Перейти к содержанию

Осторожно: поддельный Kaspersky Internet Security для Android | Блог Касперского


Рекомендуемые сообщения

Почти в каждом посте про Android мы обязательно говорим, что приложения следует устанавливать только из официальных источников. И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android. Разберем этот случай немного подробнее.

Почему опасно устанавливать приложения из неофициальных источников

Что, собственно, не так с неофициальными источниками? То, что никто не знает, можно ли им доверять. В официальных магазинах приложений — будь то Google Play или, например, Huawei AppGallery — сотрудники контролирующих их компаний проверяют каждое приложение, которое разработчики хотят там разместить, и отсеивают откровенно зловредные. Компании большие, дорожащие своей репутацией и безопасностью своих клиентов, — у них есть и ресурсы, и мотивация заботиться о том, чтобы у пользователей не заводились зловреды.

Иногда зловреды все-таки пролезают даже в Google Play, но все же шанс встретиться с ними там намного ниже, чем на форумах, торрентах и каких-нибудь независимых сайтах. На маленьких, но гордых сторонних площадках приложения, скорее всего, не проверяет никто — в первую очередь потому, что особенно-то и некому этим заниматься. В результате эти приложения вполне могут оказаться не тем, за что себя выдают, а вообще чем угодно, в том числе и трояном.

При этом просто скачать зловреда на Android обычно недостаточно для того, чтобы заразиться. Эта операционная система устроена так, что установить и запустить опасное приложение, если оно не полагается на какие-то суперуязвимости нулевого дня для получения прав суперпользователя, довольно сложно: вас на каждом шагу будут спрашивать, правда ли вы хотите его установить, действительно ли согласны дать все нужные разрешения, и так далее. Для того чтобы убедить вас это сделать, злоумышленники прибегают к социальной инженерии — и довольно успешно.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Вот так понаустанавливают всяких подделок непонятно откуда, потом будут говорить, что антивирус у них все данные украл.

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, Umnik сказал:

Ну а я снова уведомлю, что есть нечто, лучше GPlay — FDroid.

В том магазине не бывает подделок?

Ссылка на сообщение
Поделиться на другие сайты

Ну, подделок там точно не было ещё.

 

Суть FDroid в том, что это сервис, который собирает приложения сам, из исходников этих приложений. То есть я, как разработчик, не загружаю сам туда файлы, как это делаю в GPlay. Вместо этого я создал под каждое своё приложение issue в гитлабе ФДроида, указал исходники, указал лицензию. Их бот скачал исходники, проверил их на рекламные трекеры, на используемые пермишены, на любые не свободные компоненты, в том числе на просто ссылки на что-то не свободное. И далее он сам собрал мои приложения и выложил их у себя.

 

Пользователи могут установить любую из версий моих приложений, а не только последнюю. То есть если я внесу изменения, которые им не понравится, они могут просто откатиться назад. И любой из них может взять исходники ровно той версии, которая им ещё нравилась (фдроид прицепляет срез исходников рядом с apk файлом, который ровно из них был создан) и продолжать развивать уже её.

 

В чём принципиальная разница с GPlay:

1. В FDroid у любого человека есть возможность собрать приложение самому. Если человек по любой причине предполагает,  что разработчик приложения мог внести опасные изменения, то этот любой человек всё равно будет сохранять полный контроль над оригинальным приложением. Он будет видеть все изменения в исходном коде

2. Разработчики, которые публикуются в FDroid, не могут заявлять одно, показывая исходники, но публиковать другое, скрыто добавляя плохое поведение, надеясь не некомпетенцию пользователей. Потому что, в отличие от GPlay, у разработчика вообще нет возможности публиковать скомпилированные apk файлы. Сборкой конечных приложений занимается только FDroid и на это нельзя повлиять

3. Все приложения, публикуемые в FDroid, сканируются на любые подозрительные вхождения. В отличие от GPlay, подозрительными вхождениями являются и рекламные модули, и просто не свободные сервисы. Такие приложения получают специальную метку "анти-фич". Вот их список: https://f-droid.org/ru/docs/Anti-Features/ Ничего из этого в GPlay не считается чем-то, на что следует обращать внимание пользователя. Здесь же этого нельзя не заметить

4. F-Droid отображает вообще все разрешения, которые использует приложение, в то время как GPlay часть скрывает. К примеру, F-Droid видит, что моё приложение запускается вместе с системой (это нужно, чтобы пересоздать запланированные задачи, больше ничего не происходит) https://f-droid.org/ru/packages/xyz.myachin.downloader/ Ничего подобного GPlay не показывает

