Редактор Geektimes
773,3
рейтинг
28 января 2012 в 14:19

Специалисты Symantec обнаружили в Android Market 13 популярных приложений с вредоносом Android.Counterclank



Вчера было опубликовано сообщение компании Symantec, где говорится об обнаружении специалистами этой компании нескольких популярных приложений с включенным вредоносом Android.Counterclank. По мнению аналитиков, это может быть направленная кампания вирусописателей, распространяющих Android.Counterclank. Приложения с включенным в дистрибутив вредоносным ПО было скачано 5 миллионами человек, так что это на данный момент — крупнейшая известная на данный момент попытка распространения зловреда в Android Market.

Как уже говорилось выше, Android.Counterclank был найден в 13 различных приложениях от известных издателей. Приложения — от «Sexy Girls Puzzle» до «Counter Strike Ground Force». Эти приложения еще были доступны на конец пятницы. Кевин Хейли, руководитель Symantec Security Response Team, сообщил, что приложения вряд ли загружены реальными издателями. При этом это не так называемые перепакованные приложения, спецы из Symantec видели это ПО и раньше.



Ранее же распространители зловредного ПО для Android использовали тактику пересбора приложений от известных издателей, с дальнейшей загрузкой в Маркет. Обманутые пользователи скачивали приложения от разработчиков, которым вроде как можно доверять, и получали зловредное ПО для своего мобильного устройства. Сейчас же тактика немного иная, как видим. По предварительным подсчетам, эти 13 приложений были скачаны от 1 до 5 миллионов раз. И это, по всей видимости — крупнейшая кампания по распространению зловредного ПО за всю историю Android Market (во всяком случае, так считают спецы из Symantec). Понятное дело, что атаке подобного рода подвержены любые планшеты и телефоны на основе ОС Андроид, включая лучшие смартфоны 2012.

Android.Counterclank — это троян, который, будучи установленным на мобильное устройство, собирает разного рода информацию, включая производителя устройства, закладки пользователя и прочее. Кроме того, этот зловред модифицирует стартовую страничку браузера. Злоумышленники, используя это ПО, вставляют разного рода рекламу на скомпрометированных устройствах, и зарабатывают денежку. Несмотря на то, что это ПО требует довольно много уровней доступа, мало кто из пользователей обращает на это внимание, поскольку приложение, вроде как, от известного издателя.

Via computerworld
marks @marks
карма
167,7
рейтинг 773,3
Редактор Geektimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (112)

  • +2
    Вчера поставил JetCarStuntsLite и на рабочем столе появилась та самая иконка
    • +1
      Раз в месяц стабильно отбираю кучку таких приложения и начинаю тестировать др. веб, пока ловил все, что ставил, но так же предложил мне удалить приложения для фикса gps за компанию. Но самое интересное, что у некоторых таких приложения отличные отзывы и оценка, похоже уже набралась большая армия ботов в маркете для подъёма в топы таких приложении и перекрытии негативных отзывов.
  • +8
    Предмодерация. Больше сказать нечего особо.
    • +12
      Для начала не повредит хотя бы немного здравого смысла.
      Человеку, который ставит «Sexy Girls Puzzle» с такими запросами, никакая премодерация не поможет:
      When the Trojan is being installed, it may request permissions to perform the following actions:

      Access information about networks
      Access information about the WiFi state
      Access location information, such as Cell-ID, GPS, or WiFi
      Allows access to install and uninstall shortcuts
      Allows access to read settings on the device
      Allows access to the list of accounts in the Accounts Service
      Check the phone's current state
      Make the phone vibrate
      Open network connections
      Prevent processor from sleeping or screen from dimming
      Read and write access of the user's browsing history and bookmarks
      Start once the device has finished booting
      • –2
        Если кто-то из родственников купит в магазине некачественный товар и пострадает, то тоже скажете про «немного здравого смысла»?
        • +27
          если на товаре будет бирка «просроченый, воняет, может стать причиной непредвиденной смерти» — то да
          • +2
            Сейчас пользователей андроид, тупых блондинок чуть более чем половина(или каждый день 500к гиков покупает телефоны?) и тарабарщину типа: «я хочу устанавливать соединения через WIFI, вести запись всех действий и использовать GPS», то даю гарантию 100%, что просто нажмут на ОК. Нельзя же отказываться от установки игры.
            • +1
              И это вина платформы?
              • 0
                А где-то у меня это сказано?
                • +2
                  Ну речь шла об этом. Или это просто констатация факта? Тогда согласен)
              • +6
                Да, потому что нормальная платформа не ставила бы вопросы типа «бери как есть или уходи», а позволяла бы ограничить хотелки приложения. Вот, к примеру, хочу я установить приложение для уроков геометрии, а оно требует привилегии «Посылать SMS'. В нормальной платформе я мог бы отобрать только эту привилегию у программы — пусть бы она крэшилась на попытках послать SMS, но остальные функции были бы работоспособны. А так я только способен отказаться от нужной мне, но требующей слишком много привилегий программы.
                • 0
                  Вы знаете такую нормальную платформу? Почему вы еще не на ней? А если на ней, то почему проблемы дроида беспокоят вас?

                  Давать полурабочие приложения, как то вообще не хорошая идея. Если приложение левое, то оно левое, и какие бы вы привилегии не обрезали — оно напакостит, потому, что для этого его создавали.

                  Не нравится — не ешь, же.
                  • +3
                    Мне кажется, это не правильный подход. Лучше все же навести порядок в маркете.
                    Пользователь считает, что он имеет хоть какие то гарантии устанавливая приложения из стандартного места, поэтому часто и жмет «разрешить».

