В конце декабря прошлого года пользователи Android начали жаловаться на навязчивую рекламу, которая открывалась через браузер по умолчанию. Один из пользователей под ником Anon00 обнаружил, что реклама начала возникать после установки приложения Barcode Scanner. Это приложение есть в Google Play и насчитывает более 10 млн установок.
Google уже удалила сканер штрих-кодов из своего магазина.
Многие владельцы смартфонов без проблем пользовались Barcode Scanner в течение долгого времени. Но после декабрьского обновления сканер штрих-кода стал вредоносом.
Обновление вышло 4 декабря.
Обычно бесплатные приложения в Google Play используют рекламу, но делают это путем включения рекламного SDK в код приложения еще на стадии разработки. В платные версии этот SDK не включается.
Однако в случае со сканером штрих-кода в него был добавлен вредоносный код, которого не было в предыдущих версиях приложения. Кроме того, добавленный код использовал обфускацию, чтобы избежать обнаружения.
Интересно, что обновление было подписано тем же цифровым сертификатом, что и предыдущие версии Barcode Scanner. В обсуждении отмечается, что, скорее всего, разработчики популярного приложения в какой-то момент встроили рекламу, получив за это деньги от компании-рекламодателя.
Сам факт удаления приложения из магазина Google Play не означает, что оно будет удалено с затронутых мобильных устройств. Поэтому пользователям необходимо установить сканер вредоносных программ или удалить приложение вручную.
Год назад исследователи Bitdefender выявили 17 приложений из Google Play, которые после установки начинали отображать агрессивную рекламу, хотя сами по себе они и не являлись вредоносными. Общее число загрузок этих приложений превысило 550 тысяч.
Sam86
К слову есть опенсорсный от ZXing Team. Не понятно зачем использовать этот странный проприетарный, когда есть от разработчиков достаточном мощно опенсорсной либы.
fougasse
Простой пользователь смотрит на количество скачиваний и рейтинг.
Ему ничего не известно про опенсорс, проприетарщину и прочие вещи.
И это задача магазина ограничивать влияние и возможности программ, а не обычного юзера следить за исходниками и проводить аудит безопасности каждого обновления.
Sam86
Ну да, ну да.
Стоит гуглу или эплу удалить любое приложение — все начинают визжать, что это не правильно. И пользователи должны сами решать. Это из устройстви и бла-бла-бла.
Стоит пролезть зловреду и начинает обратное верещание: про гугл и эпл, которые должны тщательнее следить за тем, что можно скачать из их стора.
Надо уж определиться, что в приоритете. Выбрать из двух надо что-то одно. Либо корпорация за вас решает что ставить, на что смотреть и что слушать. Либо будьте добры сами нести ответственность за мусор, который хозяйничает на вашем устройстве.
Alexey2005
Так визжат-то разные люди. Есть те, кто сам не способен сделать оптимальный выбор — они с удовольствием делегируют эту напряжную обязанность кому-то ещё. И есть те, кто выбирать способен (или, по крайней мере, им так кажется), и вот они-то как раз хотят, чтобы этот выбор по крайней мере присутствовал.
Проблему можно было бы решить, разделив стор на две категории: Secure Store (стоит по умолчанию, очень жёстко модерируется) и Permissive Store, куда можно кидать всё подряд и даже без подписей. Этот второй стор требуется сперва установить на девайс, причём процедура установки должна быть не самой очевидной, чтобы те, кому это не нужно, не могли наткнуться на неё случайно.
Sam86
Ну так он и есть.
Хочешь огороженность со всех сторон — бери Apple.
Хочешь свободну(пока еще) — Android
mig126
Но огороженность не значит защищённость. К примеру для андроида есть гугловская звонилка(и куча альтернатив, даже от МВД) которая защищает от спама/мошенников(в бета версии ещё и разговор умеет записывать), а у Эппл как выяснилось, аналогов не нашлось.
eps
В iOS есть API для идентификации или блокирования спам-звонков. Есть приложения (и для России), которые его используют. Очень privacy focused API: приложения только поставляют справочники, и никогда не узнают, кто вам на самом деле звонил.
