быдло.jazz

2022-05-06 13:29:14 Задачка на тему "найди десять отличий".

На самом деле отличие только одно - на скринах устройство с идентификатором Widevine и без него.

Данный идентификатор является одним из хитрых способов отслеживания конкретного устройства в сети Интернет. По умолчанию идентификатор присутствует на любом смартфоне и по нему можно идентифицировать устройство, независимо от наличия на нем Google-сервисов. Считывается приложениями без каких-либо ограничений.

На следующем курсе расскажу как с этим бороться. Анонс coming soon. Открыть/Комментировать

2022-05-04 14:01:49 Pushie (Provides temporary, secure, password sharing)
https://f-droid.org/packages/com.chesire.pushie/ Открыть/Комментировать

2022-05-04 14:01:49 Интерфейс для https://github.com/pglombardo/PasswordPusher

"Безопасное хранение пароля, который может быть передан с помощью простой веб-ссылки. Пароль будет удален после определенного количества посещений или по истечении определенного времени."

Каждый в курсе за "одноразовые" записки?

Допустим вы хотите поделиться своим ключом или пофиг чем. По аналогии с привнотами и прочим. Берете что-то что нужно передать, устанавливаете на это "что-то" таймер в днях и количество просмотров. Делитесь сгенерированной ссылкой. Ссылка станет недействительной после выполнения заданных условий или по нажатию на соответствующий пункт. Как бы и все. Но не все.

По умолчанию в данном приложении используется сервис https://pwpush.com/, но в настройках проги можно прописать свой персональный сервис, который может работать используя PasswordPusher API, на котором, собственно, все это и работает. То есть можно захостить (Heroku, Docker и тд.) свой Privnote или 0bin, и пользоваться не очкуя что кто-то там еще прочитает.

Вообще-то это фишка для хранения и передачи паролей, но использовать можно по разному. Из преимуществ: текст по ссылке заблюрен, можно скопировать в буфер не просматривая. Количество символов на одну ссылку больше ляма. Открыть/Комментировать

2022-05-02 14:56:41 https://t.me/F_S_C_P/85488

Про шторку - смешно, все остальное...

"С 1-го января 2025-го года в России запрещается использовать средства защиты информации, происходящие из недружественных стран". Пока, вроде бы, только для госучереждений. Но не стоит забывать, что Госуслуги - это постоянный обмен конфиденциальной информацией граждан и этих самых госучереждений.

А5 — это поточный алгоритм шифрования, используемый для обеспечения конфиденциальности передаваемых данных между телефоном и базовой станцией в европейской системе мобильной цифровой связи GSM. Разработан французскими военными. Экспортирован в страны не входящие в Евросоюз, в том числе и в Россию, со значительным понижением криптостойкости (А5/2). Уважаемый в госучереждениях Сноуден говорит что протокол этот ломается АНБ как два пальца. Следовательно должна быть переоборудована вся сеть мобильных операторов, начиная с выпуска отечественных sim-карт и заканчивая телеком-оборудованием. Ни то ни другое в России в данный момент не производится ни то что в промышленных масштабах, а даже в хоть сколько-нибудь значимых. Симки, выпускаемые отечественным «Ситроникс Смарт Технологии» (ССТ) используют чипы Samsung.
И Франция, и Южная Корея - недружественные России страны.

В качестве ГОСТ-стандартов шифрования от отечественных "производителей" признаны Магма, Кузнечик, (прости господи) Стрибог и еще четыре (вроде) алгоритма на их основе. Это надежные опенсорсные алгоритмы, которые нихрена не используются в международной сети Интернет и вообще нигде, где рулят америкосы. А в сфере криптографии они рулят везде.

Перечисленные кузнечики и магмы тестируют на eSIM (виртуальная карта). eSIM - это отдельный чип в устройстве, если простым языком. В России их производится примерно столько же, сколько и обычных чипов для sim-карт. То есть нисколько.

"Магма и Кузнечик не входят в список стандартов Международной организации по стандартизации ISO. Это осложняет их использование в eSIM: система шифрования на устройстве превращает его в средство криптозащиты, вывоз которого из страны без согласования с ФСБ запрещен."

Отечественные операторы в данный момент не поддерживают технологию eSIM ни для частных, ни для корпоративных абонентов, так как по закону в договоре должен быть прописан идентификатор sim-карты, а у виртуальных карт его нет. Эра Интернета вещей, на которую и нацелена технология eSIM в условиях санкций на технологии - это мелькнувший за поворотом автобус.

Исходя из этого, госучереждениям будет запрещено использовать мобильную связь?

Говорить о том, что все это будет "замещено по ГОСТу" к 2025-му году - это как пукать в воду, только пузыри и круги по воде. Но тенденция на самоизоляцию понятна, стена все ближе и выше. А в периметре все очень скудно, но есть 20 цифровых каналов и Почта России.

P.S. Это я еще не касаюсь доверенных сертификатов, которые нужно будет прописать на смартфоне для доступа к сетям ОПСОСа с гостовским шифрованием (тот самый MITM).

