![image](https://habrastorage.org/getpro/habr/post_images/523/d16/137/523d161376eb5ee0063cf27b7334305b.png)
Журналисты сразу нескольких изданий выяснили, что приложение La Liga организовало целую шпионскую сеть посредством мобильных устроств своих пользователей. В ходе установки на смартфоны под управлением Android приложение запросило доступ к микрофону и датчику GPS. Это в теории означает, что создатели La Liga получают полномочия в любой момент как прослушать разговоры и музыку в радиусе нескольких метров от телефона, но и определеить точное местоположение, где была зафиксирована аудио-активность.
![image](https://habrastorage.org/getpro/habr/post_images/c60/087/fcf/c60087fcf505de15e4e6669bf6b6554d.png)
Свою популярность приложение получило благодаря возможности просмотра забитых голов и ежедневным отчетам сначала об испанской футбольной Лиге, а потом и Чемпионате Мира. Но какого-то либо интерактивного общения оно никогода не предусматривало. Неожиданный запрос на доступ к микрофону и датчику GPS должен вызвать опасение у любого технически-грамотного человека, поэтому обновленная версия приложения для футбольных болельщиков La Liga вполне ожидаемо вызвала у пользователей подозрения.
![image](https://habrastorage.org/getpro/habr/post_images/bdc/9e5/7bf/bdc9e57bfb1a1b4e87115a045a1b55dd.png)
Если разрешить доступ такому приложению к микрофону и GPS-датчику, то оно может фиксировать у себя на сервере маршрут передвижения каждого пользователя, а также записывать телефонные разговоры и любую звуковую активность вокруг устройства. С учетом современных реалий, можно только догадываться, как могут быть использованны полученные данные, ведь технологии позволяют идентифицировать человека по голосу или украсть пароль по звуку нажатий клавиш.
В ответ на поднявшуюся шумиху представители Google воздержались от комментариев, а создатели La Liga подтвердили факт записи разговоров: они сообщили, что таким образом пытаются найти бары и другие площадки, которые транслируют футбольные матчи без лицензии. Дело в том, что из-за незаконных показов испанская лига предположительно теряет примерно 150 миллионов евро в год.
По версии авторов приложения приватности пользователей ничего не угрожает. Якобы микрофон включается только во время проведения матчей, а записанные аудио фрагменты никуда не передаются, а преобразуются в цифровые отпечатки, из которых нельзя восстановить оригинальные звуки, но можно сравнить с эталонными отпечатками футбольных странсляций.
Конечно владельцев медиа-бизнеса можно понять, ведь права на трансляцию, особенно эксклюзивную, невероятно дороги, и им приходится активно защищать свои инвестиции. Но вместе с тем произошедшее явило собой прецедент, когда правообладатель превратил миллионы человек в своих невольных и бесплатных агентов по защите своей интеллектуальной собственности. Звучит угрожающе, не правда ли? А ведь это только если реальное назначение функционала «шпионажа» совпадает с озвученным, иначе все может оказаться гораздо хуже.
Предлагаю в комментариях поделиться своими историями о том, как ваше любимое приложение внезапно стало развивать самодеятельность или собирать информацию вне зоны своего непосредственного функционала. Как вы с этим справились?
Комментарии (68)
zuborg
20.06.2018 19:01+1А как же GDPR? Разработчики не получат штраф?!
lopatoid
20.06.2018 19:22Насколько я понимаю, GDPR относится к персональным данным. В данном же случае (если верить статье) никакие ПД на сервера не передаются, только обезличенные координаты и цифровые отпечатки звука.
ppl2scripts
20.06.2018 23:09Скорее всего это не совсем правда. Как минимум передаётся ещё IP адрес, а это уже ПД.
vorphalack
21.06.2018 03:11вот интересно может ли являться ПД НЕуникальный адрес от опсоса (как правило являющийся выходным натом) без более точной привязки абонента типа IMSI?
ppl2scripts
21.06.2018 03:54Не может. Но они скорее всего хешируют IMSI или id устройства, и хранят адреса вместе с ним. При продаже 3м лицами типа агрегаторов рекламы, установить личность элементарно.
Kanut79
21.06.2018 10:21Но они скорее всего хешируют IMSI или id устройства, и хранят адреса вместе с ним.
Скорее всего или точно? :)
То есть я думаю на это приложение теперь посмотрят повнимательней и если найдут косяки, то устроят показательное сожжение ведьм :)ppl2scripts
21.06.2018 14:41Они пишут: «Коды не будут ссылаться на ваше имя, а на ваш IP-адрес и определенный идентификатор, назначенный APP, когда пользователь зарегистрируется.» Самый простой вариант сделать уникальный идентификатор, это хешировать IMEI, IMSI и им подобные. Смысл будет один и тот-же.
