Ivan Begtin
7.98K subscribers
1.83K photos
3 videos
101 files
4.53K links
I write about Open Data, Data Engineering, Government, Privacy, Digital Preservation and other gov related and tech stuff.

Founder of Dateno https://dateno.io

Telegram @ibegtin
Facebook - https://facebook.com/ibegtin
Secure contacts ivan@begtin.tech
Download Telegram
Обновлённый список отечественного ПО обязательного к предустановке от нашего Правительства в свежем постановлении [1]. Про предыдущий список я ранее писал в телеграм канале [2].

И в рассылке писал о том куда и как передают данные эти приложения [3].

Я по прежнему считаю предустановку ПО решению Правительства РФ/Минцифры РФ очень плохим решением. Вместо защиты прав граждан, исполнительная власть берет на себя ответственность за то как эти приложения за гражданами следят. Вместо ограничений на слежку, она поощряется.

Понятно что квалифицированные пользователи будут все эти приложения сразу же удалять, но таких меньшинство.

И я ведь регулярно говорил о том что все блокировки бесполезны пока государство не контролирует конечные устройства? Догадайтесь какое/какие приложения из этого списка будут использоваться в этих целях.

Ссылки:
[1] http://publication.pravo.gov.ru/Document/View/0001202108100022
[2] https://t.me/begtin/2414
[3] https://begtin.substack.com/p/15

#privacy #apps #government
Кому поддержка отрасли, а кому +4 приложения для предустановки. Известия пишут [1] что речь идет о программе для чтения и прослушивания книг, онлайн-магазине, сервисе для музыки и радио, а также платформе для конференцсвязи.

Когда же этот горшочек перестанет варить? Как бы объяснить. Предустановка ПО - это не помощь бизнесу, а негативизация бренда. Очень скоро будут массовые общественные компании и приложения по сносу предустанавливаемых приложений.

Ссылки:
[1] https://iz.ru/1222343/2021-09-16/spisok-prilozhenii-dlia-obiazatelnoi-ustanovki-rasshiriat

#apps #regulation
Про новые мобильные приложения Минцифры, в версиях для Android, если без иронии и сжато.

Госуслуги.Авто [1]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* включают код для связи с серверами Российского союза автостраховщиков (РСА)
* включают код журналирования действий на сервера разработки РСА и их SDK
* содержит следы кода компании ЛАНИТ, возможно как чать SDK РСА
* содержит код трекеров Google Firebase Analytics, Google Crashlytics, Yandex AppMetrica
* запрашивает разрешение на звонки и доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: РСА, Google, Yandex

Госуслуги.Культура [2]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* наиболее вероятно разработано компанией Notamedia (есть метки в коде)
* приложение написано на языке Flutter, скомпилировано в нативный код в виде libapp.so. Как следствие не все активности выявляются статическим анализом
* обращается к серверу pushka.gosuslugi.ru, возможно к каким-то ещё, сложно выяснить статическим анализом
* содержит код трекера Mail.ru MyTracker
* запрашивает разрешение на запись аудио и на доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: Mail.ru


Ссылки:
[1] https://play.google.com/store/apps/details?id=ru.gosuslugi.auto&gl=ru&hl=ru
[2] https://play.google.com/store/apps/details?id=ru.gosuslugi.culture&showAllReviews=true

#apps #privacy
Для тех кто анализирует мобильные приложения, напомню про инструменты которые используются в этой задаче.

Инструменты анализа мобильных приложений (Android)
- Exodus Privacy [1] французская НКО создающая одноименную базу и инструменты сбора сведений о трекерах встраиваемых в мобильеные приложения. Их сервис и программы анализируют .dex файлы в .apk файлах для Android'а и выявляют сигнатуры кода относящегося к трекерам.
- AppCensus [2] стартап из кремниевой долины с фокусом на динамический анализ приложений. Приложения устанавливаются на реальное устройство и замеряется то к каким сервисам они обращаются и что передают
- Mobile Security Framework [3] продукт с открытым кодом для локальной проверки мобильных приложений для Android'а. Умеет декомпилировать, проводить анализ разрешений, компонентов, безопасности приложения. Интегрирован с Exodus Privacy и ещё много чего умеет
- ICSI Haystack Project [4] проект по мониторингу мобильных приложений с академическим уклоном от Data Transparency Lab. Включает много наборов данных и мобильное приложение Lumen для отслеживания того куда приложения обращаются.