5. Многие платные приложения здесь бесплатны. Просто потому что автор разрешил это. К примеру, здесь DavX5 можно взять бесплатно, если есть желание

 

Это для пользователя. Для разработчика же:

1. Нет нужды заливать собранные файлы. Меня на GPlay это подзаколебало. Иногда выбираю не тот файл, жду, пока очухается, а потом вижу ошибку и понимаю, что надо было другой указать. F-Droid же работает и жрать не просит. Всё, что отменя требуется — в git репозитории выставить тег релиза. Всё, больше ничего не надо. Бот придёт сам в течении недели, вытянет исходники по тегу и соберёт проект

2. Никто не запрещает мне встраивать ссылки на донаты. В GPlay, если я попытаюсь поставить кнопку "Поддержать проект", меня могут заблокировать. Гугл требует отдавать им % со всех платежей, потому я обязан встраивать их модуль покупок. А как только я такое сделаю, в их Маркете у меня появится метка "Внутренние покупки". Хотя покупок нет, я хочу, чтобы пожертвования были абсолютно добровольными и не влияли вообще ни на что. F-Droid не требует от меня отчислять им проценты и не запрещает хоть обвешаться кнопками донатов. Они разрешают безо всяких проблем вешать кнопки донатов даже на саму страницу приложения, никаких проблем. И поступают с собой также: они предлагают поддержать их проект ровно на тех же условиях. То есть свои собственные проекты они ставят с моими на один уровень

3. Мало того, что я не могу поставить кнопку доната в приложение в GPlay. Так ещё если я при создании проекта сказал, что он не имеет механизма покупок, то я больше не имею права добавлять этот механизм, даже если он гугловый. Я должен забросить этот проект и завести новый. В итоге сделал проще. В https://f-droid.org/ru/packages/xyz.myachin.saveto/ в настройках просто сделал переход на страницу проекта, где уже есть инфа про донат. Вроде Google пока правилами такой финт не запретил

Ссылка на сообщение
Поделиться на другие сайты
  • 4 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Телемедицина обещает множество преимуществ: удаленный круглосуточный мониторинг жизненных показателей пациента; возможность узнать мнение опытных врачей даже в самых труднодоступных регионах; изрядную экономию времени и ресурсов, наконец. Благо в теории современный уровень технологий позволяет реализовать все это уже сейчас. Однако на практике телемедицина пока сталкивается с определенными трудностями.
      Наши коллеги, при помощи исследователей из Arlington Research, опросили представителей крупных медицинских компаний по всему миру о применении практик телемедицины. Они задавали вопросы о взглядах на развитие этого направления, а главное, о сложностях, с которыми врачи сталкиваются, пытаясь оказывать медицинские услуги удаленно.
      Утечки данных пациентов
      По свидетельству 30% опрошенных, практикующие врачи в их клиниках допускали компрометацию персональных данных пациентов в результате сеансов телемедицины. В современных условиях существования строгих законов об охране персональных данных утечки могут обернуться серьезными проблемами для медицинских учреждений. Причем как с точки зрения ущерба для репутации, так и в виде штрафов от регуляторов.
      Как исправить? Прежде чем брать на вооружение новый процесс на базе информационных технологий, имеет смысл провести внешний аудит, который сможет выявить его недостатки с точки зрения безопасности и приватности и помочь их ликвидировать.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мало какая профессия в сфере ИБ может сравниться по уровню каждодневной нагрузки с аналитиком в центре мониторинга информационной безопасности (Security Operations Center, SOC). Мы знаем это не понаслышке, поэтому уделяем особое внимание разработке инструментов, которые могут автоматизировать или облегчить его работу. Недавно мы обновили решение Kaspersky CyberTrace до состояния полноценной платформы Threat Intelligence (TI). В этом посте мы бы хотели наглядно показать, как аналитик SOC может применять этот инструмент для изучения цепочки атаки (Attack Kill Chain).
      Давайте представим, что с одной из рабочих станций в сети компании пользователь зашел на сайт. В потоках информации о киберугрозах URL этого сайта значится как вредоносный, поэтому инцидент выявляется защитными решениями, регистрируется системой управления событиями и информацией о безопасности (SIEM) и попадает в сферу внимания аналитика SOC, вооруженного Kaspersky CyberTrace.
      Выявление цепочки атаки
      В списке обнаруженных аномалий аналитик видит детект по данным из потока Malicious URL и решает присмотреться к нему поближе. Прямо из списка детектов доступна имеющаяся в потоке контекстная информация (IP-адрес, хеши связанных с этим адресом вредоносных файлов, вердикты защитных решений, данные сервиса whois и так далее). Но удобнее всего анализировать цепочку атаки при помощи графа (кнопка View on graph).
      Kaspersky CyberTrace: начало анализа атаки.
       