Kanut79
21.06.2018 15:00Там же вроде бы нигде не написано что этот идентификатор генерируется из данных пользователя. И тогда самый простой вариант это обычный counter который увеличивается на один при регистрации очередного пользователя :)
ppl2scripts
21.06.2018 16:44Никакой разницы нет. Если есть уникальный ID и список адресов — какой-нибудь Алексе, Фейсбуку, Амазону или Гуглю элементарно установить личность пользователя. :)
Kanut79
21.06.2018 16:47У вас есть мой уникальный номер, который хранится только в вашей системе, и куча айпишек от публичных точек доступа для вайфая. Как вы определите мою личность по этим данным?
ppl2scripts
21.06.2018 17:14Сначала надо определиться кто «вы» ;) Если я большой агрегатор, который скупает подобную информацию из приложений, то по совпадениям адресов и их временных меток.
Kanut79
21.06.2018 17:21Но для этого где-то в купленных вами данных должны уже находится мои ПД. Или нет?
ppl2scripts
21.06.2018 17:45Конечно лучше всего если такие данные уже есть. Но даже если их нет, а есть например заходы из домашней сети и с работы, то их легко найти.
Kanut79
21.06.2018 17:52Ок, я соглашусь что в теории это возможно. Но для этого данный сервис должен как минимум передавать ваши данные кому-то ещё. И я пока не увидел чтобы они брали на это согласие. Так что получается что если они это делают, то это уже нарушение GDPR.
А вот сaми они ваши ПД вроде бы вычислить не смогут.ppl2scripts
21.06.2018 18:08Всё намного хуже. У них в «privacy policy» указано что они могут использовать эти данные бесконечно, с подлицензированием 3м лицам, в том числе для построения персонального профайла (Я бы стёр эту штуку немедленно).
ppl2scripts
21.06.2018 18:17И вот ещё «эти данные могут использоваться для проведения статистических, маркетологических и поведенческих исследований» :))
aisalexa666
21.06.2018 21:35Само по себе — никак.
Но как только появитесь снова — будет вполне известно (99.9%?) что это именно Вы.Kanut79
21.06.2018 21:39Что значит "именно я"? Мои имя и фамилия? Адрес? Какие конкретно персональные данные имеются в виду?
Arbane
20.06.2018 19:25+3Считаю, что нужно вернуть возможность подсовывать любому приложению генератор фуфла вместо позиции, звука, адресной книги и т.п. Сильно обламает умников. А, и разрешить накатывать свои фуфлаторы (скажем напишу имитацию, что я Билл Гейтс в Нью-Йорке) — лучшая забота о пользователях ;)
autuna
20.06.2018 19:39+1Напишете? Готов купить такой генератор в Google Play.
Arbane
20.06.2018 20:33Такая возможность была в одной предполагаемой версии Андроида. Если ты не соглашался с правами на «датчик», то просто на вход шли псевдоданные. Конечно, эту суперштуку сразу выпилили под предлогом заботы о пользователях. Пруфов не дам, посерпнул из памяти.
dobergroup
21.06.2018 02:27+2а также записывать телефонные разговоры
Автор явно не пробовал написать для андроид приложение, записывающее телефонные разговорыroscomtheend
21.06.2018 09:44Телефонные разговоры соседей может (половину или громкую связь, с соответсвующим качеством).
Jeditobe Автор
21.06.2018 11:23Пробовал. Как минимум, одну сторону телефонного разговора точно можно записать.
BJM
21.06.2018 16:17Одна строрна телефоного разговора это уже не разговор, а монолог.
Речь шла про трудности записи разговора обеих сторон с линии на всем многообразии моделей телефонов.Jeditobe Автор
21.06.2018 16:25Это все равно будет именно часть телефононного разговора, а никакой не монолог. Для утечки данных этого достадочно.
BJM
22.06.2018 11:32Речь шла про формулировку «записывать телефонные разговоры».
без слова «телефонные» я, и по всей видимости dobergroup, был бы целиком согласен. Может поменять и все уже?
Если угодно написать формально точно, но добавить чуть-чуть «воды», то так и надо писать про «части» разговоров, которые могут быть записаны. Хотя как по мне — это подмножество «любых звуковых активностей» вокруг телефона, и зачем отдельно указывать телефонные разговоры — мне не ясно.
