IPB
 

Здравствуйте, гость ( Вход | Регистрация )

Поддержать форум
Профиль
Фотография
Опции
Опции
О себе
livingboy не указал(а) ничего о себе.
Личная информация
livingboy
Patriarch
Возраст не указан
Пол не указан
Место жительства не указано
День рождения не указан
Интересы
Нет данных
Награды
Раскрыть
Статистика
Регистрация: 10.05.2005
Просмотров профиля: 30385*
Последнее посещение: скрыто
Часовой пояс: 22.08.2017, 12:34
42553 сообщений (9 за день)
Контактная информация
AIM Нет данных
Yahoo Нет данных
ICQ Нет данных
MSN Нет данных
Контакт скрыто
* Просмотры профиля обновляются каждый час

livingboy

Участник

**********


Темы
Сообщения
Комментарии
Друзья
Содержимое
31 июля 2017
Подозрения были, и нашелся парень, который выяснил на деле, что аппликация на дроиде является вором, а новый-текущий менеджмент вКонтакте считает это нормой. smile.gif Зачем крадут данные и куда сливают, думайте сами. Бороться с механизмом ниже можно только одним способом - убить нах приложение.
Что на ноутах/десктопах крадут все, что можно, практичесик очевидно, но через браузер можно украсть гораздо меньше.

Цитата
Занятный материал прислал подписчик. Если у вас Android и вы пользуетесь приложением ВКонтакте, то зря вы это делаете. Приложение ВК очень любопытно и собирает слишком много данных с устройства пользователя, а также делает то, о чем его не просят.

Сегодня, ковыряя отснифеный трафик официального приложения ВКонтакте под Android, пытаясь найти особенности, по которым API отсеивает официальные приложения для получения музыки, я наткнулся на запросы довольно интересного содержания...

Disclaimer
Сразу хочу отметить, что я снимаю с себя любую ответственность за возможный ущерб, который Вы можете причинить себе/своим устройствам или другим/чужим устройствам, выполняя действия, которые здесь описаны. Также я не призываю заниматься подобной деятельностью на своих сетях. Информация предоставлена исключительно в ознакомительных целях и крайне не рекомендуется к воспроизведению/повтору на личных устройствах, сетях, а также строго не рекомендуются эксплуатации на пользователях, поскольку снифинг чужих данных - дело незаконное, а свое устройство я промониторить в праве.

....

Результаты
Проснифив только авторизацию, аудиозаписи и вообще первые минуты после авторизации в приложении, уже можно поймать все эти странные запросы.

Самое странное, что мне показалось - это то, что приложение сливает абсолютно весь список пользовательских приложений, установленных на устройстве. Зачем?! (в центре скрина влепил decoded-строку параметра apps)

Довольно часто промелькивали запросы к некоему сервису vigo.ru. Сервис позиционирует себя как аналитика в передаче, поиска ошибок, проблем и обработке видео. Но странно, ведь я всего лишь авторизовался, перешел в аудио и пролистал свою стену, где не было ни единого видеоролика (которые должны были автоматически проигрываться?), а запросов скопилось около 5-7 штук. Помимо notify еще был network_status.

Вот опять. wallGetWrapNew - по названию понятно, что это запрос на получение чьей-то стены (пользователя или сообщества). Зачем тут передавать информацию о устройстве? Максимум, что приходит на ум - для статистики. Хорошо, а зачем данные о типе сети? Еще, что не относится к сливу информации: довольно раздражает то, что везде пытаются всунуть рекламу - лишь посмотреть на параметр fields.

Приложение отправляет все действия пользователя: перешел через меню в раздел "аудио", "geo_data" - вероятно, отправлял бы примерное (или даже точное) местоположение устройства. Спрашивается, зачем, если пользователь не просит находить что-то по близости? Нет, облегчать пользователю жизнь, подсказывая релевантные данные в поиске, например - в этом ничего плохого нет, но зачем отправлять геоданные просто так, при открытии поста? Не понятно.