                    Либо тогда уж переименовать «маркет» в «помойка», что бы отражало действительность.
                    • 0
                      Я не считаю что имею хоть какие то гарантии.
                      Когда я хожу в магазин, я тоже проверяю срок годности как минимум, и чего то обычные магазины в помойки не переименовали?
                      • 0
                        Тем не менее гарантии магазин вам обязан давать. А когда вы обнаруживаете просроченный продукт в магазине, вы ставите его обратно на полку (нехай другие травятся) или таки разбираетесь с магазином?
                        Поразительно, все хотят жить в правовом государстве, но ничего для этого не делать.
                    • 0
                      Так считают пользователи, которые не читали лицензионное соглашение, в котором разработчики снимают с себя всю ответственность. Но незнание законов не освобождает от ответственности.
                      • 0
                        Ну, виноваты, конечно, пользователи, но это не значит, что ничего не надо менять.
                        Если проводить аналогию с обычными магазинами, то их всё же заставляют давать какие-то гарантии (и вряд ли все согласятся, что это плохо, пусть и на это уходят деньги), и будь у меня выбор ходить в магазин, где всё дозволено, и магазин, который не имеет права ставить на полки просроченный продукт и продавать в продуктовом отделе ядовитые грибы, то я пойду во второй.

                        Насколько я понимаю, в обсуждаемом случае маркет один, и выбора нет.

                        Т.е. я считаю, что люди сами дураки, но не считаю, что не стоит менять политику. Маркет должен предоставлять товар надлежащего качества (кстати троян лежал в разделе «трояны»?), а ответственность должен нести магазин. Либо маркетов должно быть много.
                        • 0
                          С этим согласен. Маркет однозначно нужно как то контролировать, и я в первом своем комменте тут, как раз об этом говорил.
                        • 0
                          C этим я как раз согласен. Уровень качества, а, следовательно, и привлекательность платформы надо повышать.
                  • +1
                    Вы знаете такую нормальную платформу?
                    Ну я знаю такую платформу, правда не считаю её нормальной. J2ME приложения когда пытаются выйти в интернет или обратиться к ФС, телефон спрашивает, можно ли им это делать. Причем с вариантами ответа типа «Нет, никогда», «нет только сейчас», «да только сейчас» и «да, всегда».
                    Почему вы еще не на ней?
                    Я ещё на ней.
                    А если на ней, то почему проблемы дроида беспокоят вас?
                    Потому что я ещё и на андроиде тоже.
                • +2
                  В CyanogenMod можно управлять разрешениями приложений.
                  • +5
                    Или, если есть рут, можно использовать Permissions Denied
                    • +1
                      Вот спасибо!
                      Вы если не вернули веру в Андроид, то по крайней мере вернули чувство, что не все потеряно.
                      • +1
                        Какой хабраэффект, однако:

                • +1
                  cyanogen умеет.
              • +13
                Это не вина платформы, а ее большой недостаток…
                Меня всегда удивляли сообщения при установке программ. Ставишь читалку (это пример):
                — доступ к инету
                — доступ к место положению
                Сидишь и думаешь, нахрена ей инет и место положение?
                И вариантов всего 2, или дать все что она хочет или не ставить вообще.

                Ну вот почему так все тупо? Почему нельзя поставить чекбоксы и разрешать или запрещать доступ к каждой запрашиваемой функции?
                Почему я не могу оставить доступ в инет, например для закачки книг и закрыть местоположение?? Это так трудно сделать технически?

                Зато как удобно, ставишь программу и точно знаешь что ей разрешено делать.
                • 0
                  Начнем с того, что доступ к местоположению нужен, например, приложениям с рекламой, чтобы не сообщать вам о распродаже футболок в зимбабве.

                  Нельзя управлять правами по отдельности, думаю также по большей части из за рекламы, например. Ну или из за того, разработчик, закладывая в приложение определенный функционал, ожидает что разрешено будет ровно то что он просит. Иначе зачем вообще разрешения нужны? Я вот при разработке приложения которое предполагает доступ к телефонным вызовам и адресной книге не хочу лишний раз думать, что будет если юзер запретит, что то из этого списка.
                  Поэтому да, вариантов два — все или ничего.
                  • +5
                    На самом деле, вариантов больше чем два. Гугл не хочет задумываться как сделать лучше, вы не хотите думать как сделать удобнее и лучше вашу программу, но вы почему то с ходу называете кретином человека, который тоже не хочет думать…
                    Почему ваше «не думанье» не кретинизм, а «не думанье» другого человека, есть кретинизм?

                    Никаких проблем не будет, если вы запретили какую-то функцию, то в программе просто ее не получите. Запретили инет в читалке? Значит не сможете из инета загружать книги на телефон… вот и все. Если уж «думать», то надо до конца идти… и давать человеку полную свободу выбора, а не ее призрачную надежду.
                    • +1
                      С чего вы взяли, что это лучше всем(я вот не претендовал на абсолютную истину нигде, а гуглу можно — он разработчик, и лучше знает)?

                      Я хочу сделать так, чтобы пользователю было удобно, но когда он начнет жаловаться, что у него не показываются фотки друзей в моем приложении, мне не хочется оправдываться, мол «а вы доступ то разрешили?». Плюс, чем больше ограничений для разработчиков, тем больше времени и сил(и как следствие — средств) займет разработка(больше возможных ситуаций), и вот мы видим, что юзеры счастливы, а разрабы не очень. Плохо.