Сама по себе тема поднятая вами в статье правильная и нужная, но как по мне на этом ресурсе градус алармизма можно бы держать чуть ниже, тут и так почти все это понимают.
Кстати, как бы вы интерпретировали результаты опроса? 73,4% делают все верно, но их это не спасет, т.к. вокруг будут остальные с телефонами и микрофонами?
selenite
21.06.2018 16:58приложение для записи — фигня, просто реверсится одна из существующих реализаций. А вот обмен аудиоданными с сетью через модем — это узкая и зависящая от поддержки вендором задача, даа, поскольку андроид в принципе предполагает, что эти коммуникации в основном идут через железо в обход ОС, в ОС просто дублируется аудиопоток :)
mikelavr
21.06.2018 07:39Помню, что года три назад в Play Market с трудом удалось найти Minesweeper, не попросивший доступ к истории звонков, GPS, SMS, и неограниченный доступ в интернет…
Areso
21.06.2018 08:17Где пункт «не ставлю приложения-обертки к сайтам»?
Мне бесит, что в банке мне пытаются всучить их приложение, у которого разрешений больше, чем строчек в терминале. Меня бесит, что сотовый оператор не может починить веб-версию своего ЛК уже который месяц, но зато упрашивает поставить приложение, которому зачем-то нужен доступ к контактам, галерее и GPS. И так далее.
Идите в баню, я на сайте гляну что надо и сайт за пределы своего браузера не вылезет (и слава создателям браузера).x-foby
21.06.2018 08:27Читаю ваш комментарий через хабр-приложение. С телефона. В трамвае. Удобно. Удобнее, чем в мобильном браузере.
roscomtheend
21.06.2018 09:51У банка появился козырь — пуш-уведомления и платные смс (бывшие до того бесплатными). Прямо безопасность возросла до небес (раньше можно было небезопасный смс- код получить на другой телефон, куда ничего не установлено, а теперь безопасный пуш, на телефоне с установленным приложением, потому как иначе не работает).
aamonster
21.06.2018 08:25Интересно, с точки зрения испанского закона скрытое использование чужих ресурсов/труда (болельщик, по сути, работает курьером для микрофона лиги, да и батарейку эта хрень должна сажать, что ухудшает жизнь болельщика) для своих целей — это вообще как?
algotrader2013
21.06.2018 10:13наверное, в EULA где-то на 148 странице пару строк предупредили об этом, так что, фанаты как бы согласились…
mk2
21.06.2018 11:23Из недавнего — [Фейсбук просил полный доступ](https://www.securitylab.ru/news/493398.php)
Конечно же, они отговорились технической ошибкой, *но мы-то знаем...*
HomoIT
21.06.2018 11:23Как-то поставил игрушку из Google Play. Дощечки какие-то передвигать. Через несколько дней слушаю музыку в наушниках и слышу как мои пальцы телефон, простите, трогают! Как оказалось микрофон был включён. Начал разбираться и методом исключения пришёл к выводу, что микрофон включают именно эти дощечки. Удалил, дабы не повадно было остальным. Жаль, игрушка интересная была.
pavlick
21.06.2018 13:06Мне как-то для поездок потребовался простенький телефон-звонилка, но с возможностью раздачи инета. Выбор пал на какой-то из ZTE. Так вот разрешения, которые просит он, даже в дефотных приложениях, все время меня удивляют. Почти все дефолтные приложения просят доступ к звонкам и контактам. А когда эти разрешения не даешь, то приложение вообще не запускается. В итоге телефон так по прямому назначению и использую — звонить и интернет раздавать.
dm9
21.06.2018 15:02Самый большой капец, с которым я встречался, — это Google Play Services. Отсутствует на моем OnePlus 5t в списке приложений, но всегда работает в фоне как прослойка для других гугл-приложений. Зачем-то получает доступ к GPS, когда я использую Google Maps. Снять доступ к GPS нельзя в принципе. Другие разрешения снять можно, если хорошо покопаться. Но NFC (!) отказывается работать, когда у Google Play Services нет доступа к звонкам (!), смс (!) и чему-то третьему (кажется, контактам). Чувствую себя гостем на своем телефоне.
buggykey
21.06.2018 15:56+1Чувствую себя гостем на своем телефоне.
Да. Причем, далеко не самым уважаемым, а так, случайно запустили вместе со всеми…
buggykey
21.06.2018 17:23Кстати, для Google Play Services есть оупенсорсные заменители. Но чтобы удалить их (Google Play Services), нужен рут.
selenite
21.06.2018 18:28У гугла много неочевидной логики, размазанной по Play Services/GSF (нельзя просто так взять и дать приложению работать без GCM), по приложенческим библиотекам для их поддержки при всех условиях (девайс ушел в сон, powersaving итд).