P.P.S. Кстати, ядра процессоров ARM Cortex-A и Cortex-R работают с технологией TrustZone, это их торговая марка. Процессоры эти сидят почти во всех девайсах, а технология предназначена для исполнения кода, связанного с криптографией и принадлежит компании ARM. Компанию ARM купила компания Nvidia, главный офис у нее в Калифорнии, поэтому практически все смартфоны депутатов вообще будут вне закона. И "отечественное" замещение тут не катит, потому что тот же "отечественный" BQ 6430L Aurora работает на проце Helio P60, который собран на Cortex-A73, A53. Открыть/Комментировать

2022-04-27 14:26:02 "Вау! Ого! Наконец-то!" - примерно такую реакцию наблюдаю под новостью о том что по велению Гугла "С 20 июля этого года разработчики Android-софта должны будут явно указывать в описании своей продукции, какие данные и с какой целью собирает и хранит приложение. Кроме того, они должны уведомлять пользователей о том, передаётся ли полученная информация третьим лицам." Мне интересно, а сам Гугл является "третьим лицом"?

Google Analytics - набор компонентов, который присутствует в каждом втором приложении, размещенном в гугловском маркете. Это ни что иное, как трекеры отслеживания. Технология продвигается непосредственно самим Гуглом для сбора и анализа данных о взаимодействиях пользователей с приложениями.

Analytics предоставляет неограниченные отчеты по 500 различным событиям.

На основе этих компонентов, пользовательские аудитории можно определить на основе данных устройства, пользовательских событий или свойств пользователя.

Кое-что из того что собирается:

Пользователь выполняет поиск на сайте или в приложении (это определяется по параметру запроса в URL) с использованием WebView.

Пользователь взаимодействует с приложением или сайтом.

Приложение находится в активном режиме, или пользователь просматривает веб-страницу хотя бы одну секунду.

Загружается веб-страница или активный сайт изменяет состояние истории браузера.

Firebase.ServerValue.TIMESTAMP, которая сообщает Firebase заполнить это поле временем сервера. Когда эти данные считываются, это фактическая временная метка.

Операционная система на устройстве обновляется. Идентификатор прежней версии ОС передается в виде параметра.

Пользователь удаляет все данные приложения, включая настройки и данные для входа.

Google Аналитика поддерживает автоматическое отслеживание подписок для Android и iOS.

Добавляем к перечисленному Android ID приложения, который Гугл считывает, плюсуем информацию об устройстве и операторе сети, которая передается, на сервера Гугла при каждом подключении к сети WiFi (в незашифрованном виде, между прочим), плюсуем местоположение по Mac-адресам окружающих точек доступа, рекламный идентификатор, который сохраняется Гуглом несмотря на сброс, и постоянный идентификатор DRM от Widevine (расскажу как-нибудь).

Выводы?
Если приложению "Фонарик" нужен доступ в сеть чтобы подгружать рекламу, то делается это при непосредственном участии Гугла, который, в свою очередь, точно знает что делает конкретный пользователь в конкретный момент времени.

Вот вам и "Вау!" Открыть/Комментировать

2022-04-26 20:04:19 Очень-очень круто. Особенно когда постоянно приходится в китайщину.

Модуль для LSPosed, позволяет переводить любое приложение. Ставите, активируете, скачиваете нужные языки локально и... все.

Допустим у вас приложение на китайском (да хоть на малайском). Выбираете в настройках этот самый китайско-малайский, выбираете предпочитаемый язык, отмечаете приложение в настройках модуля. Результат на скринах.

UPD: Тестировал на 12-й оси, остальное не гарантировано. Открыть/Комментировать

2022-04-25 11:49:17 Открыть/Комментировать

2022-04-25 11:49:10 Немного на тему стоит ли доверять управлению разрешениями приложений обычными способами.

Так как в данный момент работаем с коллегой над решением по защите от несанкционированных скриншотов на крайних осях, покажу именно на примере скриншотов. Скриншоты, на минуточку - одна из самых серьезных уязвимостей и источник утечки данных.

Для создания снимка экрана приложению, как правило, необходимо разрешение на "Показ поверх других приложений". Многие думают, что если такого разрешения приложению не предоставлено, оно не может фигачить свой оверлей поверх других окон и, следовательно, не может спиздить данные через "тихий" скриншот. Я взял данную прогу из маркета. Как можете созерцать, приложение замечательно делает то что должно даже с отозванным разрешением на этот самый Показ поверх. Скажу больше - оно его и не запрашивает. Разрешения на использование сервиса "Специальных возможностей" у приложения также не имеется. Все что палит прогу - это уведомление о "начале трансляции" при первичном захвате окна. Именно первичном, в отличие от того же системного скринрекордера или некоторых других "скриншотеров" прога не требует подтверждения при каждом старте, запущенный процесс успешно висит в фоне, сохраняя разрешение. Кстати, андроидовская фишка "конфиденциальности", которая сигнализирует о начале трансляции и просит подтверждения пользователя давно и успешно обходится например Reptilicus и ему подобными.

Вот так вот вы защищены. Открыть/Комментировать