                      Насчет кретинизма. а ставить на телефон приложения с явно завышенными привилегиями — это не кретинизм?
                      • +3
                        А почему Вы считаете, что пользователь, который вовсе не обязан разбираться в том, что такое разрешения, какие разрешения каким приложениям нужны, который просто хочет пользоваться устройством (у меня есть знакомые, которым за 50 и они используют андроид, хотя при этом понять всех технических аспектов уже просто не могут) должен читать дофига литературы, чтобы понять «кретинизм» или «не кретинизм» данный конкретный запрос?
                        Вот и получается, что людям без технического образования проще посоветовать устройства от конкурентов, там действительно: купил и просто пользуешься…
                        • –1
                          Где там нужно разбираться? Если пользователь, разобрался как ставить приложения, он знает что такое инет, смс, звонки, платные номера. Там просто список параметров, который надо логически сопоставить с функционалом приложения, и подумать, стоит ли ставить его. Какое техническое образование, вы шутите? Человек за 50 уже не может подумать, что обоям вовсе не нужен доступ к интернету и смс?
                          Да и у конкурентов, проблем хватает, чего уж там.
                          • +1
                            Честно говоря, пришлось объяснять и как ставить приложения, это далеко не так очевидно, как кажется людям с техническим складом ума. Те, кто вырос за компьютером, воспринимают жизнь совершенно по-другому, чем те, кто занимался всю жизнь чем-то другим, и с компьютером только «на Вы»…
                            • +1
                              Объяснили как ставить приложения, так почему не упомянуть и про разрешения?
                              Я родителей компьютером пользоваться учил. И пользуются. И не задают глупых вопросов. И в гугле поискать лишний раз могут. И кстати зловредов за 3 года ловили всего раза 2, не больше. Хотя технического образования нет.
                            • 0
                              Я согласен, что с модерацией Маркета надо что то делать. Но ставить например Чекбоксы для разрешения доступов, мне кажется, не выход. Представьте если Вы объясняли людям как ставить приложения, то что будет если ввести эти чекбокс. Ваши знакомые будут звонить Вам при каждой установки новой программы? Но что то делать надо, все таки имидж страдает сильно. И тут скорее Гугл должен подумать что сделать что бы пользователю было удобно.
                          • 0
                            А у меня много друзей не айтишников. И они GSM, GPRS, WiFi путают. Для них все эти запросы приложений — темный лес.

                            Или сойдемся, что все же смартфоны на андроиде только для гиков?
                            • –5
                              Ну раз интернет, смс и sd-карта — темный лес, то так уж и быть, сойдемся)
                        • +2
                          Не надо ему ничего доказывать :) Почитав посты г-на MrLoki можно смело ставить диагноз — Андроид головного мозга. Главные симптомы — уверенность, что андроид идеален, все, кто испытывает с ним неудобства — кретины, и те, кто его не любит, тоже кретины. И вообще все вокруг кретиниы, откуда же их столько? Не понимают очевидных вещей…

                          Кстати, прочитав столько оскорблений и почувствовав некую ожесточенную безапеляционность, зашел в его профиль чтобы проверить догадку — таки да, он еще совсем юн. Максимализм и гормоны правят мыслями :) А уж это вы никакими рассуждениями не поборете.

                          Ну и еще пара слов по теме :)
                          Да. Система разрешений крайне несовершенна. Гугл мог запросто ужесточить ее, сделав те же галочки, чтобы разрешить или запретить приложению что-то конкретное. В этом нет ничего нереального — программисты просто бы проверяли, можно ли что-то делать или нельзя, и если нельзя — сообщали об этом пользователю. Но проблему бы это не решило. Все ярые сторонники дибилизма пользователей и идеальности пермишн-системы почему-то в упор не хотят признавать ситуации, когда требуемые разрешения полностью оправданы функционалом приложения. Виджет, который представляет имена последних звонивших в красивой рюшечке и в настройках имеет рекламный баннер? Доступ к контактам, к интернету, и даже к GPS полностью оправдан. Но это не мешает ему сливать всю возможную инфу к хозяину на сервер. Пофантазируйте на тему более удачных примеров.
                          • +2
                            Я вообще то эппломан, телефон на пощупать брал)
                            К тому же, вы могли заметить, что я не переходил на личности, поэтому не пойму, о каких оскорблениях вы говорите? Также о любви к андроиду. Я разве говорил, что дроид идеален? Где? Я в первом посте написал, что предмодерация нужна.
                            Кстати судя по графе «о себе» у вас, вы не далеко ушли от меня, уж по возрасту точно :)
                            К тому же на личности перешли именно вы, что тоже дает повод задуматься. В сухом остатке — вот с вами то говорить не о чем.

                            Я сторонник конструктивных аргументов, которых тут почему то не приводят(не считать же аргументом: «я не понял, но осуждаю»).
                            • +1
                              О да, вы на личности не переходили. Вы просто одним махом взяли и оскорбили множество людей. «Те кто не проводит анализ соответсвия пермишнов функционалу — кретины». Я это прочитал, и вспомнил, что сам-то не так уж и часто изучаю эти самые пермишны, и почти никогда не задумываюсь нужны они или нет. И троян мог поставить спокойно. Значит я кретин. Вот так вот, вы почти напрямую грубо оскорбили меня, а также, учитывая популярность ресурса, еще многих людей, прочитавших ваш комментарий. Но да, на личности вы не переходили. Ни ни.

                              И про идеальность андроида вы не говорили. Но зато вас очень задело, когда в комментарии другого человека вы уловили оттенок мысли «Несовершенство системы пермишинов — вина ОС и гугла». Ага.