Еще много чего рассовано по архитектуре и по коду AOSP для поддержки работы этих сервисов с почти-root правами — именно отсюда растут ноги у жесткой сертификации/compatibility test suite, пропатченный андроид без поддержки всех бекдоров просто не получает легального права работы с play store (без бана в play store всех девайсов и письмом счастья от юристов алфавита).
За примерами лезть лениво, но взять хотя бы packageinstaller, provision и их работу в сценарии корпоративного железа с MDM — «вы взяли это приложение не из магазина, мы обязательно его 'проверим'». Причем после запуска Treble всё походу стало еще хуже.
С кЕтайскими прошивками ситуация улучшается, но вот например приход androidone только ухудшил ситуацию — казалось бы только-только мелкие производители получили опцию под своим лейблом менять код, не влезая в дорогое и сложное лицензионное соглашение с Mediatek про ALPS, как им тут же развязали руки «гугл — это безопасно, напиши androidone!!!, и далее модифицируй что хочу @ не выкладывай исходники ».
GDragon
Очень красивый пример — приложение «Погода» в MiUI которому _внезапно_ потребовался доступ к звонкам.
dartraiden
А их калькулятору непременно нужен доступ к местоположению.
Вот ещё лучше пример: https://vgy.me/hspwRb.png
GDragon
Да там вся система похлеще чем гугл, благо хоть прошивки чистые есть :)
Но тут именно что не требовалось разрешение на звонки, вжух и требуется и приложение не открыть т.к. оно это разрешение проверяет.
dartraiden
Встречал такое на китайской прошивке к нонейм смартфону. Камере нужен доступ к телефону, без доступа сразу закрывается. Но там были «из коробки» даже вирусы в SystemUI, потому я не стал разбираться в сортах дерьма и накатил свободную прошивку.
inkvizitor68sl
> Камере нужен доступ к телефону
Почти все камеры хотят доступ к телефону (правда, без доступа они не закрываются обычно).
А ещё доступ к телефону хотят steam, гугл-карты, моспаркинг, ютуб, телеграм, play и наверняка куча остальных приложений, просто я на телефон ничего не ставлю. А самое забавное, что половине из них это разрешение наверняка нужно для чего-то вроде «получать deviceUniqueIdentifier».
force
У меня в одном из приложений понадобился доступ к телефону для возможности нормально определить сам факт звонка (уже не помню для чего, то ли на паузу корректно поставиться, то ли нотификацию какую-то поставить). Я был бы рад уменьшить себе права (вообще не интересно, кто и кому звонит), но нельзя.
inkvizitor68sl
Стоит заметить, что в андроиде весьма странная система разрешений.
Например, для использования low-voltage BT нужен доступ к… местоположению =)
Так что не всегда странные запросы — действительно попытка украсть данные.
JediPhilosopher
Да, это очень странная тема. У меня мультиварка Redmond с управлением по BT. Очень удивился (и судя по комментам в плеймаркете — не только я), какого черта приложению для готовки нужны данные о моем местоположении. Авторы там уже видимо задолбались отвечать, что это нужно только для Bluetooth. Вообще фраза «моя мультиварка шпионит за мной» лет 10 назад звучала смешно, а теперь это печальная действительность.
Гугл с одной стороны пытается действовать в интересах пользовательской безопасности (по BT токенам в принципе действительно можно отследить местоположение), но в итоге получается странно и непонятно.
402d
Поддерживаю.
Фактически пермишен звучит как доступ к приблизительному местоположению, по данным устройств поблизости, но отображается как запрос «О местоположении».
Если у вас прога должна работать с блютуз устройством, то без него нельзя
запустить поиск новых устройств.
И вот думай, то ли не пугать пользователей и отсылать их спариривать в ручную,
то ли добавить в манифест.
autuna
Мило. Пульт управления, с неограниченным доступом ко всему в телефоне.
Эта софтина, случаем, в администраторы устройства не прописывает себя?
Fragster
Просто это пульт удаленного управления телефоном.
GDragon
в «лучшем» примере — скорее всего это предустановленное в system приложение, тогда у него есть доступ ко всему независимо от разрешений
max1muz
Кстати не знаете, как поудалять весь дефолтный мусор, которого прибавилось после последнего обновления? Особенно этот их б***, надоедливый магазин приложений.
GDragon
через ADB можно и без рута, на 4pda есть инструкция — по удалению