Тестирование VPN-клиентов проверило три возможных режима перехвата и перенаправления трафика через VPN-клиент: локальный перехват (1); перенаправление в облако через VPN-сервер (2); пиринговый форвардинг через узел, участвующий в системе (3). Сниффинг и анализ трафика производился сниффером ICSI Netalyzr через настроенную точку доступа WiFi
С выходом Android 4.0 в октябре 2011 года разработчики мобильных приложений получили нативную поддержку для встроенных VPN-клиентов через класс
Android VPN Service. В отличие от десктопных операционных систем, где приложению требуется рутовый доступ для создания виртуальных интерфейсов, под Android достаточно всего лишь запросить разрешение BIND_VPN_SERVICE для создания VPN-клиента.Официальная документация по ОС Android предупреждает о серьёзных проблемах с безопасностью при использовании упомянутого класса. Получив такое разрешение, приложение получает право перехвата и полного контроля трафика с устройства.
Зачем программе может понадобиться разрешение VPN? Некоторые приложения используют эту функцию для обхода государственной цензуры и защиты от злоумышленников, обеспечения анонимности — здесь VPN вполне уместен. Однако гораздо больше вредоносных приложений просят разрешения на туннелирование трафика только по одной причине: для сбора конфиденциальных данных. К сожалению, некоторым пользователям не хватает технических знаний, чтобы понимать полномочия и всю опасность Android-приложения, получившего доступ к классу
VpnService — это несмотря на все предупреждения, которые выдаёт ОС.Группа специалистов по безопасности из Калифорнийского университета в Беркли (США), Университета Нового Южного Уэльса (Австралия) и Государственного объединения научных и прикладных исследований Австралии (CSIRO) провела исследование, насколько распространённой является проблема утечки конфиденциальных данных через Android-приложения, которые получили доступ к
BIND_VPN_SERVICE. Они изучили 283 приложения из каталога Google Play — это VPN-клиенты (67%), корпоративные программы с VPN (10%), оптимизаторы траффика (4%), мессенджеры с VPN (3%), фильтры трафика (2%), логгеры трафика (2%), антивирусы (1%), клиенты Tor (1%) и другие (10%).Для оценки программ был разработан набор тестов, которые сочетают статический анализ кода и специально разработанные методы активных сетевых тестов. Судя по всему, это первый масштабный анализ VPN-клиентов под Android на предмет утечки информации.
Статический анализ включал в себя анализ разрешений, которые запрашивают приложения, учёт библиотек для трекинга (с помощью ApkTool), учёт вирусов и вредоносных компонентов (с помощью открытых VirusTotal API).
Например, в таблице приведены результаты сканирования антивирусом популярных VPN-клиентов с количеством установок более 500 тыс. Как видим, для половины из них антивирусная проверка дала положительный результат (колонка «AV-проверка» в таблице), а другая половина VPN-клиентов
| Приложение | Класс | Рейтинг | Отзывов | Установок | AV-проверка |
|---|---|---|---|---|---|
| EasyOvpn | Бесплатное | 4,2 | 84 400 | 5 млн | + |
| VPN Free | Платное | 4,0 | 15 788 | 1 млн | + |
| Tigervpns | Бесплатное | 4,1 | 36 617 | 1 млн | + |
| DNSet | Платное | 4,0 | 21 699 | 500 тыс. | ? |
| CM Data Manager | Платное | 4,3 | 11 005 | 1 млн | ? |
| Rocket VPN | Бесплатное | 4,2 | 11 625 | 500 тыс. | + |
| Globus VPN | Бесплатное | 4,3 | 14 273 | 500 тыс. | ? |
| Spotflux VPN | Бесплатное | 4,0 | 14 095 | 500 тыс. | ? |
| CyberGhost | Бесплатное | 4,0 | 13 689 | 500 тыс. | + |
Если учитывать не только популярные, но и менее популярные клиенты, то больше всего антивирусов нашли вредоносный код в следующих программах: OkVpn (24 антивируса с позитивным результатом), EasyVpn (22), SuperVPN (13), Betternet (13), CrossVpn (11), Archie VPN (10), HatVPN (10), sFly Network Booster (10), One Click VPN (6), Fast Secure Payment (5).