                              В общем, в одном вы правы — со мной вам не о чем говорить :)
                              Удачи.
                              • +2
                                Меня задело то, что все стремятся перебросить вину за свои ошибки с себя, на кого то, при этом аргументируя это: "они должны думать за меня, а то я не умею". А я умею, и не хочу, чтобы за меня думали, и вот это думание за кого то, испортит Андроид, и я например откажусь от него с большей вероятностью, если он начнет за меня думать. И заметьте, я нигде не утверждал, что прав однозначно(я или задавал вопрос, или делал предположение, там где я что то утверждал, я писал или «ИМХО», или «по моему»), в отличии от некоторых.

                                И да, если вы не задумываетесь о разрешениях, а подхватив троян вините платформу(не важно какую при том, хоть даже винду)… Ну вы поняли :)
                                • 0
                                  > Меня задело то, что все стремятся перебросить вину за свои ошибки с себя, на кого то
                                  На пользователей, ага.
                                • 0
                                  Если вы откажитесь от андроида, не убудет. Потому что армия пользователей-кретинов (по вашей формулировке) уже в сто тыщ раз больше и прибывает с каждым днем. И когда кто-то из троянописцев ухитрится и попадет в топ, результат будет пугающим… Имидж системы пострадает. В общем, отсутствие контроля в маркете — это недальновидность его владельца.
                      • 0
                        В девайсе-который-нельзя-упоминать-в-этом-блоге можно выключать разрешение на получение ГПС-данных и возможность пуша. И ничего, разработчики как-то живут и приложения пишут.
                        Если приложению эти ГПС-данные нужны просто кровь из носу — оно скажет «Пока не включите — не запущусь». Если это дополнительная фича — будет работать, просто с выключенными геофичами.

                        При этом хочу заметить, что там не стоит задача обезопасить себя от троянов — это просто помогает продлить жизнь батареи и оградить себя от ненужных уведомлений (ну или успокоить паранойю «все за мной следят» — как замена шапочки из фольги).

                        Почему в Андроиде, где задача защиты от троянов как раз стоит в полный рост, это нельзя делать из коробки — ума не приложу.
        • +3
          Да. Не понимаю, почему на Хабре так любят приводить именно родственников в качестве примеров в подобной ситуации.
          Если мой родственник купил смартфон, доверил ему свои ценные данные, а потом поленился даже посмотреть, какие разрешения требует скачиваемое им приложение, то я соглашусь с тем фактом, что мой родственник — идиот, а ОС тут не при чём.
          К тому же, никто не мешает сделать свой собственный магазин приложений под Android, с премодерацией и заботой о пользователях. Вроде бы Amazon Appstore именно таким и является.
          • +2
            Про родственников просто — сами авторы как правило настолько идеальны, и творят все идеальное, что пронять может только аллегория с родственниками.
            А суть вот в чем — приобретая товар, человек просто не обязан думать о возможных угрозах, которые появляются по вине поставщика и продавца. Это их ответственность.

            В новостях говорили, что где-то бедные детишки опять подхватили сальмонеллез. По логике «немного здравого смысла» школьники должны требовать проверки каждой порции.
            • +3
              Не сравнивайте несравнимое.

              Приобретая товар, вы смотрите не испорчен ли он. А приложению верите на слово, так?
              Вы сдачу тоже не считаете, а потом дома ругаетесь, что вам обманули?

              Школьники опять же не в каску, ибо не они виноваты и возможности проверить порцию — не имели. Пользователь же имеет прозрачный механизм разрешений, который почему-то упорно игнорирует.