Есть ещё антиспам-API для SMS, но для него русскоязычных приложений пока не видел
Kanut79
Хм, а в чём конкретно вы видите проблему? Ну отключите автообновления и/или ставьте всё сами вручную с проверенных апкшек.
jryj
Не всякое приложение можно скачать в виде .apk с официальных источников.
Kanut79
А зачем вам официальные? Достаточно же просто источников которым вы доверяете.
jryj
Тут вот с ГПлэя установили себе заразу, а вы предлагаете с каких-то источников качать.
darthmaul
Можно не удалять, а помечать, мол софт не соответствует нашим стандартам безопасности, устанавливайте на свой риск. И все будут довольны.
forever_live
У приложения от ZXing Team сейчас проблема — ему сливают рейтинг в сторе с коментариями про малварь, видимо по ошибке.
MykolaPetiukh
Где гарантия, что билд в Сторе собран из тех же сорцов, что на Гитхабе лежат?
isden
Вот этот?
Я тоже им пользуюсь, но вот сейчас обнаружил там
karabas_b
Хомячий бунт, бессмысленный и беспощадный. Barcode Scanner от ZXing Team обновлялся последний раз в 2018 году.
forever_live
Выглядит так, как будто недовольные пользователи забаненного приложение находят другое с таким же именем и сливают ему
кармурейтинг.Jeka83
Вроде, рекламный SDK заразили.
Они наверное и пользуют ZXing, либо Google MLKit — выбор невелик.
Akuma
А стандартное приложение камеры разве не умеет распознавать QR коды?
mig126
В новых да. В старых где как. У меня валяется самсунг J5 Prime c андроид 8 и он не умеет. И есть Redmi 4x с 7 андроидом, он умел распознавать с самого начала, даже подключаться к wi-fi по qr коду.
proninyaroslav
Ничего необычного нет, фича библиотеки ZXing
mig126
И фиче уже десять лет в обед. Но встроили в андроид её вероятно только в 9-10 версии. До этого реализация была по желанию производителя.
anwender95
Сейчас попробовал своим Realme 6 pro с 10 андройдом считать QR код стоковым приложением камеры — не давало. В итоге использую приложение из f-droid'а.
mig126
Я проверял на самсунгах m31s, a30s, работает сразу с магазина. Но не нашёл информации чьё там приложение камеры.
Kanut79
У моторолы в 9-м андроиде это тоже всё ещё не было «встроено» в камеру и надо был устанавливать дополнительное приложение.
b100d1e55
В 10 андроиде можно добавлять wi fi по QR коду. Рядом с надписью Добавить сеть в настройках wi fi есть значок для добавления сети по QR коду.
batyrmastyr
Камера в 10 андроиде на Huawei P30 не умеет считывать QR коды вообще. Добавление вайфая по qr-коду через настройки вафли, как описал b100d1e55, есть, но это всё же не то, что нужно.
zuzzz
Приложения для камеры тоже отличаются, наверно зависит от фирмы производителя. Некоторые могут, но не все.
Dr_No
Ну так Barcode бывают разные, гуглкамера и прочие штатные штуки не очень умеют в Datamatrix, GS1, code128 и еще десяток-другой.
ZyXI
То, что у меня и в QRCode не очень умеет. Я как-то отсканировал серийный номер мультиметра им, так он его корректно отсканировал, после чего показал сообщение с общим смыслом «я насканировал X, это не URI и я не знаю, как открыть, поэтому пошёл ты нафиг, скопировать не дам».
pewpew
Прочитал, но так и не понял что за «вредоносный код». И что значит фраза «делают это путем включения рекламного SDK в код приложения еще на стадии разработки». Т.е. как можно включать код SDK после разработки? И что не так с обфускацией?
proninyaroslav
Ну так можно редактировать байт-код и внедрять вредоносы в уже готовый апк. Если на стадии разработки, значит на стадии сборки из исходников. И тут либо сделал разраб, либо произошла утечка паролей/ключей/исходников.
pewpew
А какая разница, как встроили код если этот код вредоносный? Всё равно в статье подытоживается, что «скорее всего, разработчики популярного приложения в какой-то момент встроили рекламу», ссылаясь на какой-то широко популярный в узком кругу форум.
