Во время установки приложение получает все административные привилегии. Оно выясняет, есть ли фронтальная камера, чтобы сделать фото и отправить данные мошеннику. Adult Player кроме фото отправляет другую информацию об устройстве, которую собирает благодаря полученным правам.
Получение административных привилегий
Проверка наличия камеры
Хакер удалённо блокирует телефон и пугает жертву Федеральным бюро расследований США. На скринсейвере появляется номер «дела» ФБР, IP пользователя и предупреждение о блокировке «из соображений безопасности». Для большего эффекта смартфон показывает фотографию самого пользователя, предлагая избежать проблем с законом или публичного позора, оплатив пятьсот долларов.
Перезагрузка не решает проблему, для удаления Adult Player необходимо войти в безопасный режим. Сначала нужно лишить приложение административных привилегий, затем удалить его.
Приложение не представлено в Google Play. Google предупреждает о рисках, связанных с загрузкой приложений с других ресурсов.
Скринсейвер, призванный запугать пользователя
Предложение оплатить штраф через PayPal
Комментарии (32)
chesterset
10.09.2015 03:25+5На тему привилегий. Прилоение мегафона, помимо прочего, требует доступ к фото и видеосъемке, просмотр контактов и изменение/удаление содержимого SD карты. Приложение «Одноклассники» требует приём СМС сообщений, изменение и просмотр контактов, добавление/изменение мероприятий и отправление гостям эл. сообщений без предупреждения владельца календаря, изменения контактных данных, просмотр в календаре мероприятий и конфиденциальных данных, получение данных о запущенных приложениях, отключение спящего режима, изменение настроек системы, включение/выключение синхронизации. Да, да, Одноклассники.
Фейсбук — осуществление вызовов, просмотр смс, изменение и просмотр контактов, отправление гостям мероприятий эл. писем без ведома владельца, загрузка файлов без оповеения, изменение сетевых настроек, просмотр подключений wi-fi, получение данных о запущенных устройствах, упорядочивание запущенных приложений, установка обоев, отправка сообщений с их последующим сохранением.
Скайп — прием и просмотр смс, изменение контактов, отключение функции блокировки экрана, создание аккаунтов и установка паролей, установление связи с устройствами блютуз, данные о запущенных приложениях и т.д.
И к этому списку можно добавить добрую часть приложений. При этом, к примеру, Фейсбук у многих установлен производителем и без рута не сносится. Хочешь давать Фейсбуку такие привилегии или нет — не важно, производитель уже сам решил. Единственным нормальным выходом, который я вижу — дать возможность пользователю выборочно лишать приложения привилегий, и обязать разрабов этих приложений не крашить приложение из-за отсутствие некритичной привилегии. Скажем, если отобрать у Инстаграмма привилегию на фото и камеру, пусть не крашится, как только открываешь. Вот если хочешь запостить фотку — тогда пусть просит привилегию.
Kain_Haart
10.09.2015 09:24+1Ждем Андроид-М
roma86
10.09.2015 10:53+1Ну и что, что мы его дождемся?
Какой процент пользователей купит себе телефон с новой версией?
Какой процент имеющихся телефонов будет обновлен до Версии М? Релиз Андроид L был, если не ошибаюсь в октябре 2014?
Чем это помогло разрабтчикам?
wtigga
10.09.2015 05:46+6За это я люблю MIUI: при установке из *.apk я имею возможность лишить приложение любых прав, которые оно попросило. Ну и пост-фактум из настроек тоже можно сделать с абсолютно любым приложением.
А ещё при установке из *.apk оно три-четыре предупреждения показывает, каждое из которых не закрывается в течение 10 сек., чтобы пользователь прочитал-таки, чем это может грозить.
muratbaizhanov
11.09.2015 09:00получается, что при выходе обновления для приложения, приходится снова качать апк-файл и снова устанавливать его ручками?
