Перейти к содержанию

Темная сторона нового Android Market


Рекомендуемые сообщения

Денис Масленников

Эксперт «Лаборатории Касперского»

 

Только что была выпущена новая версия Android Market, которая позволяет каждому пользователю устройства выбирать приложения, покупать и даже удаленно устанавливать программы на устройство с операционной системой Android непосредственно из браузера настольного компьютера. Подождите, как это удаленно устанавливать? Может быть, мы что-то не так поняли?

 

Нет, это официальная функция нового онлайн-сервиса. Если вы пользуетесь Android-устройством, значит, у вас есть привязанный к нему Gmail-аккаунт и, значит, теперь вы можете удаленно установить любое приложение из Android-Market. Вам нужно всего лишь:

 

* залогиниться на сервисе через Gmail-аккаунт, привязанный к вашему смартфону;

 

43153.png

 

* выбрать приложение, которое вы хотите установить;

* нажать «Install»;

* внимательно прочитать список привилегий, запрашиваемых приложением;

 

43152.png

 

* снова нажать «Install».

 

Если ваш смартфон подключен к интернету, вы сразу же увидите, что приложение уже устанавливается. Так в чем же проблема? При установке программы непосредственно со смартфона вы должны подтвердить предоставление приложению привилегий прежде, чем оно будет установлено. В новом варианте Android Market список привилегий отображается только на странице приложения в веб-интерфейсе Android Market. После получения подтверждения приложение устанавливается на ваше мобильное устройство автоматически, не запрашивая дополнительного разрешения на установку.

 

И что из этого? Разве это неудобно? Удобно. Причем не только вам, но и злоумышленнику, который сможет, получив доступ к вашему Gmail-аккаунту, установить любое приложение, доступное в Android Market.

 

У приложений в Android Market имеется множество опций, причем некоторые из них могут быть несанкционированно использованы третьими лицами в преступных целях.

 

Это еще один повод создавать стойкие пароли и быть начеку, когда дело касается доступа к вашим учетным записям и устройствам.

 

Мы связались с Google, чтобы обсудить эту проблему. Похоже, пока у нас нет способа блокировать эти удаленные установки из браузера. Важно, чтобы у пользователей Android, как минимум, была возможность отключить эту функцию.

 

Источник: Securelist.com

Ссылка на комментарий
Поделиться на другие сайты

Получив доступ к моему гуглоакку он вообще получит доступ к моим приватным данным: заметкам, смс, расписанию задач, почте. Так что если еще приложения начнет ставить удаленно, хуже не будет. Не вижу здесь ничего непродуманного.

Ссылка на комментарий
Поделиться на другие сайты

Получив доступ к моему гуглоакку он вообще получит доступ к моим приватным данным: заметкам, смс, расписанию задач, почте. Так что если еще приложения начнет ставить удаленно, хуже не будет. Не вижу здесь ничего непродуманного.

Если пользователь только использует его для почты, то хуже будет.

Ссылка на комментарий
Поделиться на другие сайты

А смысл в смартфоне тогда? Не создавать задачи, не бекапить данные, не делать заметок :hello: Нет, можно хранить и локально, если сторонние программы, но это опасно. Я знаю, что у меня все забекаплено на сервере гугла и в любой момент я могу:

1. Получить данные с другого андройд устройства, если куплю его

2. Восстановить данные из-за каких-нибудь проблем с текущим (очистка, к примеру).

Ссылка на комментарий
Поделиться на другие сайты

Как по мне , не так уж все страшно, как кажется . И думаю со временем маркет допилят. Да и прочтите про айтьюнз если кому интересно : http://4pda.ru/2011/02/05/37086/ Оченьпохоже на жолтую прессу.

 

Но блин браузерный маркет удобный, нажал скачать, как только есть возможность к вайфаю подключится, оно само все грузит . )

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sputnikk
      От sputnikk
      Сам Ютуб видно без всяких хитростей.
      Но иностранные правообладатели часто запрещают показ роликов в РФ. Раньше спасал KSC. Однако лицензия закончилась, а за баллы больше не продают.
      Может есть бесплатные решения данной проблемы?
    • igrok52
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • KL FC Bot
      От KL FC Bot
      Шпионское ПО — опасный инструмент, позволяющий избирательно следить за конкретными пользователями: зачастую жертвами становятся сотрудники одной компании или жители одной страны. Обнаруженный нами новый мобильный шпион LianSpy — пока — нацелен на пользователей Android-смартфонов из России, но используемые им нестандартные подходы потенциально могут быть применены и в других регионах. Как именно работает этот мобильный шпион и как защититься от новой угрозы — в этом материале.
      Что такое LianSpy
      Мы обнаружили LianSpy в марте 2024 года, но действует он, по нашим данным, как минимум три года — с июля 2021-го! Почему LianSpy так долго оставался в тени? Дело в том, что атакующие тщательно прячут следы работы вредоносного ПО: при запуске программа прячет свою иконку на рабочем столе и работает в фоновом режиме, используя права суперпользователя. Это позволяет зловреду обходить уведомления Android в статус-баре, которые показывают жертве, что в текущий момент смартфон использует камеру или микрофон.
      LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересуют банковские данные жертв: шпионское ПО тихо и незаметно следит за активностью пользователей, перехватывая данные журнала звонков, отправляя список установленных приложений на сервер атакующих, а также записывает экран смартфона, в основном — при работе с мессенджерами.
       
      View the full article
    • ping_pig
      От ping_pig
      Добрый день!
       
      Подскажите пожалуйста, кто-нибудь смог настроить удаление ПО через задачу в KSC?
      В частности интересует централизованное удаление браузера Google Chrome.
      Команда для удаления программы, которую надо вводить в мастере создания задач, типа:
      "C:\Program Files\Google\Chrome\Application\103.0.5060.114\Installer\setup.exe" --uninstall --channel=stable --system-level --verbose-logging
      не отрабатывает(
      Задача висит минут 40-45, доходя при этом до 32 % и завершается со сбоем: "Удаленная деинсталляция на устройстве завершена с ошибкой: Время ожидания окончания процесса удаления программы истекло. Задача удаления на этом устройстве считается завершенной неудачно."
       
      Удаление через msiexec  и [Product_code] не подходит, браузер установлен не из msi(((
       
      Так же такая ситуация и с некоторыми другими прогами, например AnyDesk.
      Некоторое стороннее ПО удаляется корректно.
       
      Хотелось бы делать удаление некоторого ПО централизованно.
      Может у кого получилось так делать или есть другие рабочие варианты, был бы благодарен за подсказки и помощь.
       
      Ранее (3-4 года назад) на форуме была подобная тема, но так и не нашли там решение.
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
×
×
  • Создать...