Статический анализ функциональности и активный анализ трафика выявили несколько тревожных фактов. Оказалось, что 18% VPN-клиентов вообще не шифруют трафик пользователей. 38% клиентов внедряют в трафик вредоносное программное обеспечение или вредоносную рекламу с конкретной целью доступа к информации пользователя. Иронично, что люди устанавливают такие программы с целью защитить свою информацию от постороннего доступа, защитить свою анонимность и сохранить конфиденциальность — а на практике получают обратное. Эти вредоносные VPN-клиенты установлены на компьютеры десятков миллионов пользователей.
Исследователи обнаружили, что 80% приложений запрашивают доступ к различной конфиденциальной информации, в том числе к аккаунтам пользователей и текстовым сообщениям. Две трети VPN-клиентов оснащаются сторонними следящими библиотеками. Это значительно больше, чем в обычных приложениях.
Распределение сторонних следящих библиотек в бесплатных и платных VPN-клиентах, а также во всех приложениях из каталога Google Play (для сравнения)
Хотя большинство этих приложений действительно дают возможность анонимной работы в интернете (в каком-то смысле), в реальности они собирают большой объём персональных данных о пользователях, который потом можно продать третьим лицам.
По данным анализа отзывов в Google Play, всего 1% пользователей выразили какую-то обеспокоенность относительно приватности или безопасности в связи с VPN-клиентами на своём Android-смартфоне.
До публикации отчёта (pdf) он был разослан разработчикам VPN-клиентов и другим специалистам по безопасности. В результате некоторые разработчики исправили уязвимости безопасности в своих программах, а другие удалили их из каталога Google Play. «Всегда обращайте внимание на разрешения приложений, которые вы скачиваете, — говорит профессор Дали Каафар (Dali Kaafar), главный научный сотрудник CSIRO по онлайновой приватности и безопасности. — Исследование показало, что пользователям VPN-клиентов следует изучить, насколько серьёзны проблемы с этими приложениями и насколько велики риски, которым они подвергают себя при использовании таких сервисов».
Комментарии (65)
x893
26.01.2017 14:10Поставил OpenVPN, настроил на свой сервер, пользовался.
Но теперь озадачился — надо посмотреть сутки-двое куда обращается телефон с включенным OpenVPN.
FedyaShlyapkin
26.01.2017 15:41у меня стоит фаерволл, который через ван работает. как проверить на чистоту?
drow1101
26.01.2017 16:13а зачем ставить сторонний VPN клиент на android, есть в системе и так можно создать VPN подключение через стандартные настройки и сидеть через него?
SunX
26.01.2017 16:53+3Например затем, что андроид не умеет нативно в OpenVPN?
Ну и многим людям просе скачать приложушечку, которая позволит ходить на запрещенный сайт (к примеру), чем думать и искать VPN-сервер
vconst
26.01.2017 16:55-1«Приложушечка» от разработчиков OpenVPN меня вполне устраивает.
SunX
27.01.2017 13:24Ну во-первых, я говорил про встроенные средства андроида. OpenVPN надо же доставлять из маркета отдельно и как следствие появляется вопрос: а действительно ли она лучше остальных? Про нее в статье ничего не сказано прямо, но это еще не значит, что она не сливает все ваши данные китайским хакерам (я, конечно, надеюсь, что нет, но точно знать не могу).
А во вторых — приложушечка OpenVPN слишком сложна для среднестатистического пользователя, который хочет зайти на заблокированный порносайт. Это ведь надо найти где-то openvpn сервер (желательно бесплатный) или установить свой (а мы говорим о пользователе, а не IT-шнике), что опять же не бесплатно. Потом написать файл конфигурации для клиента.
