LINUX.ORG.RU
решено ФорумTalks

[dr.web] Украдены данные миллионов пользователей Android


0

0

Приложение, распространяемое через каталог Google Android Market, похитило данные миллионов пользователей и переправило их на некий сервер в Китае. Представить нечто подобное в App Store практически нереально.

На необычное поведение небольшой утилиты Jackeey Wallpaper обратили внимание специалисты компании Lockout, которые занимаются разработкой средств антивирусной защиты для мобильных устройств. В ходе ее изучения оказалось, что за фасадом поиска и загрузки фонов для рабочего стола, Jackeey Wallpaper также собирала всю информацию с аппарата пользователя, до которой только могла добраться. А добраться она могла до многого: журнала браузера, сообщений SMS, телефонный номер, пароли к голосовой почте и прочее прочее. Вся полученная информация отправлялась на сайт http://www.imnet.us, размещенный где-то в Китае. И это уже не просто проблема, а катастрофа.

Скриншот

Сколько именно людей успело загрузить Jackeey Wallpaper на свое Android-устройство сказать сложно, потому что точную статистику никто не ведет. Однако в самом оптимистичном варианте речь идет об 1,1 миллионе человек, а в худшем раскладе — 4,6 миллионнах.

Самое неприятное для пользователей Android заключается в том, что они никак не застрахованы от повторения подобных случаев. Кардинально побороть эту проблему можно лишь одним путем, по которому идет Apple — ввести суровую цензуру в каталоге и фильтровать все подозрительные приложения. Пойдет ли на это Google, которая всю концепцию системы Android построила на принципах открытости?

Впрочем, даже такая закрытая платформа, как iOS, не застрахована от появления на ней «двуличных» приложений. Последний такой пример имел место на прошлой неделе.

Источник

Др.Веб со свежими базами детектит?

Офф репы надо все-таки содержать в чистоте. Лучше сделать stable и trash-pit, и первый проверять

upcFrost ★★★★★ ()
Ответ на: комментарий от RussianNeuroMancer

>Есть. Пользователи собственноручно выпускали приложение из песочницы и разрешали доступ к личным данным и Интернет-соединению.

ССЗБ

Freiheits-Sender ★★ ()
Ответ на: комментарий от RussianNeuroMancer

а доступ к личным данным и доступ к интернет-соединению у андроида разделены? Я к тому, что если да, то меня бы удивило желание «фасада поиска и загрузки фонов рабочего стола» позырить мои данные, а если нет - то РЕШЕТООООО!

spunky ★★ ()
Ответ на: комментарий от spunky

а доступ к личным данным и доступ к интернет-соединению у андроида разделены?

String  	ACCESS_CHECKIN_PROPERTIES  	Allows read/write access to the "properties" table in the checkin database, to change values that get uploaded.
String 	ACCESS_COARSE_LOCATION 	Allows an application to access coarse (e.g., Cell-ID, WiFi) location
String 	ACCESS_FINE_LOCATION 	Allows an application to access fine (e.g., GPS) location
String 	ACCESS_LOCATION_EXTRA_COMMANDS 	Allows an application to access extra location provider commands
String 	ACCESS_MOCK_LOCATION 	Allows an application to create mock location providers for testing
String 	ACCESS_NETWORK_STATE 	Allows applications to access information about networks
String 	ACCESS_SURFACE_FLINGER 	Allows an application to use SurfaceFlinger's low level features
String 	ACCESS_WIFI_STATE 	Allows applications to access information about Wi-Fi networks
String 	ACCOUNT_MANAGER 	Allows applications to call into AccountAuthenticators.
String 	AUTHENTICATE_ACCOUNTS 	Allows an application to act as an AccountAuthenticator for the AccountManager
String 	BATTERY_STATS 	Allows an application to collect battery statistics
String 	BIND_APPWIDGET 	Allows an application to tell the AppWidget service which application can access AppWidget's data.
String 	BIND_INPUT_METHOD 	Must be required by input method services, to ensure that only the system can bind to them.
String 	BLUETOOTH 	Allows applications to connect to paired bluetooth devices
String 	BLUETOOTH_ADMIN 	Allows applications to discover and pair bluetooth devices
String 	BRICK 	Required to be able to disable the device (very dangerous!).
String 	BROADCAST_PACKAGE_REMOVED 	Allows an application to broadcast a notification that an application package has been removed.
String 	BROADCAST_SMS 	Allows an application to broadcast an SMS receipt notification
String 	BROADCAST_STICKY 	Allows an application to broadcast sticky intents.
String 	BROADCAST_WAP_PUSH 	Allows an application to broadcast a WAP PUSH receipt notification
String 	CALL_PHONE 	Allows an application to initiate a phone call without going through the Dialer user interface for the user to confirm the call being placed.
String 	CALL_PRIVILEGED 	Allows an application to call any phone number, including emergency numbers, without going through the Dialer user interface for the user to confirm the call being placed.
String 	CAMERA 	Required to be able to access the camera device.
String 	CHANGE_COMPONENT_ENABLED_STATE 	Allows an application to change whether an application component (other than its own) is enabled or not.
String 	CHANGE_CONFIGURATION 	Allows an application to modify the current configuration, such as locale.
String 	CHANGE_NETWORK_STATE 	Allows applications to change network connectivity state
String 	CHANGE_WIFI_MULTICAST_STATE 	Allows applications to enter Wi-Fi Multicast mode
String 	CHANGE_WIFI_STATE 	Allows applications to change Wi-Fi connectivity state
String 	CLEAR_APP_CACHE 	Allows an application to clear the caches of all installed applications on the device.
String 	CLEAR_APP_USER_DATA 	Allows an application to clear user data
String 	CONTROL_LOCATION_UPDATES 	Allows enabling/disabling location update notifications from the radio.
String 	DELETE_CACHE_FILES 	Allows an application to delete cache files.
String 	DELETE_PACKAGES 	Allows an application to delete packages.
String 	DEVICE_POWER 	Allows low-level access to power management
String 	DIAGNOSTIC 	Allows applications to RW to diagnostic resources.

