Я сам в «Вконтакте» не сижу, как то не прижился я там или он у меня. По этому данная новость меня совсем не обеспокоила. Да и вообще подобного рода сообщения уже никого не удивляют. После выпуска Windows 10 пользователи уличили Microsoft в слежке: под предлогом улучшения качества услуг система собирала слишком много личных данных.
Тогда владельцы компьютеров на новой ОС шли на всяческие ухищрения и использовали сторонние программы для отключения телеметрии. Потом выяснилось, что ГУГЛ следит за нами и даже телевизоры Samsung передают аудио и видеоинформацию о нас.
Теперь выяснилось, что мобильный клиент ВКонтакте для Android также отличается непомерными аппетитами к персональной информации, сканируя практически всё содержимое смартфона.
Странное поведение приложения обнаружил разработчик Владислав Велюга. По его информации, клиент собирает данные о мобильной сети, точках доступа Wi-Fi, считывает IMEI устройства и список установленных приложений, определяет оператора связи и местоположение пользователя. Разработчик модификации VK Coffee Эдуард Безменов добавил к этому списку ещё и сбор номеров SIM-карт.
КАК ВК СЛЕДЯТ ЗА ТОБОЙ?| АНОНИМНОСТИ НЕТ
Собранные данные программа отправляет на сервер clientapi.mail.ru. При открытии видеозаписей программа также подключается к vigo.ru — ВКонтакте позиционирует ресурс как сервис для улучшения доставки видео. Интересно, что специалисты технической поддержки компании опровергают факт какой-либо передачи данных сторонним ресурсам.
Глава ВКонтакте Андрей Рогозов раскритиковал заявление Велюги и назвал статью «бредом». Рогозов объяснил, зачем приложение собирает информацию и пообещал выпустить отдельный пост в техническом блоге компании.
Интересно, что глава ВКонтакте обошёл стороной часть обвинений и сослался на то, что другие ресурсы тоже собирают личную информацию. Недовольным пользователям остаётся ждать развёрнутого ответа компании с опровержением.
Я думаю со всем этим надо уже смириться, заклеить на всякий случай все камеры и понимать, что все электронные приборы в любом случае против вас и будут куда нибудь сливать все что о вас знают.
Завтра в прямом эфире на ютюб-канале ДЕБАТЫ блогеров Осташко и pavel_shipilin
Источник: masterok.livejournal.com
Информация Как Вконтакте следит за пользователями, или исследование андроид приложения — 2 (1 Viewer)
Подумал может, кому интересно будет почитать тут, кто ещё не читал:
А еще давайте сразу, вот что ответил (где-то) Андрей Рогозов про данную информацию.
УДАЛИ СВОЮ СТРАНИЦУ ВКОНТАКТЕ!
Моя статья о сборе информации о пользователях официального приложения ВКонтакте под Android уж слишком разошлась в Интернете. Я заметил, что не так уж и мало людей относится к конфиденциальности своих данных не наплевательски и приняли материал довольно «тепло».
Обсуждения в комментариях под моим постом в ВК тоже оказались довольно интересными. Туда пришел бывший разработчик этого самого приложения Григорий Клюшников и разработчик его модификации Эдуард Безменов. Оба они рассказали немало интересных вещей. Что ж, мне тоже стало интересно, что еще я не смог наснифить на реальном устройстве и о чем конкретно они говорили.
Наш инструментарий на сегодня:
Имеется установочный APK-файл приложения версии 4.12.1. Имеются его исходники (код), полученные путем декомпилирования приложения (грубо говоря, установочный файл был разобран и по нему воссоздан код на программном языке, в нашем случае — Java).
Декомпилятор — JADX.
Небольшой ликбез:
В Java-проекте (а приложение под Android таковым и является) весь код поделен на классы; классы сгруппированы в папки — пакеты (пэкедж, package), пакет может находится в другом пакете. Каждое приложение может иметь неограниченное число пакетов, которые могут «общаться», взаимодействовать друг с другом.
Декомпилировав приложение, мы видим следующее:
com.my.tracker — тот самый трекер MailRu, о котором говорил Эдуард и Григорий; com.my.target — пакет, связанный с трекером; com.vkontakte.android — непосредственно само приложение и ru.mail.libverify — еще один пакет от MailRu
С декомпилированным кодом будет сложнее, поскольку не все переменные и классы будут названы именами, которые будут понятны человеку.
В основном это названия чем-то напоминающие шестнадцатеричное число, например, C1998a.java. Есть у меня еще одно предположение, что код мог быть специально обфусцирован (obfuscate — делать неочевидным, запутанным, сбивать с толку). Но некоторые «зацепки» остаются, по которым можно понять что это за код, за что он отвечает и что именно что делает.
Результаты:
Не буду томить, сразу к делу.
com.my.tracker:
Начнем свое путешествие с файла класса com.my.tracker.builders.C1998a..
Слева — код, справа — предыдущая статья и скрин Андрея, про который он говорил, что приложение сливает точки доступа Wi-Fi.
Теперь следим за ходом мысли: в строке 298 (чуть выше строки с «around», сорян, урезал номера в скрине) объявляется переменная c2002d2 с типом C2022d, получаемая из итератора (грубо говоря, коллекция/массив/список). Класс C2022d определен в пакете com.my.tracker.providers в классе C2023d. Определение нам его не интересно, ибо оно не содержит понятных человеку названий полей. В этом же классе есть объявление этого класса и заполнение этого класса данными.