А можно просто скачать приложушечку «VPN до всех порносайтов без регистрации и смс» и не думать. И среднестатистический пользователь, скорее всего, выберет второе.
qw1
28.01.2017 21:13а зачем ставить сторонний VPN
Проблема в статье не об этом. А о том, что простая игрушка с разрешением на VPN может открыть туннель, и весь трафик польётся через приложение.
wholeman
26.01.2017 16:13+1Некоторые приложения используют эту функцию для обхода государственной цензуры, обеспечения анонимности — здесь VPN вполне уместен.
Всё же основное назначение VPN — создание сетевого соединения, защищённого от злоумышленников, а не обход цензуры или анонимность. Не забывайте это упоминать, а то чиновники скоро будут на Хабр ссылаться в качестве подтверждения того, что VPN — инструмент террористов. Они же считают, что законопослушным гражданам обходить цензуру не нужно, да.
drow1101
26.01.2017 16:32какая то странная таблица по распределению сторонних следящих библиотек. В сумме 107% Premium это как? И еще Free 99%, а результирующая ALL 73%… а что с оставшимися 27% случилось?
ScoutUa
26.01.2017 16:42+1>Всегда обращайте внимание на разрешения приложений, которые вы скачиваете
Обращаешь, но сейчас почти каждое приложение-фонарик просит разрешение на все. В противном случае отказывается работатьvconst
26.01.2017 16:56+2Такие «фонарики» удаляются и заменяются на нормальные программы.
ScoutUa
26.01.2017 17:50+2Фанарик был для примера.
Настоящий пример — приложение банка. Просит все — от изменения хранилища, до отправки и изменения контактов. Естественно я приложением стараюсь не пользоваться, но когда уезжаешь на какую то неделю, и ноута с собой нет, то приходиться качать эту срань (пополнить мобильный счет и т.д.)
А если раз в эту лужу вступил, то потом уже можно не удалять…
sumanai
26.01.2017 18:23А в вебе нет такого же сервиса?
ScoutUa
26.01.2017 21:33Немного ниже уже описал. В теории есть, но мобильной версии сайта нет, грузятся тонны баннеров, скриптов и прочие фейерверки. Банк считает, что если есть приложение, то сайт с приставкой m.* не нужен. Такие дела
sumanai
26.01.2017 21:48Ну, сайт с приставкой m. в век адаптивного дизайна действительно не нужен, вот на Хабре например мне эта мобильная версия только мешает.
Хоть сайт и не оптимизирован, но открыть его с мобильного можно, это меньшая боль, чем следящее и жрущее батарею мобильного приложение.ScoutUa
26.01.2017 22:22Тут готов поспорить. Лучше открыть удобный сайт, чем загромождать телефон третьим десятком приложений. С таким успехом любой сайт будет писать себе приложение, и тогда будет жестяная жесть.
Второй случай — невозможность зайти в гуглплей (Китай с его фаерволом)
P.S. очень рад, что комменты можно писать уже с мобильной версииsumanai
27.01.2017 00:11Лучше открыть удобный сайт, чем загромождать телефон третьим десятком приложений.
А я что написал?
Но у нас разные представления об удобном сайте. Для вас это отдельная версия на поддомене, для меня же это адаптивный дизайн.
Плюс адаптивного дизайна в том, что от такое
P.S. очень рад, что комменты можно писать уже с мобильной версии
то есть урезание функциональности, намного реже встречается в адаптивном дизайне, так как он по сути лишь дизайн, а не отдельная версия, и нет соблазна выкинуть «ненужные» функции в угоду простоте разработки.ScoutUa
27.01.2017 11:54Вы предлагаете использовать полную версию сайта. В случае с хабром это еще терпимо, а когда эти сайты даже не каждый компьютер осилит открыть, но таким пользоваться на телефоне увольте…
mayorovp
27.01.2017 12:58Он предлагает делать сайты с адаптивным дизайном. Этот термин включает в себя возможность нормального использования сайта на телефоне.
sumanai
27.01.2017 20:42а когда эти сайты даже не каждый компьютер осилит
То это либо плохие сайты, либо им действительно нужно делать десктопное приложение, а не веб-сервис.
immaculate
27.01.2017 02:01+1Если уезжаешь туда, где интернет медленный, то все эти сайты банков, которые грузят сотни мегабайт React-Redux-SuperQuux фреймворков, css-фреймворков, и кастомных шрифтов, загрузить невозможно. Вся эта Web 3.0/React/Redux хрень не кэшируется, и совершенно не рассчитана на работу по соединениям медленнее 1 МБит.