To be continue ...

sS ★★★★★ ()
Ответ на: комментарий от sS
String 	DISABLE_KEYGUARD 	Allows applications to disable the keyguard
String 	DUMP 	Allows an application to retrieve state dump information from system services.
String 	EXPAND_STATUS_BAR 	Allows an application to expand or collapse the status bar.
String 	FACTORY_TEST 	Run as a manufacturer test application, running as the root user.
String 	FLASHLIGHT 	Allows access to the flashlight
String 	FORCE_BACK 	Allows an application to force a BACK operation on whatever is the top activity.
String 	GET_ACCOUNTS 	Allows access to the list of accounts in the Accounts Service
String 	GET_PACKAGE_SIZE 	Allows an application to find out the space used by any package.
String 	GET_TASKS 	Allows an application to get information about the currently or recently running tasks: a thumbnail representation of the tasks, what activities are running in it, etc.
String 	GLOBAL_SEARCH 	This permission can be used on content providers to allow the global search system to access their data.
String 	HARDWARE_TEST 	Allows access to hardware peripherals.
String 	INJECT_EVENTS 	Allows an application to inject user events (keys, touch, trackball) into the event stream and deliver them to ANY window.
String 	INSTALL_LOCATION_PROVIDER 	Allows an application to install a location provider into the Location Manager
String 	INSTALL_PACKAGES 	Allows an application to install packages.
String 	INTERNAL_SYSTEM_WINDOW 	Allows an application to open windows that are for use by parts of the system user interface.
String 	INTERNET 	Allows applications to open network sockets.
String 	MANAGE_ACCOUNTS 	Allows an application to manage the list of accounts in the AccountManager
String 	MANAGE_APP_TOKENS 	Allows an application to manage (create, destroy, Z-order) application tokens in the window manager.
String 	MASTER_CLEAR 	
String 	MODIFY_AUDIO_SETTINGS 	Allows an application to modify global audio settings
String 	MODIFY_PHONE_STATE 	Allows modification of the telephony state - power on, mmi, etc.
String 	MOUNT_FORMAT_FILESYSTEMS 	Allows formatting file systems for removable storage.
String 	MOUNT_UNMOUNT_FILESYSTEMS 	Allows mounting and unmounting file systems for removable storage.
String 	PERSISTENT_ACTIVITY 	Allow an application to make its activities persistent.
String 	PROCESS_OUTGOING_CALLS 	Allows an application to monitor, modify, or abort outgoing calls.
String 	READ_CALENDAR 	Allows an application to read the user's calendar data.
String 	READ_CONTACTS 	Allows an application to read the user's contacts data.
String 	READ_FRAME_BUFFER 	Allows an application to take screen shots and more generally get access to the frame buffer data
String 	READ_HISTORY_BOOKMARKS 	Allows an application to read (but not write) the user's browsing history and bookmarks.
String 	READ_INPUT_STATE 	Allows an application to retrieve the current state of keys and switches.
String 	READ_LOGS 	Allows an application to read the low-level system log files.
String 	READ_OWNER_DATA 	Allows an application to read the owner's data.
String 	READ_PHONE_STATE 	Allows read only access to phone state.

