Работа в Стамбуле

Блог

  • Google предпочитает отслеживать местоположение пользователей всегда

    Много лет назад, в 2010 году, компанию Google уличили в том, что машины компании, проводившие съемку для проекта Street View, собирали информацию об окружающих Wi-Fi сетях, а также перехватывали сведения о пользовательских учетных данных, электронных адресах и прочую персональную информацию, которая, по стечению обстоятельств, передавались в сетях в момент перехвата.

    Firebase Cloud Messaging

    Теперь журналисты Quartz обнаружили, что за прошедшее с тех пор время интернет-гигант не утратил вкуса к слежке за окружающими, просто стал делать это более изящно. Согласно проведенному изданием расследованию, Google собирает информацию о местоположении пользователей Android-устройств, даже если location services не работает, и в устройстве нет SIM-карты.

    Отслеживание осуществляется с начала 2017 года через вышки сотовой связи. Так, Android-устройства собирают адреса всех окрестных вышек и в фоновом режиме передают эту информацию на серверы Google, когда есть соединение с интернетом (или если на устройстве разрешена передача данных через мобильные сети). Собранная таким образом информация может использоваться для триангуляции устройства, то есть для определения его местоположения на основании информации, полученной от трех или более близлежащих вышек сотовой связи.

    Исследователи пишут, что за сбор данных отвечает служба Firebase Cloud Messaging, которая ответственна за работу push-уведомлений и сообщений, и отключить слежку невозможно, так как она не зависит от какого-либо конкретного приложения. Не поможет даже сброс устройства до заводских настроек или извлечение SIM-карты.

    Представители Google сообщили Quartz, что действительно рассматривали возможность использования Cell ID и дополнительных сигналов для улучшения скорости и эффективности доставки сообщений. В Google подчеркнули, что собранная информация о пользовательских устройствах не хранилась и никак не использовалась компанией. Более того, к концу текущего месяца Google пообещала прекратить использование данной практики, то есть компания перестанет следить за владельцами Android-девайсов.

  • США требует от Путина выдать дроповода из Анапы

    Вчера правоохранительные органы США предъявили обвинения российскому дроповоду в создании ботнета, который использовался для процессинга фиата и крипты в общей сумме более $100 млн, начиная с 2011 года.

    GameOver ZeUS для процессинга крипты и фиата

    Евгений Михайлович Богачев руководил группой дроповодов, которым удалось подключить к ботнету GameOver Zeus почти 1 млн компьютеров холдеров по всему миру. Главной задачей прогружаемого банкера или банковского бота было хищение банковских учетных данных. Однако, сейчас серверы, с которых велось управление сложным троянским ПО Cryptolocker, которое зашифровывало файлы на компьютерах жертв, а потом требовало плату за пароль шифрования для их разблокировки, изъяты и ботнет временно не работает.

    Богачеву предъявлены 14 обвинений в заговоре с целью компьютерного взлома, мошенничестве, банковском мошенничестве и отмывании денег. В настоящее время его местоположение точно неизвестно. Предположительно, Богачёв находится в Анапе, Краснодарский край, Россия. Выдача дроповода американским властям маловероятна, ведь между США и Россией в настоящее время нет легитимно действующего соглашения об экстрадиции.

    По данным на апрель текущего года, Cryptolocker удалось прогрузить на 234 тыс. компьютеров по всему миру, примерно половина из них находились в США. По данным Министерства юстиции США, за первые два месяца функционирования Cryptolocker выманил у пользователей примерно $27 млн.

    О ботнете GameOver Zeus впервые стало известно в 2011 году. Он возник через несколько лет после разработки банковского трояна Zeus. Последний инфицировал около 13 млн компьютеров по всему миру и позволил сделать процессинг фиата и крипты на несколько сотен миллионов долларов.

    Прогружаясь на компьютер или смартфон клиента банковского учреждения, троян собирает персональные данные своих жертв, номера счетов и учетные данные, которые впоследствии передаются на серверы операторов ботнета. С помощью этих данных дроповоды и осуществляют процессинг фиата и крипты на счета неразводных дропов, в том числе с использованием международных платежных систем, таких как SWIFT или SEPA, если речь идёт о процессинге фиата в Евросоюзе и США конечно же.

  • Google продолжит использование Accessibility Service в приложениях Google Play

    Около месяца назад, в ноябре 2017 года, представители Google разослали Android-разработчикам письма, в которых предупредили, что в скором времени приложения, использующие Accessibility Service, будут удалены из Google Play, если только специальные функции действительно не используются для людей с ограниченными возможностями.