Даже если чудом такой сайт удастся загрузить, то внутри постоянно что-то будет ломаться, потому что отправка какого-нибудь гигантского Redux дерева будет обламываться по таймауту, а разработчики этой ситуации не предусмотрели, т.к. тестируют все в 10Гбит локальной сети, где бандлы с React'ом даже при размере близком к гигабайтному, грузятся незаметно, и можно туда-сюда гонять XMLHttpRequest'ы с мегабайтными блобами. :(mayorovp
27.01.2017 13:02На самом деле, это не проблема Web 3.0/React/Redux. Эта проблема растет из прямиком из Web 1.0 с серверной генерацией страниц, а Web 3.0 ее как раз бы мог решить… если бы люди не писали по-старому.
Ну нет в нормальном приложении необходимости отправлять куда-нибудь гигантское redux-дерево. Его отправляют потому что так проще, а не потому что так нужно.
immaculate
27.01.2017 13:28Не уверен. Проблема в том, что все равно при первом открытии сайта, мобильный браузер дожен загрузить этот бандл, в котором находится React-Redux-и все-все-все остальное. Расскажу о своем опыте попытки открыть такой сайт на медленном соединении где-нибудь в глуши.
Открывается страница входа в банк. Грузится бандл размером в сотни мегабайт по Edge или чему-то такому. Грузится десятки минут. В итоге, либо пользователь не может понять, действительно происходит загрузка или все «зависло», либо срабатывает какой-нибудь таймаут на сервере, либо в браузере, либо в сетевом стеке. Долбаный гигантский бандл не загрузился.
Пользователь жмет Reload. Та же история повторяется сначала: гигантский файл начинает грузиться с самого начала, ни кэширование, ни продолжение загрузки обычно не работает.
Кроме этого еще грузится тонна CSS (ну ладно, они маленькие), и еще куча кастомных шрифтов (ну как же, без них ведь все будет некрасиво!)
Допустим, все это загрузилось спустя 1-2 часа отчаянных попыток. Вводим имя пользователя и пароль, открывается новая страница (у некоторых банков это именно отдельная новая страница), на которой надо ввести одноразовый код… Начинают загружаться то ли новые бандлы, то ли перезагружаться старые… Пока все это происходит, одноразовый код протухает.
Back to square one.
А самое главное, даже если все загрузилось, разработчики не тестируют сейчас работу приложений на медленных соединениях. Код всех современных сайтов оперирует предположениями типа того, что если мы выполнили
1) XMLHttpRequestA
2) XMLHttpRequestB
То они дадут результат именно в том порядке, в котором были вызваны. И не будет ошибок сети или таймаутов.
В итоге, на соединении типа Edge все эти предположения не выполняются, и сайт в лучшем случае работает очень странно. В худшем, им вообще пользоваться невозможно.
Как раз в Web 1.0 не было ни одной из этих проблем. Все кэшировалось, не было параллельных запросов в backround, и т.д. и т.п. Медленно, но все работало.mayorovp
27.01.2017 13:59На порядок XMLHttpRequest никто никогда не закладывается, потому что они могут прийти в другом порядке даже на компьютере разработчика.
Куда хуже отсутствие обработки ошибок, когда обрыв запроса по тайм-ауту оставляет программу в таков состоянии, из которого нельзя сделать повторный запрос.
Что же до Web 1.0 — вы уже забыли про такую чудесную вещь как ASP.NET WebForms с его ViewState и одной формой на всю страницу? Когда на странице, допустим, таблица на мегабайт данных — а еще один мегабайт лежит в hidden-поле и отправляется на сервер при нажатии на любую кнопку? :)
immaculate
27.01.2017 14:35Суть в том, что современными сайтами пользоваться невозможно на медленном соединении. Неважно, какие причины. Каждое открытие сайта требует загрузки сотен мегабайт данных. На соединении, где проблематично загрузить даже десятки. Я не вижу, где современный Javascript сделал проще жизнь пользователей или разработчиков.