Сбор информации о текущей точке доступа.
Вот тут то, по логу после объявления и заполнения экземпляра класса значениями, мы и понимаем, что C2022d — это класс (а если быть правильнее, то структура), хранящий в себе данные о точке доступа Wi-Fi. Чуть ниже собираются данные обо всех окружающих точках.
В цикле перебирается результат сканирования (160), создается и заполняется класс C2022d = информация о ТД Wi-Fi (175-178) и добавляется в список (179).
А еще ниже мы видим, как пытаются собрать данные о CID и LAC.
Cell ID, CID — «идентификатор соты». Это параметр, который присваивается оператором каждому сектору каждой базовой станции, и служит для его идентификации.
LAC, Local Area Code — код локальной зоны. Локальная зона — это совокупность базовых станций, которые обслуживаются одним BSC — контроллером базовых станций.
Базовая станция — совокупность оборудования одного оператора, установленного на одной площадке (вышке, здании) и предназначенного для непосредственной связи сети с мобильными терминалами абонентов
Coarse location — примерное местоположение
Возвращаемся назад к C1998a.java.
Тоже интересно. apps (приложения), first_install_time (время первой установки).
. Неужто тоже отправляет список установленных приложений? C2015a — еще одна структура в com.my.tracker.providers.C2016b. Определение не интересует, использование тут же.
Получение списка приложений (84), создание собственного списка приложений со своими структурами (88), обход всего списка циклом (90), получение информации об одном приложении (91), если оно не системное (пруф), то добавляется в список.
Снова возвращаемся в C1998a.java.
Здесь же, откуда-то собираются списки электронных адресов, ID одноклассников, ВК, ICQ (лол), и другие ID.
. sim_loc (?), ID и имя оператора, информация о соединении и его типе (Wi-Fi/мобильная связь), включенности BlueTooth.
. информация об устройстве, названии и версии ОС на устройстве, производителе, MAC-адресе устройства, языке, часовом поясе, . и еще пара мелочей.
И вот собрали мы это всё. А зачем?
В классе com.my.tracker.async.commands.C1990f это всё отправляется.
73 — создается экземпляр сборщика, который собирал всё то, что мы выше просмотрели. 83 — (без скрина, поверьте наслово) генерируется JSON-строка со всеми данными, 85 — данные отправляются.
Метод m1919a . где же он? Он в родительном классе C1988c
Грубо говоря — здесь делается запрос в интернет по адресу. указанному в конструкторе класса C1988c, но он же не создавался выше!
Глубоко порывшись в поиске по всему проеку (по названию поля f1295b, по унаследованным классам), пришел к методу C2013a.m2085a..
А вот и адрес, куда отправлялась информация
Всё, на этом хватит с MyTracker.
ru.mail.libverify:
ru.mail.ibverify.requests.C4109e
Класс C4109e, в самом начале строка, содержащая домен mail.ru, куда будут делаться запросы.
Прямо в этом же классе (см. заголовок Sublime) C4109e содержатся данные о IMEI, IMSI, телефоне, операторе, широте/долготе и точности местоположения.
В C4109e: метод mo8472d выбирает хост из f2386b (через один скрин выше), куда отправлять данные
В C4109e: в методе m3158u формируется полный URL-адрес для запроса, используя метод mo8472d, который описан выше.
На этом пока всё.
Итог:
Приложение ВКонтакте для Android помимо своих метрик и телеметрий отправляет такой же, и даже больший, объем данных для третьих лиц: MyTracker и MailRu LibVerify.
Источник: ru-sfera.pw
СМИ: Приложение «ВКонтакте» следит за пользователями
Программист Владислав Велюга сообщил в мессенджере Telegram, что приложение «ВКонтакте» собирает данные о пользователях. В частности, разработчиков интересуют сведения о модели смартфона, а также об операционной системе и местонахождении гаджетов.
Мобильное приложение «ВКонтакте» заподозрили в шпионаже за подписчиками. Своими подозрениями в публичном сообщении Telegram поделился программист Владислав Велюга.
Специалист сообщает, что мобильное приложение собирает информацию об устройствах пользователей, типах ОС, списке точек Wi-Fi и местонахождении гаджетов. Полученная информация передается разработчикам приложения.
Представитель социальной сети Евгений Красников сообщил журналистам, что компания действительно занимается сбором данных и никогда этого не скрывала. К таким мерам разработчики «ВКонтакте» прибегают «для рекламы, оптимизации, рекомендаций». При этом информация, которую собирает приложение, деперсонализирована.
В компании Mail.ru Group, являющейся владельцем социальной сети, пояснили, что сбор данных осуществляет myTarget. Информация сначала отправляется на сервисы холдинга, после чего обработанные данные в зашифрованных отчетах поступают разработчиками соцсети. Как отмечают представители холдинга, сбором подобных сведений занимаются практически все крупные приложения.
В сентябре 2016 года бывший сотрудник АНБ Эдвард Сноуден призвал пользователей объявить бойкот приложению Allo от Google. По его словам, мессенджер записывает все отправленные пользователями сообщения и предоставляет персональную информацию по просьбе правоохранительных органов.
Приложение действительно оказалось оснащено ботом, который следил за перепиской юзеров. По утверждению представителей корпорации, сбор данных нужен Google для усовершенствования мессенджера.
Источник: versia.ru