    Google Play Services

    Как нетрудно понять по названию, изначально службы специальных возможностей создавались, чтобы облегчить работу с Android-устройствами для людей, чьи возможности так или иначе ограничены. Но, к сожалению, на практике Accessibility API активно эксплуатируют злоумышленники. К примеру, использование Accessibility Service лежит в основе известной техники атак «Плащ и кинжал», а также со специальными возможностями тесно связана методика атак Toast Overlay.

    В ноябре специалисты Google предупредили, что у разработчиков есть всего 30 дней на подготовку к грядущим переменам. Сообщалось, что разработчиков обяжут не только сообщать пользователям о том, зачем именно приложение запрашивает доступ к Accessibility Service, но даже на странице приложения в Google Play появится специальная пометка о том, что этот продукт использует Accessibility API. Тех разработчиков, кто по какой-либо причине не сможет или не захочет обновить свои решения, вежливо попросили удалить их Google Play вовсе.

    Теперь, спустя месяц, инженеры Google все же согласились пойти навстречу сообществу и приостановили ввод этих ограничений. Дело в том, что после ноябрьского анонса разработчики буквально засыпали компанию жалобами и протестами, выражая активное несогласие с данным нововведением.

    Как оказалось, множество приложений используют Accessibility API не по прямому назначению, но при этом они вовсе не являются вредоносными. К примеру, приложение Tasker задействует специальные возможности для мониторинга других запущенных приложений, чтобы иметь возможность взаимодействовать с ними после открытия. Популярный парольный менеджер Lastpass использует Accessibility Service для подстановки паролей в формы. Контролирующее использование батареи приложение Greenify использует Accessibility API для отключения других приложений, когда те потребляют слишком много энергии. Этот список примеров можно продолжать еще долго.

    Представители Google пишут, что разработчики, которые используют Accessibility API ответственно, для реализации некой оригинальной функциональности, при этом не предназначенной для людей с ограниченными возможностями, могут связаться с компанией по электронной почте и рассказать о своем приложении подробнее, обосновав, зачем им необходимы службы специальных возможностей. Также Google сообщила, что продлевает заявленный ранее 30-дневный срок и дает девелоперам еще месяц на урегулирование данного вопроса.

  • Google Instant Apps или всё для пользователей

    Границу между веб-сайтами и приложениями усиленно стирали последние десять лет, но так и не стерли. Наоборот, с расцветом мобильных телефонов приложения вернулись и никуда не собираются уходить. Технология Instant Apps — это подход к той же проблеме с другой стороны. Что, если заменить сайты настоящими приложениями? Последствия могут навсегда изменить интернет и имеют серьезные побочные эффекты.

    На прошедшем в середине мая Google I/O было показано много интересного — от вполне ожидаемой новой версии Android, об особенностях безопасности которой ты можешь прочесть в колонке Жени Зобнина, до магазина приложений для виртуальной реальности. Но может статься, что самый важный анонс — это не Android N, не виртуальная реальность и не Google Home, а нечто под названием Instant Apps.

    Вот базовый пример использования Instant Apps. Ты при помощи телефона или планшета с Android ищешь в интернете какой-то товар и жмешь на ссылку в поисковой выдаче. И вместо сайта магазина твое устройство загрузит некую минимальную версию приложения, в которой будет только информация об этом товаре и кнопка «Купить».

    Пример с презентации: ищешь рюкзак в Google и сразу заказываешь в подгруженной части приложения

    Казалось бы, принципиальной разницы по сравнению с сайтами нет (автор веб-комикса xkcd уже успел поиронизировать над этим). Но шутки шутками, а отличия все же имеются, и очень важные.

    Во-первых, ты можешь немедленно совершить покупку, используя уже имеющиеся в телефоне данные кредитной карты. Во-вторых, с твоего разрешения приложение может получить доступ к датчикам телефона и сохраненной в нем информации. В-третьих, у приложения может быть более отзывчивый интерфейс, чем у сайта.

    Технически это реализовано следующим образом: разработчик строит свою программу так, чтобы у нее была легко отделимая часть, которую можно загружать отдельно. Создавать новую ветку кода при этом не обязательно, главное — в нужном месте вызвать программные интерфейсы Instant Apps. Приложение отправляется в Google Play, и остальное — это уже магия Google. Когда поисковик решит, что вместо сайта можно показать приложение, он запросит его из Google Play и покажет пользователю.

    При этом не факт даже, что Instant Apps будет загружаться дольше, чем сайт, и потратит больше трафика. Многие современные сайты страдают проблемой ожирения, и нередко можно встретить страницы, которые засасывают из интернета по десять мегабайт. Этого хватило бы на целое приложение, так что если его часть будет занимать, скажем, один мегабайт, то это вряд ли сегодня кого-то напугает.

