии. На самом же деле, приложение, устанавливаемое простым кликом на рекламном баннере в браузере, собирало контакты и электронные адреса пользователя, информацию о его беспроводной сети и идентификационную информацию об устройстве, а затем периодически загружало всё это на удалённые сервера.

Подобное распиздяйство привело к закономерному результату и Android теперь носит ярлык платформы, которой нельзя доверять.

Чем думают люди, покупая «ой какой красивый красный телефончик!» на Android? Может ли здравомыслящий человек сознательно купить пусть даже и качественное по части «железа» устройство, но с абсолютным куском говна по части платформы и ПО?

Чтобы разобраться в этом, я разделю покупателей на несколько категорий:

  1. Человек не разбирается в тонкостях и особенностях платформ, ему всё равно, что внутри, он смотрит только на внешний вид аппарата.
  2. Человек хорошо обработан рекламой Android, модным трендом о «два ядра, два гига». Человек доверчив и думая, что раз google.com такой известный поисковик, то автоматически всё, что носит бренд Google, будет таким же замечательным и высококачественным.
  3. Человек не может себе позволить iPhone или топовые смартфоны Nokia, потому что они ему по каким-то (не всегда объективным причинам) не нравятся.
  4. Человеку телефон просто подарили или впарили по акции (см. также пункт 2).
  5. Идейные, блядь! Ну как же без них? «Я куплю телефон на Android, потому что это Linux и свобода!».

К сожалению, людей из категории 1 больше всего. Даже несмотря на то, что на дворе уже давно 21 век, многие всё ещё очень далеки от ИТ. По сути, я таких людей в выборе не виню — им без необходимости понимать, что к чему в мобильном мире — они просто занимаются своими делами и зашли в магазин купить телефон. Они полагаются на добросовестность производителя телефона и ПО к нему, но в случае с последним прогадывают начисто.

Категория 2 во многом характеризует молодое, незрелое поколение, далёкое от ИТ — какие-нибудь «менеджеры среднего звена», продающие корм для животных, офисные стулья или водку, «очищенную молоком». Такие люди верят в разноцветную надпись Google и безоговорочно, преисполненные надежд, выбирают «зелёного уродца» с билбордов.

Категория 3 — это, очевидно, студенты и прочий неработающий люд. Справедливости ради стоит отметить, что для этой категории людей также играют роль известные аффирмации «айфонами пользуются дизайнеры, а они все педики, значит айфоны — это телефоны для педиков» или что-то проще вида «у меня была нокия n лет назад, так у неё быстро облез корпус и кнопки, потом вообще глючить начала, короче испортилась уже нокия, да и зачем переплачивать за имя?». Добавьте к этому стойкое нежелание данной категории людей работать и зарабатывать, вот и получим на выходе очевидный выбор — бюджетный телефон на Android.

Люди категории 4 довольно часто встречаются, при этом им обычно дарят уже именно устройство, а не деньги на его покупку. Поэтому, здесь в роли жертвы рекламы выступают дарители, невольно делая именинников и виновников прочих торжеств жертвами тоже, но уже в другом смысле.

Категория 5 — это просто сказка: таких перлов, какие можно услышать от этого типа людей, не найти ни в одном сборнике юмористических историй и анекдотов. Характерные особенности людей этой категории тесно переплетены с особенностями категории 3, так как студенчество — идеальная почва для взращивания идей линукссвободы от ответственности и качества. Людям категории 5 также часто свойственна первая аффирмация из категории 3 и тотальная, всепоглощающая ненависть к Microsoft и Apple.

Я думаю, что чтобы сделать правильный выбор, человек должен понимать всего две простые вещи:

  • у выбираемой вами платформы должна быть своя развитая экосистема. Ещё лучше, если эта экосистема распространяется не только на мобильные устройства. Наличие экосистемы свидетельствует о том, что производитель платформы несёт ответственность за неё (платформу) и готов предоставить вам качественный продукт с должной поддержкой.
  • производитель платформы должен иметь опыт в разработке софта. Это важно, потому что продавец колбасы вряд ли сделает качественный ландшафтный дизайн в вашем загородном особняке, а заслуженный врач не отремонтирует ваш автомобиль. Так получилось и с Google — компания, основной статьёй дохода которой всегда являлась реклама, полезла не в своё дело. В результате получилась вечно недоделанная, дырявая и небезопасная с пользовательской точки зрения платформа, за которую Google не несёт никакой ответственности.

Желаю вам всегда делать взвешенный, разумный и правильный выбор, который в будущем поможет вам не оказаться в неприятной ситуации или даже у разбитого корыта. Экономьте своё время и берегите свои секреты!


  • 1
palm_mute November 4th, 2011
...Человек не может себе позволить iPhone...
Категория 3 — это, очевидно, студенты и прочий неработающий люд
... Добавьте к этому стойкое нежелание данной категории людей работать и зарабатывать...


LOL.

Айтишники, все-таки, узколобый народ. Такие далеко идущие выводы из нежелания тратить 1000$ на игрушку.

wizzard0 November 4th, 2011
Это да. А вот с общим отношением G. к ОС и юзерам - согласен.

vannadis November 4th, 2011
какая феерическая хрень, ну.

Я сейчас нахожусь на противоположной стороне баррикад.
Нам нужно написать приложение, которое дергает все API, описанное в посте. Не с целью кого-то развести, конечно.
В итоге, единственной платформой, на которой можно реализовать все по требованию заказчика - это как раз андроид. На остальных платформах приходится выдумывать какие-то слабожизнеспособные костыли.