              Аллегория с родственниками — попытка добавить эмоциональности проблеме, которая эмоций не предполагает.
              • –1
                Извините, а почему пользователь телефона должен вообще париться обо всех этих вещах? Для среднего пользователя это просто чертов телефон, и он вообще не ожидает от него такого рода подвохов.
                • +3
                  Почему покупатель молока должен париться о его сроке годности? Для среднего покупателя это просто чертово молоко, и он вообще не ожидает от него такого рода подвохов.
                  • –1
                    Сравнение некорректно. Срок годности проверить легко, там просто написано: «годен до...» — это любая бабушка сможет понять. При этом, очевидно, любая домохозяйка знает что молоко может быть просроченным, это знают все. А разрешения к доступу в телефонной оси — это совсем другая категория понятий, для обычных пользователей это абсолютно туманные дебри, и они не для того покупают телефоны чтобы беспокоиться о троянах, тем более они даже не знают что это такое.
                    • +1
                      Права проверить легко, там просто написано: «Разрешить...» — это любой человек может понять.
                      Вы не думали, почему эти бытовые мелочи знает «любая домохозяйка»? Они — часть повседневного обихода. Купил — посмотри срок годности. Так же проверка прав, должна быть частью обихода пользователя Андроида. Купив телефон, который почти равен по мощности ноутбуку, может стоит ознакомиться с его понятиями? У меня в голове не укладывается, до какой степени надо недооценивать человека, чтобы допускать, что он не поймет, что обоям, или игрушке, не стоит давать доступ к смс. А вы высокомерны.
                      • –1
                        Или вы троллите или не понимаете вообще о чем речь. Ну да, нажмет дмохозяйка на все «разрешить» но она вообще, в принципе не понимает что такое «разрежить доступ к местоположению» или «разрешить доступ к передаче данных». Для нее это просто телефон на которые можно ставить Angry Birds. Телефон для домохозяйки(… банкира, пожарного, секретаря, курьера, бухгалтера и т.д.) — это просто телефон. Как тостер или телевизор, или пылесос. Большинство из них даже не знает что такое Андроид или iOS, им это и не нужно в повседневной жизни. Они не знают что они пользуюутся мощной операционной системой, им вообще не до этого. Они просто нажимают на «ОК» и все, и предпочитают не лезть вообще в эти вещи.
                        • +1
                          Тогда зачем брать смарт?
                          Ответ от Mairon вам подойдет) Мне больше сказать нечего)
                          • +1
                            Потому что в любом салоне пихают смарты на Андроиде, и телефоны с большими сенсорными экранами берут все подряд, потому что «это модно и современно» а обычные «тупые телефоны» отмирают как класс — их место занимают дешевые Андроиды.
                            • +1
                              Тогда так.
                              Юзер купил «телефон», на Андроиде. И вдруг узнает, что у него чуть больше возможностей чем у обычного телефона. Что он делает в первую очередь? В моем воображении, он тратит пол часа на изучение инструкции, а в вашем идет и ставит все подряд, а потом ругается?
                              Нет, я не хочу узнать, что случается чаще, мне интересно, кто по вашему прав?
                              • 0
                                Вы ошибаетесь :) Вы рассуждаете как админ или разработчик. Сферический пользователь никогда не читает инструкций, и он хочет чтобы все было хорошо и красиво без лишних телодвижений, а чтение инструкций — лишняя для его трата времени. Это большая беда, и тут нет другого выхода кроме как решать за пользователя, как в iOS.
                                • +1
                                  Я не утверждал ничего, мне просто было интересно кто по вашему прав :)
                                  Да, звучит разумно, тем более после прочтения комментов в этом посте.
                                  Все же насколько был бы проще мир, если бы у всех людей была логика)
                                  • 0
                                    Дорогой MrLoki, вы сильно оторваны от реального мира пользователей этих чертовых электронных штуковин. Прошу вас найти и почитать книгу «Психбольница в руках пациентов» Алана Купера, она про то как программисты правят миром, а остальные люди как ежики с кактусом. Надеюсь, вы найдете время и окунетесь в чтение и, возможно, поймете о чем вам тут столько людей пытались сказать. И даже, может быть, вы из разработчика превратитесь в хорошего разработчика и мир станет лучше.
                                • 0
                                  Вот не надо решать за пользователя. Я сам как-нибудь справлюсь.
                                  • 0
                                    Да, только не говорите за всех. Вы подкованы в техничеком плане, а таких пользователей только несколько процентов.
                                    • 0
                                      Тут скорее такой ньюанс, что я, например, не хочу страдать только из за того, что таких как я несколько процентов.
                                      Андроид в его текущем состоянии, несмотря на все недостатки, единственная платформа, которая позволяет мне настолько тонко менять себя. Тут можно почти все, и многие(да те же кто орал на вири — первыми заорут когда, им запретят прошивки менять, рута получать, и ставить левые приложения) будут возмущены если это изменится.
                                      • +1
                                        Ну, вряд ли домохозяйка когда-нибудь захочет рутовать свой телефон, поэтому запрещать ей это делать не имеет смысла. А вот обеспечить безопасность приложений в маркете, сделать маркет надежным источником — это, я считаю, необходимо.
                                        • 0
                                          Рутуют приложения тоже очень большая часть юзеров(вполне возможно, что она побольше даже, чем домохозяйки). Тем более сейчас, это почти не проблема.
                                          • +1
                                            Не думаю. Из нескольких сотен миллионов пользователей Андроида рутуют абсолютное меньшинство. Да и не в этом дело, пусть рутуют и ставят всякие моды сколько влезет. Можно угодить и гикам и всем остальным. Главное, чтобы домохозяйки(то есть пользователи вообще) не могли из маркета качать вредоносные программы. Дело в маркете а не в андроиде. Гугл не хочет тратить ресурсы этим заниматься, но когда-нибудь придется — жизнь заставит.
                                            • 0
                                              Возможно. Вы правы как минимум в одном — дефолт должен быть строже.
                        • 0
                          Это называется халатность. Домохозяйка так же может и молоко купить испорченное, не проверив его срок годности.
                          Понятное дело, что техника в идеале должна быть умнее такого вот большинства пользователей и программы (как продукты в магазине) должны проверяться.
                          Но все же не стоит полагаться целиком на кого-либо, кого ты даже не знаешь.
                          Мне кажется как-то так.
                    • 0
                      Ответ тут, промахнулся.
                  • +1
                    Молоко, кстати, проходит премодерацию. Часть партии проверяется, осуществляет контроль и за скоком годности. Наколоться все равно можно, но шансы меньше.

                    Вот если санэпиднадзор отменят, а на упаковках молока будут писать «может содержать паразитов» или «может вызывать бруцеллез», а в полученной болезни будет виновать покупатель — вот тогда да, получим близкий случай.
                  • 0
                    Потому что покупатель молока защищен законом.
                    Магазин сам размещает молоко на полке и сам следит за его сроком годности (т.е. аналогия тут не с Маркетом, а с Апстором скорее).

                    Если даже вы купили просроченное молоко — вы можете вернуться в магазин, устроить скандал и вернуть деньги. Еще и санстанцию на них натравить.
                    А уж если вы его выпили и им траванулись — вы можете магазин вообще засудить (перспективы, конечно, туманны, но теоретическая возможность существует — закон на вашей стороне).

                    Многим пользователям вернули деньги за удаленные из маркета приложения с троянами?
                    Многое вы можете сделать гуглу за то, что подхватили в Маркете троян и он слил фотографии голой любовницы вашей жене, данные из программы учета финансов — в налоговую, а чертежи бомбы с часовым механизмом — в интерпол?
          • 0
            К сожалению, загрузка/покупка прог через Amazon Appstore у нас недоступна — пишут: «At this time, we are unable to offer the Amazon Appstore for Android and associated apps to our international customers.»
      • +3
        По моему, чтобы словить большую часть вредоносов в Android`е надо быть либо кретином либо слепым.
        Задача предмодерации — как раз сделать так чтобы любой слепой кретин, мог тупо ставить приложения из маркета, не опасаясь «недокументированных» действий с его стороны.