Приложение делает бенчмарки и зачем-то передает время запроса к API и время загрузки изображений. Видимо, усредненные данные.

Пока не понял когда, при каких условиях и зачем, в приложении подгружается невидимая WebView со страницей m.vk.com/counters.php. Ибо от нее же потом подгружаются две метрики-пикселя (внизу HTML-кода) и favicon. Накрутка статистики? upd: спустя еще пару минут отправился еще один запрос сюда же, уже с другими числами в тегах img - для того, чтобы тот самый пиксель не загрузился из кэша, а запрос к метрике все таки был реальным.

Чуток не негатива: приложение отправляет сообщения об ошибках, если, например, была попытка загрузить изображение (например, оно было прикреплено к посту), но произошла какая-то ошибка. На скрине предоставлен пример, когда изображение просто отсутствовало на сервере (ошибка 404 Not Found). upd: хотя вот попался момент, когда state=success и никаких других "опознавательных знаков" не было.

С видеозаписями обстоят дела еще хуже. Здесь передается информация о таких событиях как "volume_on", "volume_off" (видимо, включение/выключение звука, но это неточно), "fullscreen_on", "fullscreen_off" (переход и выход в/из полноэкранного режима), событие "video_play", которое просто отсылает текущую позицию просмотра видео, где-то с периодичностью 10-20 секунд. upd: хотя вот Андрей подсказал идею, для чего это сделано: для того, чтобы запоминалось место, на котором пользователь остановился при просмотре видео, чтобы он мог переключиться с мобильного на ПК и на ПК продолжить смотреть с места, где был в последний раз на мобильном.

При закрытии страницы (активити) с видео, приложение запрашивает метод video.viewSegments, в параметрах которого передаются рейнжы (отрезки) таймкода, которые были просмотрены пользователем.
Все это - официальное приложение. На момент написания этой статьи (29 июля 2017 года) была версия 4.12.1.

В Kate Mobile таких сливов замечено не было. Единственное, после ввода в эксплуатацию нового алгоритма выдачи аудиозаписей, и Kate, и официальному приложению нужно обращаться к Google Accounts для получения некого receipt-токена. И всё.

О том, как работают приложения на iOS, Windows Phone мне только можно догадываться. Их пакеты не перехватывал, и устройств не имею.

Повторюсь, такие данные, как ближайшие точки доступа Wi-Fi, текущее местоположение пользователя, а также все его действия не отправляются сторонними приложениями, такими как Kate Mobile, VK Coffee (модификация официального, с вырезанными метриками и пр.), моим сайтом-клиентом APIdog и пр.

Update 2
Друг-разработчик Андрей добавил ещё скринов того, что сливается официальным приложением под Android.

Название точки доступа, к которой подключено устройство, а также другие, которые находятся в зоне досигаемости, их сигнал в dB, MAC-адреса.
Плюсом от него же, вот что отправляет официальное приложение для Windows
Только версию системы, версию приложения, метод ввода.

Update 3
Эдуард Безменов, разработчик модификации официального приложения VK Coffee, прокомментировал этот пост так:
«...сама настройка появилась далеееко не сразу, в сравнении от самого слива. Слив подобных данных лично для меня далеко не ново и в кофе давно отключено. ... Самый ад то, что libverify от мыла.ру собирает серийники sim-карт, а mytracker - lac и cid. Это вроде и показал Андрей. Серийники сим карт и т.п. Вот из-за этого и надо поднимать хайп.»