To be continue ...

sS ★★★★★ ()
Ответ на: комментарий от sS
String 	READ_SMS 	Allows an application to read SMS messages.
String 	READ_SYNC_SETTINGS 	Allows applications to read the sync settings
String 	READ_SYNC_STATS 	Allows applications to read the sync stats
String 	REBOOT 	Required to be able to reboot the device.
String 	RECEIVE_BOOT_COMPLETED 	Allows an application to receive the ACTION_BOOT_COMPLETED that is broadcast after the system finishes booting.
String 	RECEIVE_MMS 	Allows an application to monitor incoming MMS messages, to record or perform processing on them.
String 	RECEIVE_SMS 	Allows an application to monitor incoming SMS messages, to record or perform processing on them.
String 	RECEIVE_WAP_PUSH 	Allows an application to monitor incoming WAP push messages.
String 	RECORD_AUDIO 	Allows an application to record audio
String 	REORDER_TASKS 	Allows an application to change the Z-order of tasks
String 	RESTART_PACKAGES 	Allows an application to restart other applications.
String 	SEND_SMS 	Allows an application to send SMS messages.
String 	SET_ACTIVITY_WATCHER 	Allows an application to watch and control how activities are started globally in the system.
String 	SET_ALWAYS_FINISH 	Allows an application to control whether activities are immediately finished when put in the background.
String 	SET_ANIMATION_SCALE 	Modify the global animation scaling factor.
String 	SET_DEBUG_APP 	Configure an application for debugging.
String 	SET_ORIENTATION 	Allows low-level access to setting the orientation (actually rotation) of the screen.
String 	SET_PREFERRED_APPLICATIONS 	This constant is deprecated. No longer useful, see addPackageToPreferred(String) for details.
String 	SET_PROCESS_LIMIT 	Allows an application to set the maximum number of (not needed) application processes that can be running.
String 	SET_TIME_ZONE 	Allows applications to set the system time zone
String 	SET_WALLPAPER 	Allows applications to set the wallpaper
String 	SET_WALLPAPER_HINTS 	Allows applications to set the wallpaper hints
String 	SIGNAL_PERSISTENT_PROCESSES 	Allow an application to request that a signal be sent to all persistent processes
String 	STATUS_BAR 	Allows an application to open, close, or disable the status bar and its icons.
String 	SUBSCRIBED_FEEDS_READ 	Allows an application to allow access the subscribed feeds ContentProvider.
String 	SUBSCRIBED_FEEDS_WRITE 	
String 	SYSTEM_ALERT_WINDOW 	Allows an application to open windows using the type TYPE_SYSTEM_ALERT, shown on top of all other applications.
String 	UPDATE_DEVICE_STATS 	Allows an application to update device statistics.
String 	USE_CREDENTIALS 	Allows an application to request authtokens from the AccountManager
String 	VIBRATE 	Allows access to the vibrator
String 	WAKE_LOCK 	Allows using PowerManager WakeLocks to keep processor from sleeping or screen from dimming
String 	WRITE_APN_SETTINGS 	Allows applications to write the apn settings
String 	WRITE_CALENDAR 	Allows an application to write (but not read) the user's calendar data.
String 	WRITE_CONTACTS 	Allows an application to write (but not read) the user's contacts data.
String 	WRITE_EXTERNAL_STORAGE 	Allows an application to write to external storage
String 	WRITE_GSERVICES 	Allows an application to modify the Google service map.
String 	WRITE_HISTORY_BOOKMARKS 	Allows an application to write (but not read) the user's browsing history and bookmarks.
String 	WRITE_OWNER_DATA 	Allows an application to write (but not read) the owner's data.
String 	WRITE_SECURE_SETTINGS 	Allows an application to read or write the secure system settings.
String 	WRITE_SETTINGS 	Allows an application to read or write the system settings.
String 	WRITE_SMS 	Allows an application to write SMS messages.
String 	WRITE_SYNC_SETTINGS 	Allows applications to write the sync settings

Ещё вопросы есть ?

sS ★★★★★ ()
Ответ на: комментарий от RussianNeuroMancer

Нужны песочницы для пользователей с ограничением доступа к девайсу.

wxw ★★★★★ ()
Ответ на: комментарий от sS

исчерпывающий ответ. Спасибо. Хотя и достаточно было просто ответить «да».

з.ы. Осталось только выяснить, как предоставляются эти права приложениям в андроиде, может там тупо спрашивается «разрешить всё?» и после успешного социального хака автоматом грантуют все виды доступа?

spunky ★★ ()
Ответ на: комментарий от spunky

При установке из маркета выдаётся список пермишинов которое запрашивает приложение и 2 кнопки: «Устанавливать» и «Не устанавливать». Догадайся что выбирают хомячки :))

sS ★★★★★ ()
Ответ на: комментарий от filosof

Google как всегда жжёт.