    Посетители Google I/O аплодировали этому анонсу не зря. Кажется, он решает массу проблем и открывает большие возможности. Беда с приложениями в том, что часто бывает нужно немедленно использовать какую-то программу и для этого ее требуется скачать, а она, быть может, занимает слишком много, чтобы качать по сотовой сети. Причем следующий раз, когда она понадобится, может наступить, к примеру, через месяц или не наступить вовсе.

    Моментальная подгрузка только самой необходимой части приложения позволит обойтись без установки и не забивать телефон. Это удобно, когда ты, скажем, хочешь заказать доставку чего-то или, к примеру, желаешь арендовать велосипед во время прогулки по другому городу.

    Жизненные примеры: заказ и оплата товара, просмотр рецепта в приложении, оплата парковки

    Казалось бы, у Instant Apps сплошные плюсы и никаких минусов. Пользователи компьютеров и всяких там айфонов будут видеть обычный сайт, а Android вместо него загрузит свой кусочек программы из Google Play. «Моментальные приложения» пригодятся любому изданию, любому онлайновому магазину, а также множеству реальных магазинов, кафе, музеев, выставок, да что там — даже обычным предметам, в которые сейчас всё чаще встраивают компьютеры.

    Но разреши напомнить тебе один важный исторический пример. В конце восьмидесятых годов, когда Microsoft Word был одним из множества конкурирующих текстовых процессоров, никто не жаловался на то, что его стандарт закрыт. Наоборот, это было нормой — свой стандарт файлов был у каждой программы.

    Зато когда популярность Windows и Word сделали его формат фактически единственным стандартом текстовых документов, тут уже начались разговоры, что неплохо бы открыть его для всех. В течение многих лет это было очень острой проблемой, и до сих пор она решена не до конца.

    Что, если популярность Android и поисковика Google сделают Instant Apps новым стандартом сайтов? Вместо веба, где можно заглянуть в код любой страницы, мы получим веб, состоящий из байт-кода Java.

    Можно, конечно, посмеяться и сказать, что это давняя и несбывшаяся мечта инженеров Sun Microsystems. Но они-то представляли себе, что программы на Java будут исполняться на любом компьютере с любой архитектурой, а у Google получается так, что для запуска «инстант аппа» нужно иметь совместимое устройство. И, кстати, абы какой Android не подойдет, ведь доступ к магазину есть только в телефонах с лицензированной у Google версией системы. Вот тебе и свобода с открытостью!

    К слову, речь потенциально не только про мобильные телефоны. Как известно, в Chrome OS активно встраивают поддержку приложений для Android, и нет никаких причин не добавить и Instant Apps. Хромбуки тем временем уверенно набирают популярность. В США благодаря интересу со стороны образовательных учреждений они, по подсчетам IDC, уже продаются лучше «маков» (десктопов и ноутбуков).

    Магазины приложений отбирают хлеб у сайтов уже не первый год, так что появление Instant Apps вряд ли можно считать внезапным событием. На ум, кстати, приходят две другие новые технологии — гугловская же Accelerated Mobile Pages (AMP) и Facebook Instant Articles. Обе по духу близки к Instant Apps и нацелены на то, чтобы лучше приспособить для телефонов текстовый контент.

    Конечно, паниковать и кричать, что Google убивает веб, пока рано. Сложно спорить с тем, что от Instant Apps будет много пользы, да и бороться с прогрессом — не лучшая затея. Мобильные телефоны еще не закончили менять привычный технологический ландшафт, и Instant Apps — не последнее проявление этого процесса. Жаль только, что изменения часто ведут к повышению закрытости и фрагментации.

    Открытый веб уже не тот, но, по крайней мере, эта страница работает в любом современном браузере

    А еще, конечно, никто не знает, победит эта технология или нет, насколько она в итоге будет распространенной и какими окажутся следующие шаги Google. Вот еще интересный вопрос — как отреагируют в Apple? Появится ли в iOS прямой аналог или, быть может, в Купертино придумают кардинально другой подход?

    И напоследок — еще один исторический пример. Помнишь Flash? Его создатели хотели сначала внедрить свою суперпрогрессивную технологию в сайты (и это неплохо удалось), а затем сделать так, чтобы она заменила собой веб (и вот это уже не вышло). А по прошествии какого-то времени Flash стал ненавистной дырявой фигней, от которой все спешат избавиться как можно скорее. Instant Apps в Google, по крайней мере, смогут в любой момент выключить.