Пользователям теперь нужен как минимум очень быстрый канал, быстрый компьютер (потому что все это работает медленно и пожирает большое количество ресурсов процессора и памяти). Ничто в современном web не кэшируется. Разве что может быть картинки. В глуши с медленным интернетом делать совершенно нечего. Там можно пользоваться лишь Web-1.0 сайтами. К счастью, таковых все еще много.
Разработчики должны разбираться в невообразимо быстро сменяющемся лабиринте фреймворков и версий. Angular — плохо, React хорошо. А теперь добавим к уравнению Angular 2. А теперь React + Redux. А теперь Vue. А вот вам ES6. Ой, через месяц он уже устарел. А мы пишем на TypeScript. А мы на CoffeeScript. А мы используем babel. А мы lebab. Все это производит впечатление какого-то сплошного непрерывного бега, когда едва ли не раз в месяц происходит радикальная смена всего инструментария. Какая-то невероятная фрагментация вызванная непонятно чем.
Про ASP помню. К счастью, он всегда был настолько мало распространен, что лично мне ни разу не приходилось сталкиваться. С этими сайтами сталкивался лишь несколько раз в жизни.mayorovp
27.01.2017 14:46Суть в том, что современными сайтами пользоваться невозможно на медленном соединении. Неважно, какие причины.
Суть в том, что вы обвиняете конкретный стек технологий, в то время как проблема присуща любым сайтам, где доступность на телефонах не ставилась как задача разработчикам.
На старые сайты вы можете зайти не потому что они так хорошо сделаны — а потому что интернет на вашем телефоне быстрее, чем на компьютерах тогдашних разработчиков.
immaculate
27.01.2017 17:09-1На самом деле, проблема просто в том, что пользователей и ситуаций, в которых надо открыть сайт, а интернет — медленный, очень мало. Люди привыкают и находят обходные пути, а банку или другой организации нет резона тратить ресурсы, чтобы угодить 5% пользователей.
Я, например, уже знаю, что за границей, или в дальней поездке на мото/авто пытаться открыть сайт банка не получится — был уже очень горький опыт, когда срочно надо было сделать перевод, и я промучился 1,5 часа, но так и не смог войти в свой банк. Поэтому планирую все так, чтобы не попасть больше в подобную ситуацию — заранее оплачиваю телефон перед поездкой, например.
Впрочем, я и приложениями банков пользуюсь — что толку что-то скрывать от них, банк и так обо мне почти все знает: мой адрес, телефон, доходы и расходы, где, когда и на что я трачу деньги. Ничего нового они обо мне не узнают.ScoutUa
27.01.2017 17:57Ну, знаете, с таким подходом можно привыкнуть к чему угодно, и даже приносить свой вазелин…
Ресурсы и время на написание стремного приложения банк выделяет регулярно, а вот сделать хоть намек на адекватный сайт для слабых каналов один раз — некогда, выходит
>заранее оплачиваю телефон перед поездкой, например
Во-первых речь не только о пополнении телефона, а во-вторых роуминг штука штука непредсказуемая, и деньги могут закончиться в любой момент, а забрасывать 100500 долларов на телефон «чтобы хватило» тоже не выходimmaculate
27.01.2017 18:02Соглашусь с вами отчасти. Надо было в тот момент написать в поддержку банка…
Но всем не напишешь, сталкивался с подобными проблемами еще на нескольких сайтах.