я к тому, что современный набор софта обновляется чуть ли не каждый деньwtigga
11.09.2015 09:24Ну почему? Можно из маркета обновить (любого), будет показано какие новые разрешения у приложения появились. А потом повырубать их из настроек для этого приложения персонально.
muratbaizhanov
11.09.2015 09:27значит обновление с маркета не ломает установленные ручками ограничения? тогда круто
Raegdan
10.09.2015 10:55+1Использую Цианоген 12.1. В нём сделали офигенную вещь под названием Privacy Guard. Когда программа пытается воспользоваться каким-либо правом из манифеста, выскакивает окошко: «Hello World пытается получить доступ к контактам. Разрешить, запретить, запомнить». То есть как режим обучения у фаервола. Очень удобно. Программы, у которых отобрали права, не вылетают при попытке обращения, как это происходит если забыть указать право в манифесте. То есть это не просто переопределение манифеста, а какой-то более интеллектуальный блокатор прав. Возможно, вместо данных возвращается заглушка, не знаю.
fareloz
10.09.2015 12:00Действительно крутая вещь. только из-за нее и сижу на Цианогене. При чем можно указать какие настройки разрешить все по умолчанию, а какие спрашивать. Также можно разрешать на время единичной просьбы.
kalmarius
10.09.2015 12:24+1И больше всего бесит, что любой кнопочный SonyEricsson 3+ поколения (k310, k510 и новее) из гребаного 2006 года такой функционал имел, а до Гугла дошло, что это НЕОБХОДИМО только в 2015 году.
AmberSP
10.09.2015 13:23+1Гугл подобное зарелизил в 4.2.2, ЕМНИП, но очень быстро выпилил обратно. Некоторое возможность на чистом стоковом андроиде на нексус 7 была возможность играться с правами приложений.
IRainman
10.09.2015 20:07Гугл эту функциональность зарелизил тогда через одно место. В циагене же сделано по уму возвращением пустого списка или чего то подобного, а не совсем ничего эквивалентного битым данным.
smartfin
10.09.2015 18:02а это настраивается или из коробки? недавно обновился на 12.1, нету такой фичи (
Mad__Max
10.09.2015 19:49Я что-то не понял, что это за хакеры вымогающие деньги через PayPal ?!
Там же транзакции по первой жалобе клиента отменяются, а после нескольких серьезных жалоб (а шантаж/вымогательство и «вирусы» достаточно серьезны) блокируется и счет принимающего вместе с деньгами, а его личные данные (которые ему пришлось реальные указать — иначе возможности приема платежей не будет) передаются в соответсвующие органы.
Толи «хакеры» совсем глупые и наивные новички, толи это какой-то социальный эксперимент — посмотреть сколько дураков попадется, добровольно заплатит и будет молчать и не жаловаться.
denis_g
Все верно. Пользователи, которые добровольно разрешают порноплееру активировать «Device administrator», должны страдать.
Alexey2005
А те быдлокодеры, которые усиленно приучают пользователей так делать, не должны? Сейчас каждое мало-мальски серьёзное приложение требует полный пакет разрешений, и хорошо ещё, если не root-доступ. В итоге после установки 10 разных приложений, каждое из которых требует всего и побольше, и ещё двух, требующих рута, пользователь привыкает жать «Yes» всегда и везде.
Повторяется ситуация с ранними версиями винды, когда без админских привилегий запускался разве только блокнот.
bejibx
Надеюсь, грядущий Android M со своими динамическими разрешениями немного поправит ситуацию, давно пора было это сделать.
zagayevskiy
Будем надеяться. А пока на странице Normal permissions можно найти кучу привилегий, например Интернет. И плюс цитата:
Теперь вы даже увидеть не сможете, что фонарик хочет интернет. Так-то.OnYourLips
Еще и производитель ОС виноват, который при установке приложения не дает выбрать права доступа.
Чтобы при установке фонарика не снимали галочки о доступе к интернету и не лишали «корпорацию добра» заработка.
igordata
Чего уж там, и производители смартфонов, которые произвели смартфон, который вообще может фотографировать тебя, пока ты дрочишь. =)
http://cdn.topwar.ru/uploads/images/2014/003/obtd940.jpeg
Обычно — да, но сейчас — нет.