        Лично меня Android Market устраивает. И мне смешно, когда очередной раз натыкаюсь на такое заявление о «вредоносах», на дроиде(ага, и "#rm -rf" — тот еще вредонос). Ну попадутся юзеры на рекламу — сами виноваты, может в следующий раз думать начнут прежде чем ставить. Не жалко.
        А вот репутация платформы страдает, ибо идиотов ставящих «живые обои», с разрешением на звонки и смс — тысячи.
        • +7
          Мне больше нравится подход, когда заботятся даже о слепых кретинах. В конце концов, кто из нас никогда не тупил?
          • 0
            Может быть я просто высокомерен и требователен, но я терпеть не могу тех кто сначала сам нарывается на неприятности, потом вопит на весь мир, что его обманули и андроид плохой. Как правило такие люди и в жизни ограничены неинтересны и в общении неприятны, так что я был бы только рад если бы со временем они научились думать, пусть даже столь жестокими методами.
            Отличие от «кто из нас никогда не тупил», в том, что нормальный человек, затупив понимает, что затупил и не спешит валить вину на платформу. Кретины же, никогда не признают своей неправоты, поэтому их не жалко.

            Но заметьте я не говорил, что мой подход верен и точен. Это лишь мое ИМХО.
            • +9
              Да, вы именно слишком высокомерны. Терпеть он видите ли не может…

              «Масштаб вашей личности определяется величиной проблемы, которая способна вас вывести из себя.»(с)

              Никто не говорит, что андроид всех обманул. Просто разработчики механизма закрытия прав доступа приложений, совсем не думали когда его делали. Разве тяжело было сделать чекбоксы на каждое право запроса? Тогда все упростилось очень сильно. Так нет же, все говорят про удобство андроида, что он массово продается, но об этих массах никто не подумал. Об этом и речь. Это тоже самое, что убрать графические настройки вообще, сделать настройки исключительно через ssh при подключении к телефону с компа, а потом говорить что все идиоты, а нормальные разберутся.
              Понимаете? В маркет засунуть вредонос в разы проще чем в тот-же аппсторе. И это именно не доработка платформы. Усложнить жизнь вирмейкерам можно, и об этом надо кричать на каждом углу. А не как вы предлагаете по принципу «жри что дают». Это вообще пораженческий принцип слабаков. Они рады что им хоть что-то дали, а при мысли хотя бы сказать что-то против им становится страшно…
              Каждый в отдельности не сможет повлиять на гугл. Но если пробему вынести в массы, то есть вероятность получить улучшение. А если как вы, прятать голову в песок и радоваться что хоть что-то есть, то проблема так и останется.

              Дело не в кретинах как таковых… Что делать нормальным людям, которые в своей области совсем даже не кретины, но в безопасности мало понимают? Почему вы всех под одну гребенку кретинами называете?
              • –3
                А по моему высокомерны вы, ибо раздражение слышно в вашем посте)

                Разработчики механизма прав доступа, мне думается, думали побольше чем некоторые, и решили, что так будет правильно. Меня такое поведение устраивает, поэтому я не вижу проблемы, поэтому я не вижу смысла заявлять, что что то не так. Пойдет?
                При чем тут графические настройки, вообще?
                Я нигде не говорил «жри что дают», я утверждал — «не нравится — не ешь». Мне вот нравится. Да Андроид не идеален, далеко не идеален, но права доступа вполне логичны и понятны.

                Насчет маркета — вы ветку прочтите, я первый из тех кто сказал тут о необходимости предмодерации, чтобы идиотам хорошо было. Дальше я объяснял почему предмодерация нужна по большей части идиотам, а нормальные разберутся.

                И кстати, при чем тут область знаний? Это банальная логика, вообще то, если обои просят доступ в интернет, и в описании не указано, что они умеют загружать каталог картинок, то надо насторожиться.
          • –3
            А мне нравится подход, когда вместо заботы о кретинах деньги тратят на развитие платформы.
      • +2
        С другой стороны подобное полотно запросов выдаёт AirPush, который сам по себе безвреден. ИМХО, гуглу надо заморочиться диспетчером разрешений. Хотя вряд ли он это будет делать, учитывая, что отключение доступа к Интернету автоматически вырубает профит от рекламы.
        Сдаётся мне, что Гугл проблему решать не будет. Им пофиг, особенно вспоминая, когда недельку назад во всех приложениях с рекламой красовались объявления с «целочками школьниц» или с чем-то подобным.
        Пруфлинк
        Притом нормальной формы жалоб нет. А там, где есть, гуглу пофиг. Это отвратительно. На фишинг-отчёты они не реагируют, на кривую рекламу не реагируют — вообще кошмар.
        • +1
          AirPush не лучший пример: хоть он и формально безвреден, но пользователи воспринимают его именно как зловреда. И даже разработчики признают, что «нас надо казнить за использование такой рекламы».
          Поэтому при виде такого списка разрешений программу не стóит ставить в любом случае: там либо троян, либо зверски навязчивая реклама.
        • 0
          Отсутствие «человечности(ну в смысле людей которые бы модерировали все, от приложений андроида, до рекламы в AdMob)», вообще известный недостаток гугла, из него все остальные и происходят)
          Тут увы, согласен.
          Насчет жалоб, тоже, как это ни прискорбно.

          А вот насчет разрешений, ИМХО, проблемы юзера, ибо ему показали, и он разрешил.
          Меня вот жутко выбешивал диспетчер разрешений на моей j2me Nokia, который каждый раз спрашивал «можно в инет?», «можно файл показать?».
          • 0
            А вот насчет разрешений, ИМХО, проблемы юзера, ибо ему показали, и он разрешил.