      View the full article
    • levseverov
      От levseverov
      Как лучше вставить внедрить на сайт kaspersky? Идея такая, на сайт "грузчики" нужно вставить ссылку и значок, что сайт безопасный и вирусы отсутствуют, это надо чтобы клиенты были лояльны так как сайт использует http вместо https !

      Сообщение от модератора kmscom Тема перемещена из раздела Опросы  
    • KL FC Bot
      От KL FC Bot
      Двое специалистов из Кембриджского университета опубликовали исследование о том, что они назвали уязвимостью в большинстве современных компиляторов. По факту авторы работы предложили новый метод атак, который использует вполне законную особенность средств разработки: нашли способ, при котором просмотр исходного кода программ показывает одно, а компилируется в итоге совсем другое. Как так вышло? Все дело в волшебных управляющих символах кодировки Unicode.
      Управляющие символы Unicode, позволяющие изменить направление текста внутри одной строки. Источник.
      Чаще всего управляющие символы не выводятся на экран (хотя некоторые редакторы их все же показывают), а модифицируют каким-то образом остальной текст. В таблице показаны коды, отвечающие за работу алгоритма, — Unicode Bidirectional, или Bidi.
      Как вы, вероятно, знаете, в одних языках принято писать текст справа налево, а в других — слева направо. Когда в тексте используется только один язык, проблем не возникает, но что, если в одной строке приводятся слова на разных языках, например на английском и арабском? В таком случае коды bidi позволяют указать, в каком направлении будет отображаться текст.
      Авторы исследования воспользовались этими кодами, чтобы, например, сдвинуть идентификатор комментария в коде на языке Python в конец строки, хотя на самом деле он находится в ее середине. Они применили код RLI, который сдвигает только несколько символов, а все остальные не трогает.
      Пример уязвимого кода на Python c использованием bidi-кодов. Источник.
      Справа показан вариант кода, который увидит программист во время проверки исходников; слева — как код будет выполнен. В большинстве своем компиляторы игнорируют управляющие символы. Для того, кто проверяет код, пятая строка выглядит как безобидный комментарий. На самом деле в ней скрыта функция return, которая приведет к пропуску операции списания денег со счета. В этом примере условная банковская программа выдаст деньги, но не уменьшит остаток.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      С весны 2020 года удаленная работа и дистанционное обучение стали частью нашей привычной реальности и, кажется, пока не планируют ее покидать. Странно осознавать, что студенты младших курсов сегодня не знают традиционной университетской жизни: они учатся онлайн с самого поступления. А еще у них не было классического «посвящения», выездов, оффлайн-собеседований в студенческие организации. Старшим тоже непросто: лично меня пандемия оставила без «экватора».
      При этом помимо очевидных недостатков у дистанционки есть и достоинства: можно больше спать и лучше питаться, например. Некоторые студенты теперь спокойно совмещают работу и учебу. Сегодня расскажем, как воспользоваться плюсами удаленного образования и сгладить его минусы.
      1. Установите четкие границы
      Первое, чему все радовались, когда началась удаленка, — теперь можно учиться и работать, не вылезая из постели. Да и первая пара перестала быть таким кошмаром.
      Но слушать лекции прямо в кровати на практике оказалось не так уж здорово. В начале дистанционки я часто этим злоупотребляла — а в результате через несколько недель перестала видеть разницу между учебой и отдыхом и начала просыпаться среди ночи с мыслью об очередном дедлайне.
      Чтобы избежать таких неприятностей, стоит четко установить физические границы учебы и отдыха: не учиться там, где отдыхаешь, и не отдыхать там, где учишься. Еще полезно повторять привычный утренний ритуал из доковидной жизни: проснуться пораньше, переодеться в парадную одежду, причесаться, позавтракать и так далее. В общем, сделать все то, что делали по утрам до перехода на удаленку.
       
      View the full article
×
×
  • Создать...