Т.е. сплошные догадки.
Kanut79
Ну если разработчик это сделал сам, то это одно. А если скажем кто-то научился манипулировать приложения прямо в гуглсторе, то это совсем другое.
mig126
Показ рекламы вне приложения классифицируется как зловред. Т.е. приложение стало фактически вирусом, поставив себя вне закона. По хорошему программы с таким поведение нужно и со смартфонов автоматически удалять или хотя бы предупреждать пользователей о вредоносном поведении программы.
DurRandir
У вас все еще включены автоапдейты? Тогда мы идем с малврью в вам!
Ztare
Именно. Если софт на мобилке работает исправно и нет интересных новых фич — не обновлять. Своевременно нужно обновлять только мессенджеры (если стоят) и браузеры. Сейчас уже бывает что просто калечат софт даже не вирусами, а просто топ менеджеры решившие обменять репутацию и аудиторию на деньги
qw1
И так мы доходим до отказа использования Play Store в пользу собрания коллекции apk-шек у себя на sd-карте.
remzalp
Да еще поправить в манифесте название приложения и подписать собственным сертификатом, чтобы уж точно больше ничего лишнего не пролазило :)
Astroscope
Некоторые так и делают изначально. Удаляют (неудалимые по-легкому) GMS вместе с магазином и все, что нужно, ставят вручную. Расплата за это — увеличение времени работы от одной зарядки, нередко чувствительное.
mig126
Ладно бы малварь. Не каждый рискнёт своим приложением, а вот сломать что то в приложении(или даже перестаёт запускаться) с обновлением, делают регулярно многие. Но механизма отката версии насколько я понимаю нет и тогда либо ждать фикса, либо качать с непроверенных источников(с неизвестными последствиями).
batyrmastyr
Откат тоже не факт, что поможет так как приложение может свои данные в новый формат переделало и старой версией их не открыть.
Catslinger
А пресловутый Play Protect это приложение проверял?
androidovshchik
И где здесь зловредный код? Здесь просто-напросто разработчики оборзели, что в наглую пихают пользователю рекламу, вот и все. Неудивительно, что алгоритмы гугла не распознали в этом угрозу, потому что потенциально любое приложение, открывающее ссылку в браузере (коих миллионы), может приводить к тем же «зловредным» последствиям. Кстати, в последних версиях андроида уже нельзя открывать активити из фона, что очень даже хорошо
Tangeman
Вот и наступило время когда ни миллионы скачиваний, ни топовый рейтинг ничего не значат.
Берешь что-то супер-пупер и вроде доверенное, а оно вдруг превращается в злобного буратину даже не дожидаясь Рождества...
eigrad
Не, тут пользователи ССЗБ — берут накрученную поделку вместо официального приложения (от разработчиков используемой повсеместно opensource библиотеки) у которого >100млн скачиваний.
Shpankov
Собственно, поэтому мы и добавляем новые функции в браузер нативно, а не надеемся на расширения.
oswxp
Хз… вопросов не возникает, в MIUI, бар/кьюар-код ридер встроен и весьма юзабильно.
BMXer_V
Вот именно поэтому я никогда не понимал, почему "в целях безопасности" везде рекомендуется держать автоматическое обновление включенным. Мне всегда казалось, что это, наоборот, дырища в безопасности. И, видимо, я не ошибся. "Работает — не трогай", мудрость проверенная десятилетиями. А будешь постоянно обновляться — не подсунут малварь, так интерфейс попортят.
bopoh13
Какая "приятная" новость в связи с тем, что Гугл периодически включает обновления для всех установленных приложений.