Update 4
Григорий Клюшников, бывший разработчик этого самого приложения, как оказывается, был сам против включения сервисов Vigo в приложение:
«Vigo уже очень давно был, внедрял его я. Я был против с самого начала, но на моё мнение всем было известно как. И это вы там ещё до мейловского MyTracker не дошли, там самая мякотка.»
А вот, что на самом деле представляет Vigo по описанию Григория:
«По изначальному замыслу, точнее, как это мне все объясняли — "выбирать качество видео в зависимости от интернета". Естественно, я абсолютно не хотел сливать подобные данные ради этой никому не нужной мелочи. Хотели бы на самом деле сделать удобный просмотр видео с подстройкой качества под интернет — запилили бы DASH/HLS, как у настоящих видеохостингов. ...»
Отправка местоположения, как оказалось, производится только при просмотре отдельного поста. На аудиозаписи это не влияет, как некоторые стали считать, что в зависимости от региона некоторые треки "скрывается".

Update 5: Ответы от ВКонтакте
Мобильная техподдерка
Денис решил всё-таки добиться ответов на наши вопросы и задал их мобильной поддержке ВК (id333)

Оказывается, Ваше местоположение, данные для таргетинговой рекламы, список установленных приложений и сети Wi-Fi жизненно необходимы для приложения и сайта в целом.


Подробно и со скриншотами здесь.


29 июля 2017
Тема становится все более существенной, да и безопасной прогой Скайп давно перестал быть. Если хочется найти альтернативу - читаем хорошо сделанный обзор.

Цитата
Skype войдёт в историю как один из самых популярных и противоречивых плодов интернета. Он позволил людям со всего мира строить и поддерживать гораздо более человечные отношения, чем в обычном безликом чате или электронной почте.
...
Кроме того, говорилось, что Skype предоставляет “полную безопасность и конфиденциальность”. Платформа была настолько устойчивой, что китайское правительство потребовало сделать специальную версию с возможностью следить за пользователями – чуть позже по такому же пути пошли и западные страны.
...
В то время как Skype по-прежнему отлично выполняет свою работу, обеспечивая бесплатное и удобное голосовое и видео общение, времена, когда он был скрыт от всевидящего ока правительства, давно прошли. Skype сегодня – полезная программа для VoIP общения и групповых чатов, а также огромная шпионская сеть агентств “Пяти Глаз” (Австралии, Канады, Новой Зеландии, Соединённого Королевства и США). Многие считают, что Skype превратился во вредоносную программу.

Tox.chat
Tox.chat (бывший Tox.im) использует распределённые хэш-таблицы – подобную торренту технологию, которая позволяет создавать распределённую сеть. Этот сервис использует криптографические частные ключи, похожие на таковые в биткойне. ....
Tox имеет открытый исходный код и поддерживает почти все существующие платформы, включая OS X, Windows, Linux и Android.

По сравнению со Skype и другими альтернативами, клиент программы не выглядит перегруженным. Он поддерживает видео и голосовые звонки, а также групповой чат. Кроме того он содержит замечательную функцию по созданию скриншотов, которую я даже хотел бы скачать как отдельную программу – очень удобно!
У Tox отсутствует какая-либо монетизация в принципе. Конечно, это несомненный плюс, но в то же время это может задерживать разработку платформы. В общем, Tox является настоящим децентрализованным зашифрованным представителем пост-сноуденовского интернета и обязателен к ознакомлению.

Bleep от BitTorrent
Bleep by BitTorrent – зашифрованный в e2e, децентрализованный проприетарный чат и VoIP-приложение. Он имеет самое стабильное приложение для Android среди всех своих конкурентов и поддерживает все распространённые операционные системы кроме Линукса.
...
Клиент Bleep очень легко использовать; кроме того, он содержит функцию “шёпота”, при использовании которой сообщения и переданные файлы удаляются со всех устройств вскоре после переписки.

Silent Circle
Silent Circle – IT-компания, в которой работают такие легендарные люди, как Фил Циммерман, создатель PGP и ZRTP, которые являются широко используемыми сегодня протоколами аутентификации и шифрования. Так, PGP используется уже более 20 лет и до сих пор не был ни разу взломан.
...
И где тут подвох? Ну, программа не бесплатна. Приложение для iOS или Android стоит 10 долларов.
...