            В некоторых диспетчерах разрешений, распространяющихся через Маркет, есть гибкий конфигуратор, по которому можно всем скачиваемым приложениям по умолчанию разрешить доступ в Сеть, выставить запрос на доступ к геолокационным данным и запретить, например, доступ к SMS. Достаточно одной конфигурации, и ничего беспокоить не будет, кроме случаев, когда пользователь явно написал — предупреждать о доступе.
            Вот, например, один клиент ВКонтакте меня полностью устраивал по всем функциям, но меня не устраивало то, что он лезет за геолокационными данными. Диспетчер разрешений позволил запретить этому приложению знать, где я. Это не только безопасность, но и конфиденциальность. Я просто не хочу отдавать такую информацию. Но гуглу конфиденциальность нужна только потому, что их за это 100500 комиссий прессует от США до Европы.
            • 0
              LOL, этой категории пользователей коммуникатор не нужен. Это технически сложное устройство, а не телефон. Разница между телефоном и коммуникатором такая же, как между велосипедом и автомобилем. Использование коммуникатора подразумевает наличие определённых навыков у пользователя.
              Решить проблему неспециалистов может только урезание функционала и строгая модерация, когда за пользователя начинают думать другие, а не сам пользователь.
              • 0
                Не туда написал. Предназначалось в ответ сюда.
              • 0
                Да, не нужен! Но именна это эта категория — «обычный пользователь» — является обладателем болшинства Андроид телефонов на планете, и с этим ничего не поделаешь. Нужно производителю Андроида заботиться об их безопасности, от этого никуда не уйти.
                • 0
                  За производителя уже заботятся 100500 вендоров, в том числе Symantec/Kaspersky/Avast и прочая-прочая. Их забота варьируется от простеньких бесплатных сканеров до мощных фильтраторов трафика с диспетчером разрешений. Выбор огромен, выбирай не хочу. Гугл позволяет кормиться и другим компаниям, а не монопольно загребает всё в свои руки. Формально поставить себе диспетчер разрешений и сканер троянов может каждый, причём не потратив ни копейки.
                  С точки зрения архитектуры Андроид удовлетворяет запросы безопасности. На днях национальное агентство по безопасности США выложило исходники «утяжелённого» Андроида в рамках проекта SELinux с кучей твиков безопасности, который будет использоваться для военных.
                  Формально ничего не мешает использовать эти наработки для внедрения твиков в существующие прошивки и в будущие устройства.
                  • +1
                    Нет, Гуглу нужно брать все в свои руки и внедрять модерацию в Маректе. Все.
                    • 0
                      И, опять таки, домохозяйка не знает что ей нужны сканеры и антивирусы, ей не до этого. Модерация как в AppStore, иначе будет хуже и хуже.
            • 0
              Быть может вы правы.
              Но раз есть приложения, то проблема решаема и кто ищет тот найдет.
              Кстати, я так понимаю, для них нужен рут?
              • 0
                Да, нужны повышенные привилегии.
                • 0
                  Главный минус.
                  Хотя раз подобные вещи появляются от энтузиастов, быть может и от гугла чего то дождемся.
                  Главное, чтобы можно было включить режим «как раньше»))
      • 0
        Из всего этого списка только

        Allows access to install and uninstall shortcuts
        Read and write access of the user's browsing history and bookmarks
        Allows access to the list of accounts in the Accounts Service
        


        нетипично для такого вида приложений. Остальное — почти норма для большинства приложений в маркете.
  • +6
    Надо просто ревьюить приложения, требующие сильно много ненужных разрешений. А то вот совершенно непонятно, зачем игрушке может понадобиться слать смски, например. Если приложение ничего особенного не требует, пропускать его в публичный маркет сразу, иначе — на ревью.
    • 0
      Эти приложения не шлют смсок и не зарпрашивают таких разрешений. Все давно через интернет )
    • +1
      Приложение без разрешений, пропущенное в маркет, может скачивать и устанавливать стороннй .apk
      • +1
        По умолчанию это запрещено, при включении установки сторонних .apk вам сообщается о рисках. Согласившись включить установку сторонних .apk, вы сами осознанно подвергаете себя риску.
        Опять же при установке будет запрос с указанием требуемых привилегий, насколько я помню.
        • +1
          все верно, сторонние апк сами по себе не поставятся, нужно будет посмотреть на список разрешений и нажать кнопку ОК
  • –2
    адроид побеждает айОс по всем фронтам!
    • +3
      У свободы всегда две стороны
  • +9
    Только хотел написать об этом более развёрнутую статью, но так уж и быть, просто отмечусь в комментариях.

    Я начинаю понимать, почему сотрудник Гугла недавно пристыдил создателей антивирусов для Андроида: судя по всему, ничего кроме как паниковать из-за того, что самый растущий рынок мобильных ОС и приложений спокойно живёт без них, им не остаётся.

    Неудивительно: после Винды создавать новую ОС решили secure by design, и уже так давно процветающий на этой самой Винде рынок защиты систем от вредоносного ПО загибается просто из-за практического отсутствия этого самого вредоносного ПО.

    Чтобы хоть как-то вставить ногу в стремительно закрывающуюся дверь, Symantec кричит караул и разводит алармизм, однако среди айтишников может тем самым лишь потерять лицо.