Это вообще стало общей тенденцией, которая заметна при использовании мобильного интернета, так как он медленный и часто тарифицируется по трафику. Несмотря на то, что постоянно читаю статьи о том, как React и иже с ним упрощает всем жизнь, и все выигрывают от новых технологий client-side javascript, сайты становятся все раздутее, загружаются все медленнее, на мобильном интернете пользоваться ими становится все сложнее, и счета за трафик растут.
dom1n1k
26.01.2017 17:32+1Такое приложение сразу нужно отправлять в мусор без тени сомнений (если только его установка не является вопросом жизни и смерти, причем именно сию минуту).
vconst
26.01.2017 17:35Даже если просит — во многих прошивках есть инструменты индивидуально блокирующие доступ куда не надо. И даже больше — подсовывающие пустой список контактов, вместо настоящего — что бы прога не жаловалась
qw1
28.01.2017 21:18Не факт, что разработчики настроек приватности предусмотрели рубильник на разрешение vpn (ведь на каждый случай надо отдельно писать код-заглушку). Многие разрешения неотнимаемые (типа доступа в sd-карте).
vconst
30.01.2017 13:06Заглушки дают на всякие списки и аккаунты, а доступ в инет просто отрубается фаерволлом и там уже нет разницы, прямо прога ходит в инет или через тунннели.
qw1
30.01.2017 21:35Я встречал в прошивках настройки приватности, но без рубильника на инет. Для инета надо было ставить сторонний firewall. Просто уточняю ваш коммент насчёт встроенных инструментов.
vconst
30.01.2017 21:38Встроенные инструменты зависят от системы, в MIUI и фаер и менеджер разрешений — штатные. Рекомендую.
ScoutUa
26.01.2017 17:55+1Такие требования есть у довольно нужных приложений. Выше привел пример с банком
Посмотрите тот же вотс ап — там ужас… Хотя, казалось бы, обычный мессенджер
ES проводник — #Полные разрешения ко всем функциям устройства и храненияvconst
26.01.2017 18:02ES — это же файловый менеджер, ему по должности положено иметь доступ к даным. Ватсап просит контакты, тоже логично, гуглокарты просят доступ к камере, с которым регулярно их обламываю. Менеджер пермишенов — сделает вашу жизнь спокойнее
ScoutUa
26.01.2017 18:06+1ES — к данным да, но там отдельным пунктом он просит разрешение полностью на все
Вотс ап — просит запись аудио, к примеру, но использует ли он его только на отправку голосовых сообщений вопрос риторический. На счет изменения контактов спорный пункт. Прочитать контакты ладно, но изменять их ему зачем?
Менеджер может и решение, но сам то он просит не такой же список полномочий?vconst
26.01.2017 18:13+1Или доверять менеджеру пермишенов, или не доверять ничему и компилировать Андроид из исходников, которые перед этим самостоятельно проверять. Я знаю, что Андроид через гугловые сервисы сливает много инфы американфам, Сяоми много чего сливает китайцам — и пускай. Мне главное, что бы оно по минимуму стучало нашим госслужбам. Не потому, что я занимаюсь чем-то противозаконным — а просто на всякий случай, аллергия у меня.
ScoutUa
26.01.2017 18:18Ладно, дадим менеджеру доверие, но при этом клиентское приложение банка скажет — извини, я не буду работать. Придется выключать, и соглашаться на адские условия этого приложения, иначе доступа к счетам не получить…
У меня тоже аллергия, поэтому и согласен. Но кто знает чем может закончиться слив инфы американцам… Завтра подпишут кибер-соглашение, и будет вся жизнь на виду, даже если ничего плохого и не делаешьvconst
26.01.2017 18:25Кака вариант — программа подсовывающая фейковые данные, потому что у меня банковская прога тоже хочет управлять вызовами. Еще можно скачать программу, которая позволяет управлять не просто разрешениями, а отдельными сервисами, это еще более глубоко и параноидально.
ScoutUa
26.01.2017 18:42Ну вот за одной программой идет другая, и получается что мы ставим «включаем тройник в тройник» и городим огород. Нужно комплексное решение, а еще лучше — встроенное в андроид, а так это пускать другое зло вместо этого. При том что уверенности какое из них больше нет
vconst
26.01.2017 18:43Тогда только ноут с линуксом и нокия 3310 в качестве звонилки. Хочется пользоваться современными сервисами — делись информацией.
therealman_tm
27.01.2017 09:27+1Хочется пользоваться современными сервисами — делись информацией.