Wickr
Wickr - онлайн-мессенджер, появившийся в 2013 году после истории со Сноуденом. Как заявляют разработчики, Wickr отличается от сотни аналогичных чатов тем, что он на 100% анонимен, надежен, не оставляет никаких следов не только на устройствах, но и на серверах.
....
Исходный код изначально был закрытым, но с недавнего времени они сделали его открытым. Шифрование также e2e (End-to-end). В общем - программа очень достойная.

Стоит отметить, что компания Wickr не раз отказывала сотрудникам ФБР, которые требовали полного доступа к исходному коду мессенджеров.

Signal
Ну и куда же нам без Signal? Небезызвестный мессенджер, который так яро рекомендует Эдвард Сноуден. Дизайн в меру минималистичный, вероятно, разработчики ориентировались на простоту и изящность Телеграма.

Шифрование сообщений осуществляется при помощи Signal Protocol. На нем же реализовано шифрование в WhatsApp и Facebook Messenger. Это одна из самых совершенных систем шифрования, подразумевающая, что даже компания Signal не прочтет ваше сообщение. Звонки шифруются протоколами SRTP и ZRTP, которые давно себя зарекомендовали.

В арсенале мессенджера естественно, самоудаляющиеся сообщения + полезная функция, которой нет в телеграме - защита от скриншотов. В телеграме если человек делает скриншот, об этом будет написано, но скриншот сделать все равно можно. В Сигнале же скрины можно запретить вовсе.

В целом, нормальный мессенджер, но интерфейс на мой взгляд не очень удобен, похожий на Скайп до обновления.


26 ноя 2016
Умер Фидель. Обещали кремировать и неделю возить по Кубе, вроде как замена/вместо мощей или ковчега.
Европейцы выражают что-то там дипломатично и умело. Мадуро и разные африканцы скорбят. Обама вроде европейцев, мол, "время воздаст по делам". Трамп назвал Кастро брутальным диктатором и поздравил кубинский народ. Что на самой Кубе, толком не понять, но оттуда говорят, что в целом с безразличием, кто-то горюет, кто-то радуется. Во Флориде и особенно в Майаме радуются и по поведению встречают праздник.

Напомню уважаемой публике - совсем недавно Обама восстановил с Кубой в лице действующего Рауля дип отношения.
20 фев 2016
Вчера, 19.02.2016, умер Умберто Эко. Без сомнения, великий писатель, чьи книги изменили облик литературы 20го века.
Не так много книг, про которые можно сказать как про первый роман Умберто Эко "если вы не читали Имя Розы, вы не можете считать себя хорошо образованным человеком".

R.I.P.
31 дек 2014
Год закончился. Тема - кто в 2014 достиг самого большого успеха и кто был самым главным неудачником.

Топик стартеру сразу понятны лидеры второй категории - вряд ли кто может выиграть маленький чемпионат "главных лузеров 2014" у В.В.Путина и футбольной сборной Бразилии, эти явно самые неудачливые неудачники и главные жертвы самомнения. Бразильцы, видимо, забыли, что подготовка важнее репутации, а ВВП забыл, что думать важнее, чем любоваться собой и своей крутизной и что мир вокруг живет без его указки.
Перечислять спекулянтов-инвесторов, которые делали ставку на нефть, и тех, кто на рубль, не станем, их проще зачислить массово в класс самых тупых финансистов-инвесторов под лейблами "нефть" и "рубль".
Кто следом за ними попадет в первую десятку?

Из кандидатов в первую категорию вспоминается сразу разве что Элон Маск.
Кого стоит назвать главными победителями и счастливчиками?
Просмотры


20 Aug 2017 - 10:21


15 Aug 2017 - 5:12


12 Aug 2017 - 16:50


4 Aug 2017 - 4:16


23 Jul 2017 - 14:12

Комментарии
Другие пользователи не оставили комментарии для livingboy.

Друзья
Друзей нет.
Удалить установленные форумом cookies · Отметить все сообщения прочитанными
RSS Текстовая версия