    Взглянем на CounterStrike Hit Enemy:
    Уже выше было сказано, что аппы требуют перед инсталляцией себе очень странные права. Мало того, если вы прочтёте описание до конца, то уведите следующий текст:
    "*****This is a free version, and we are using Search to monetize it
    so we can keep developing more great games. If you use the search,
    thank you! If not, you can delete it, and we’re still cool. The
    bookmarks permission is needed for the Search-app to add itself to
    the bookmarks, it does not read any of your existing data.*****"


    т.е. «троян» честно перед инсталляцией в описании признаётся, что он сделает. Напоминает чем-то анекдот про румынский, кажется, вирус, который вежливо просит юзера что-нибудь стереть и переслать его дальше.

    Что тут можно сказать. Для некоторых это действительно окажется слишком трудным: читать описание софта, читать права, которые даёшь софту, вообще читать, что подписываешь. Таким людям наверное действительно следует переходить на iOS.

    Однако под определение malware эти приложения просто не попадают.
    • +2
      СМС-разводы и винлокеры тоже честно предупреждают, что они — развод. И тоже мелким текстом в самом конце.
      • 0
        ты понимаешь, что сравнил две разные вещи? или ты не понимаешь, что malware по определению нельзя просто деинсталлировать? или ты хочешь долгую нудную дискуссию о легальном статусе такого предупреждения?
        • 0
          Дискутировать я не буду. Мне, как пользователю, оба подхода видятся одинаковыми: меня разводят.
        • +3
          Без труда можно написать малварину на Андроид, которую просто так нельзя удалить, а придётся прибегать к шаманствам. Таким образом пишут приложения производители антишпионского ПО. В авасте на андроиде, помнится, была фича, при которой прямо на устройстве создавался какой-то апк, который помечался как системный, и выпилить его не представлялось возможным тривиальным способом из списка приложений. Но для этого был нужен рут. Без рута защитить приложение можно установкой в качестве Device Adminstrator. Тогда надо сначала сносить приложение в диспетчере администраторского доступа, а только потом удалять, что вызывало тонны бурления и ненависти в комментариях к ESET NOD на Android, ибо пользователи ставили приложение, а снести его не могли, а вспомнить через несколько месяцев, что выдали приложению высокие права. На данный момент в Андроид Маркете можно создавать такие схемы мошенничества, которые будут феноменально изощрёнными. А может, наоборот, простыми. Как, например, с Carrier IQ или Скайп, чьи данные хранились незашифрованными, и с одним только доступом в Интернет приложение могло их считать.
          Вирусов в чистом виде, понятное дело, в Маркете нет, но вот троянов и прочей нечисти навалом, использующих как недостатки архитектуры самой схемы доставки контента, так и дырки ПО, в том числе системного.
          • 0
            Прошу прощения, но я не буду отвечать на этот, без сарказма, достойный и интересный довод по понятной вам причине, которую на хабре тем не менее называть «не принято».
  • +1
    Почему-то я нисколько не удивлен.
  • 0
    >модифицирует стартовую страничку браузера
    а разве для этого есть API?
  • +1
    К слову, конкуренты Symantec из Lookout Security заявляют, мол, нет никаких троянов, и тревога ложная. Запасаемся попкорном.
    • 0
      Ахаха, вот уж точно, попкорн пригодится :)
  • +1
    А почему рассматриваются только два варианта полномочий доступа — «разрешить» или «запретить»? Ведь существует и третий вариант — «обмануть».
    • 0
      Да, вот это очень полезно было бы. Но тогда — прощай реклама в приложениях. Есть, например, шахматная программа, которой для основной деятельности интернет не нужен. Но она требует такое право, чтобы показывать рекламу.
  • +1
    1) Большинство пользователей понятия не имеет, что Гугл не проверяет те приложения, которые попадают в Маркет. Им кажется, что если Гугл разместил приложение в своем магазине, то этому приложению можно доверять.
    2) Многие пользователи не смотрят на привилегии приложения. А если смотрят, то не каждый откажется от нужного ему приложения, если увидит там казалось бы ненужные такому приложению права. Если господа, защищающие Гугл, сами читают эти списки, то наверняка обнаружат, что многие действительно безвредные и проверенные приложения от надежных производителей тоже имеют очень широкий доступ к всевозможным казалось бы ненужным им API.
    3) Гуглу давно пора перестать гнаться за количеством. Пора уже заняться качеством.

    Таким образом, во всём этом виноват Гугл. И не надо оправдывать его, даже если разработчики в описании приложения сами признались, что оно будет отравлять платные SMS-ки. Ведь они размещают такие приложения именно с расчетом на тех пользователей, которые не прочитают это.
    • +1
      ответственность это плата за свободу.
    • 0
      Мне кажется, хорошо, когда есть Apple с одной политикой и Google с другой политикой. Возможно, еще Nokia и Microsoft с какими-нибудь вариациями. Такая ситуация дает нам возможность выбирать и видеть преимущества и недостатки разных политик.

      Гугл виноват и в том, что поисковик находит сайты с вирусами, а браузер их открывает. Гугл виноват в том, что находит плохие идеи, неэффективные решения и неправильные ответы на вопросы. Ведь большинство пользователей считает, что Гугл проверяет те данные, которые попадают в поисковую выдачу, иначе почему еще мой сайт так долго туда добирался? А теперь они спрашивают «почему Путин краб?» и рассчитывают получить достоверный и точный ответ.

      И Гугл, конечно же, будет категорически неправ, когда проигнорирует ваши советы.
  • 0
    Предлагаю всем ознакомиться вот с этой ссылкой: www.androidcentral.com/symantec-updates-its-counterclank-malware-claims
    Цитирую.

    «After initially telling users that the „malicious code“ found in 13 Android Market applications was malware and capable of data theft and other nefarious activity, Symantec now says the apps in question are more akin to Windows adware and not inherently malicious.

    In other words, it's crapware.»

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.