А вот это надо менять!
Shannon
26.01.2017 21:47Комплексное решение:
В ios ничего не надо разрешать при установке, все запрещено
При первом обращении к камере (чтобы считать номер карты например) или контактам спрашивается разрешение и можно отказаться, ничего не ломается от отказа, базовый функционал остается доступен
Была информация что в какой то версии андроида что-то подобное появилось
dom1n1k
26.01.2017 18:33Была статья на эту тему, где бывший разработчик FB настоятельно советовал ходить в FB через браузер (если уж не получается отказаться от него совсем). Браузер дает хоть какую-то защиту. С банками аналогично.
Ну и, конечно, менеджер прав, в сегодняшнем мире штука совершенно необходимая.
И кстати про WhatsApp — когда-то в нем была возможность (я сам не видел, но читал в древних летописях) внести контакт вручную, не давая доступа ко всей записной книжке скопом. Потом выпилили. Разумеется, по многочисленным просьбам.
А в Signal такая возможность есть.ScoutUa
26.01.2017 18:53+1НУ с ФБ проще — есть нормальная мобильная версия сайта (скрипты тоже желательно отключать в браузере), и я как раз с приложением и не связываюсь. В случае с банком все намного печальнее. Только залогиниваться можно минут 15, с огромным расходом трафика, а потом еще пытаться делать какие то действия в ПКшной версии сайта. А траффик при выезде куда то совсем не бесплатный…
Crunch-f
26.01.2017 22:34Костыльно через посылку контакта из другого аккаунта можно добавить не давая доступ к книжке, только так и спасаюсь. Телеграм кстати, несмотря на запрет доступа, книжку как-то смог высосать всё равно.
nomadmoon
27.01.2017 05:45Вот как раз таки WhatsApp, к его чести, у меня работает с зарезанными разрешениями на доступ к контактам и микрофону. Да, я не могу инициировать переписку с теми кого у меня в воцапе нет, и наговаривать в микрофон, но это вполне подходит к моему сценарию его использования. Значительная часть приложений обнаружив что им недоложили пермишенов говрят ахтунг я не буду работать. Самое смешное — часть из них системные (предустановленные на телефон).
therealman_tm
26.01.2017 18:14+1«Всегда обращайте внимание на разрешения приложений, которые вы скачиваете, — говорит профессор Дали Каафар.
Но этого недостаточно. Надо еще понимать, что то или иное разрешение означает. Например, «безобидное» «Данные о Wi-Fi-подключении». Позволяет идентифицировать вас по MAC адресу. Заодно узнать MAC адреса других устройств в локальной сети. Ну и так далее. Про другие, более «страшные» разрешения вы и так знаете.dom1n1k
26.01.2017 18:53+1Я до сих пор толком не понимаю, что означает «Поиск аккаунтов на устройстве».
CAJAX
27.01.2017 12:11В двух словах — в андроиде есть хранилище аккаунтов. По хорошему приложение должно хранить Oauth ключ там, а не в настройках. Этот список виден в настройках телефона. Плюс, есть приложения, которые сами ничего не хранят, но, например, привязываются к аккаунтам гугла. И для всего этого нужно это разрешение.
dom1n1k
27.01.2017 13:54В двух словах — я это примерно так и понимал. Но это очень поверхностно. Если попытаться подумать более предметно — уйма вопросов.
Например, такой туповатый вопрос: если у меня на телефоне стоит почтовый клиент (гугл, яндекс, мейл.ру, что угодно) с залогиненной почтой, то может ли стороннее приложение, которому разрешено читать аккаунты, прочитать почту? Или пусть даже не саму почту, то хотя бы имена почтовых ящиков?CAJAX
27.01.2017 16:11По поводу ключей доступа — нет. Пока приложения подписаны разными ключами, получить приватную информацию от другого приложения нельзя.
По поводу других данных, например, настроек или файлов — если телефон не рутован и данные явно не указаны, как публичные, тоже нет.
rub_ak
Кто бы сомневался.