Единственное, чего _действительно_ не хватает маркету и андроиду - это модерации. Все.
Оставьте платформу в покое.


wizzard0 November 4th, 2011
Да, и более того, я считаю, что Андроид вытеснит яблов и возможно винфон. И будет доминирующей платформой (он и сейчас, де-факто, есть)

В этой статье автор нигде не говорит, что андроид сам по себе плох.

А вот с точки зрения безопасности он представляет собой худшие моменты Microsoft сейчас (где-то на уровне Win98, имхо), и с этим я согласен.

vannadis November 4th, 2011
>>В этой статье автор нигде не говорит, что андроид сам по себе плох.

Wut? мы читали разные статьи?

"Чем думают люди, покупая «ой какой красивый красный телефончик!» на Android? Может ли здравомыслящий человек сознательно купить пусть даже и качественное по части «железа» устройство, но с абсолютным куском говна по части платформы и ПО?"

wizzard0 November 4th, 2011
я уже привык игнорировать тпассажи про говно в интернетах :-) меня интересует чисто контекст ИБ

svarttestare November 4th, 2011
Ну да, «костыли». Может быть вы просто не знаете как это программровать на других платформах, поэтому и костыли мерещатся?
Собственно, вы даже не пояснили а что же конкретно нужно было сделать.

vannadis November 4th, 2011
Я лично не знаю, факт, но знают девелоперы, ответственные за эти платформы.

Например, одно из приложений - это такой "телефон для детей".
Когда апп должен знать и отправлять родителю информацию об активности ребенка, блокировать некоторые функции телефона(например, блокировать входящий звонок или не давать совершать исходящие звонки после 9ти часов вечера, установку некоторых программ etc), висеть демоном.
Если Вы знаете, как реализовать всё это для айфона - поделитесь, мы даже готовы заплатить.

3jia5l_ca6aka November 4th, 2011
Ничего плохого (разве что, черный пиар несколько повредит) пока не вижу,
заведомо было понятно, что на андроиде куда больше свободы, чем на других платформах, а если прибавить сюда популярность - это практически равнозначно собственноручному привлечению внимания злоумышленников к платформе. Андроид еще совсем молод, я считаю все у него будет хорошо. Да, ставитьли все подряд и джеилбрейкать человек решает сам, нужна еще большая свобода? Будь готов платить

mona_sax November 4th, 2011
либо шашечки, либо ехать, в iOS тоже проблем хватает.
для шашечек - вин, иос и дроид, куча приложений на все случаи жизни, интерфейс - красивенько-глянцево-юзерфрендли, безопасность - а она нужна??

для ехать - задротоплатформы, миго-маэмы-симбианы, бб. минимум приложений, половина из этого минимума не работает, правда есть почти всё для рабочих задач и этого должно быть достаточно. и безопасно в определенной степени, потому что эти платформы - неуловимый Джо. который неуловим, потому что нахрен никому не нужен.

wizzard0 November 4th, 2011
> неуловимый Джо

а вот это правда (за исключением кроссплатформенных дыр)

vannadis November 4th, 2011
блеать, ну почему все упоминают в ББ даже нихрена не разбираясь в ней? (извините, личное)

ББ спокойно позволяет отсылать свой IMEI куда угодно.
ББ спокойно позволяет получить телефонный лог, более того, не только получить, но и изменить его. У меня как-то проскакивала деструктивная идея для ББ, сделать софтинку, которая будет заменять рандомные контакты в логе принятых-исходящих звонков на что-то в духе "котик" и "зайка". Ну это для ревнивых жен, да.
ну и опять же, если повесить апп на бэкграунд, то есть полный доступ ко входящим звонкам и смс.
И даже еще круче. В 5й версии платформы можно запросить разрешение на эмуляцию инпута(В 6й и 7й, ЕМНИП, это разрешение уже нужно устанавливать вручную). То есть можно эмулировать нажатие любой клавиши.

mona_sax November 4th, 2011
меньше, меньше нервов). про абсолютную безопасность бб не написано, если трудность в понимании, то выделяю
> и безопасно в определенной степени
я говорю про скорее психологическую сторону(типичный пользователь платформы ХХХ при условии что на платформе доступно или не доступно большое количество приложений) и про последствия вредоносного приложения/уязвимости.

в App World ты с такой же легкостью опубликуешь своё приложение, как в маркете??
не, я не отрицаю, что есть "мп3 скачять бисплатно", но вот чисто с точки зрения использования штатных источников приложений и использования каналов связи(фишинг??).
и - бб настолько распространен вне ынтерпрайза, чтобы последствия запуска этой софтины были ощутимы для большого количества хомячков??

vannadis November 4th, 2011
оно безопасно в той же степени, что и андроид. давай тогда и гуглооперационку причислим к безопасным в _определенной степени_.

я последний раз его публиковала года 2 назад. Тогда вроде было легко, только текста много писать надо было. да и его можно ставить в обход маркета, как и apk. Чай не эппл.

Что касается тырпрайза. Я вот работаю в большом бизнес центре, и у нас этажей 5 занимает всякий странный мутный народ, с которым я регулярно сталкиваюсь в лифте.
И вот знаешь, у большей половины ББ. У нас тогда как раз была проблема с настройкой ББ-сервисов в Украине, потому я стала этих человеков отлавливать и пытать. И, знаешь, почти все как один используют ББ только как звонилку. В компании им их чтоли раздали "для престижу", а настраивать собсно основные фишки, видать, не потребовалось.
Так что их больше, чем можно предположить.

  • 1
?

Log in

No account? Create an account