Кстати, где фотки тех, кто не заплатил? Я б не заплатил. Человек, который будет разглядывать мою фотку, вряд ли может меня пристыдить.
denis_g
И еще можно претензию к Господу предъявить за такой функционал, как «дрочить».
Antibug
Девушкам вообще приплачивать должны.
tushev
А если шантажируют тем, что фотка будет разослана всем людям из твоих контактов?
KOLANICH
Не быдлокодеры, а монетизаторы. Собирают инфу и торгуют ей. Обычно инфу собирает подключаемый модуль рекламодателя.
Без такой системы разрешений платформа бы не взлетела: её бы просто послали деньгоориентированные разрабы, а за ними — и вендоры, и был бы андроид как Firefox OS (кстати, любой компьютер с фф может запускать приложения от ффос). Как и сейчас посылают некоторые фирмы, делающие приложения исключительно под iOS, так как там принято платить за приложения (и у всех моих знакомых, кто использует эппловские устройства, все приложения куплены, потому что сама идея джейлбрейка им противна).
Android M ситуацию не поправит. Что делают многие сайты, когда детектируют блокировщик рекламы? Отказываются работать. Когда пользователи начнут массово отзывать привелегии, таких особо умных начнут массово посылать. Думаете, трудно отличить видеопоток с камеры от синтезированного видеопотока? Вообще-то трудно в произвольном случае, но ведь будет не произвольный случай, в ос внедрят код, генерирующий фальшивый видеопоток, изучив этот код и изучив образцы фальшивого видеопотока можно придумать различитель. Например, если «камера» даёт белый шум, то это легко определить. Тогда можно давать картинку, но тогда можно проверять наличие этой картинки. Тогда можно генерировать случайную картинку, но допустим, если у нас видеопоток с фронтальной камеры, то можно искать лица в кадре, и если нет — посылать пользователя за ним. Тогда для защиты можно будет генерировать видеопоток с сгенерированными лицами, но тогда можно попробовать сделать 3д-реконструкцию, тогда придётся рендерить лица в 3d, тогда можно проверять наличие комнаты, тогда придётся рендерить и комнату, тогда можно проверять, есть ли в комнате что-то на заднем фоне, тогда придётся рендерить и задний фон, тогда можно мигать светодиодами телефонов и проверять наличие отражений/засветок в кадре, тогда придётся и их симулировать, тогда можно проверить соответствие данных с датчиков устройства перемещениям камеры… Как вы поняли, битва оружия и брони бесконечна, и выигрывает её всегда оружие (на приведённом выше примере выиграло уже на стадии «рендерить 3д сцену»). Проще не ввязываться в неё и просто сказать «уважаемый пользователь, если уважаемый разработчик требует разрешение, предоставьте его ему или проявите к себе уважение и не пользуйтесь этим шпионящим говном, в f-droid/на форумах в очень многих случаях есть свободная/пропатченная альтернатива».
DrPass
Так будет страдать примерно 99% пользователей, для которых список тех привилегий — филькина грамота, которую они привыкли принимать, не читая. Тем более что нет никакого механизма выяснить, для чего эти привилегии будут использоваться приложением. Несчастный фонарик на телефоне запрашивает привилегию «неограниченный доступ в Интернет» и «снимать фото и видео». Вероятно, второе ему требуется только для управления вспышкой. Но зачем первое? Параноик внутри внимательного пользователя шепчет, что фонарик будет за ним следить через камеру и отправлять это кому-то в интернет. Можно фонарик, конечно же, не устанавливать. Но дело в том, что практически все приложения требуют какие-то зловредные привилегии, и если им не доверять, то на телефоне вообще ничего, кроме калькулятора, не будет.
JerleShannara
Параноик шепчет, что да, сфоткает морду и отправит. Рационализатор шепчет — дык, автор фонарика хочет кушать, а поэтому фонарик хочет крутить рекламу, которую будет качать из интернета, под это впринципе ещё может попасть разрешение на определение местоположения устройства, чтобы рекламу виагры с доставкой по сша не крутить в зимбабве. Но вот когда фонарик хочет ещё и получить доступ к телефонной книге, смс/ммс и т.д., то тут рационализатор полностью соглашается с параноиком.