Кстати тут намедни смотрел их карты, и обнаружил что Абхазия изображена как часть Грузии. Куда слать багрепорт?

fdd2 ()
Ответ на: комментарий от fdd2

>>> Кстати тут намедни смотрел их карты, и обнаружил что Абхазия изображена как часть Грузии. Куда слать багрепорт?

Обаме, наверно :) Как признает независимость Абхазии, так Гугл сразу исправит всё на своих картах.

Flying_Funk ()
Ответ на: комментарий от Cancellor

>какие-то заниженные у них показатели

Так это только те, у которых ондроед, очевидно же

Zloddey ()
Ответ на: комментарий от fdd2

> Кстати тут намедни смотрел их карты, и обнаружил что Абхазия изображена как часть Грузии. Куда слать багрепорт?

Это нормально, каждый видит мир по-своему. Тут вон недавно один кадр утверждал, что в его параллельной вселенной Россия занимает 1/3 суши. Ничего страшного. :)

Relan ★★★★★ ()
Ответ на: комментарий от Karapuz

> Линукс же нельзя взломать и в нем нет вирусов?

Перестань троллить :) Когда человек сам скачивает, устанавливает и даёт все необходимые права - это не взлом и не вирус. Это раздолбайство называется.

Deleted ()
Ответ на: комментарий от sS

«Full internet access» требует большинство (если не все) приложений из маркета с рекламой, так что это давно перестало кого-либо настораживать. Вот «Read contact data» для обоев - это уже да...

alegz ★★ ()
Ответ на: комментарий от sS

При установке из маркета выдаётся список пермишинов которое запрашивает приложение и 2 кнопки: «Устанавливать» и «Не устанавливать»

и в этом самая главная проблема. доступ к функциям надо давать руками а не оптом разрешать или запрещать все

tmp_do ()
Ответ на: комментарий от fdd2

Кстати тут намедни смотрел их карты, и обнаружил что Абхазия изображена как часть Грузии.

«Я тут недавно смотрел карты Генштаба... Так вот, на них нет Америки. Вообще...» (с) ДаунХаус :)

the_warlick ()
Ответ на: комментарий от Karapuz

> Линукс же нельзя взломать и в нем нет вирусов?

Столько звездочек, а говоришь такие глупости. Тут же школьники ходят.

Liosha_Syrnikov ()
Ответ на: комментарий от fdd2

> Кстати тут намедни смотрел их карты, и обнаружил что Абхазия изображена как часть Грузии.

Багрепорт, говоришь. Большая часть штатовцев не в курсе, где находится Россия, а те кто в курсе, считают, что украина начинается в районе питера. В общем они там с географией знакомы как виндовые пользователи с командной строчкой.

Liosha_Syrnikov ()
Ответ на: комментарий от tmp_do

> доступ к функциям надо давать руками а не оптом разрешать или запрещать все

тогда половина софта тупо не стартанет.

o4kareg ()
Ответ на: комментарий от tmp_do

доступ к функциям надо давать руками а не оптом разрешать или запрещать все

Нужно просто делать как Mozilla - есть проверенные плагины, а есть экспериментальные. Но если уж у плагина стоит статус «Проверенный» то Гугл должен отвечать за него.

the_warlick ()
Ответ на: комментарий от tmp_do

>доступ к функциям надо давать руками а не оптом разрешать или запрещать все

Проведи эксперимент. Удали нужный для приложения пермишн из манифеста и сообщи о результатах :)

Или есть желание иметь приложение которое будет падать при вызове определённых функций ? :)

sS ★★★★★ ()
Ответ на: комментарий от sS

есть желание иметь приложение с обработчиком ошибок, а не гавно наколенное сделанное самыми хитрыми китайсами.

spunky ★★ ()
Ответ на: комментарий от spunky

>есть желание иметь приложение с обработчиком ошибок

Список пермишинов видел ? Если ловить ошибки то список ошибок будет соответствующий. Весь код прошитый SEH-ом только и будет этим заниматься.


PS: Забыть выставить нужный пермишн в манифесте это вообще любимая ошибка. Догадайся какой скелетон мантфеста используют чтоб в манифест руками не лазать постоянно :))

sS ★★★★★ ()
Ответ на: комментарий от sS

чтож, это, ИМХО, отличный критерий профессионализма разработчиков каждого отдельного приложения.

spunky ★★ ()
Ответ на: комментарий от Deleted

>Когда человек сам скачивает, устанавливает и даёт все необходимые права - это не взлом и не вирус

Другими словами, авторан на флешках - это не взлом и не вирус. Это раздолбайство называется.

wxw ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.