Как бороться с мобильной слежкой ? С помощью приложений создающих VPN соединения блокирующие обращения к сайтам трекеров.

Приложения для блокировки
- Blockada [5] бесплатное приложение с открытым кодом и расширенными возможностями для тех кому нужен VPN как VPN, а не просто резка трекеров.
- NextDNS [6] коммерческий сервис DNS серверов с возможностью отслеживать и фильтровать запросы к DNS со стороны собственных устройств. Может как вести журнал и предоставлять его пользователю, так и наоборот обеспечивать анонимность. Режет большое число трекеров и подключает множество блоклистов. Работает не только с устройствами Android, но и со многими другими.

Ссылки:
[1] https://exodus-privacy.eu.org/
[2] https://appcensus.io
[3] https://github.com/MobSF
[4] https://www.haystack.mobi/
[5] https://blokada.org/
[6] https://nextdns.io

#privacy #mobileapps #apps
В рубрике интересные наборы данных, наборы данных связанные с анализом мобильных приложений.
- AndroZoo [1] база файлов .apk приложений для Android c более чем 16 миллионами приложений. Только сжатый файл csv с описанием более 2GB, а все файлы, конечно, гораздо большего объёма. Доступ предоставляют исследователям по запросу. Непонятно насколько часто обновляется, последнее упоминание научных работ в 2016 году
- MalDroid 2020 [2] база зловредных приложений для Андроида собранная в Универститете Нью Брунвика. Включает 17,341 приложений, доступ по запросу. У них же там много других датасетов, связанных с кибербезопасностью, даркнетом и тд [3]
- Android Malware Datasets [4] подборка ссылок на наборы данных вредоносных мобильных приложений для Android

Наборов данных гораздо больше, многие из них создают внутри университетов для исследования переупаковки приложений, наличия вредоносного кода, наличия рекламного кода (adware), сетевой безопасности, распространения технологий и многого другого.

Ссылки:
[1] https://androzoo.uni.lu/
[2] https://www.unb.ca/cic/datasets/maldroid-2020.html
[3] https://www.unb.ca/cic/datasets/index.html
[4] https://github.com/traceflight/Android-Malware-Datasets

#privacy #datasets #android #apps
Вполне ожидаемая ситуация что предустановка отечественного ПО на смартфоны провалилась [1], потому что такое вмешательство в рынок без понимания потребительского поведения изначально выглядело странным. При этом, конечно, у пользователя должен быть выбор и этот выбор должен касаться не предуставки, а запрета на предустановку приложений. Но российское регулирование от пользовательского опыта не идёт, право выбора не даёт, только замену безальтернативного международного на безальтернативное отечественное, что удобнее регуляторам и правоохранителям, но никакого отношения к качеству жизни граждан и к потребителям не имеет.

Ссылки:
[1] https://www.kommersant.ru/doc/5019324

#privacy #apps #digital
Samsung попался на том что писал британским пользователям о необходимости установки обновления с российскими обязательными приложениями [1], за что компания позже извинилась, но, возникает очень интересный вопрос в связи с этим, а кому вообще эти приложения должны быть установлены?

Всем пользователям на территории России? Но в России есть и много граждан других стран, в том числе и приехавших ненадолго и использующих собственные мобильные устройства куленные в других странах.

Всем гражданам России? Но не все российские граждане живут в России и даже говорят на русском языке. Многие имеют двойное гражданство или ВНЖ других стран или просто живут в других странах и на территории России не появляются. Им тоже должны устанавливаться обязательные российские приложения?

Может быть это какие-то более сложные группы пользователей - тогда какие? Пока основной критерий - устройства проданные в России. Но это означает такой посыл что если кто-то туристом в Россию приехал - телефоны тут покупать не стоит.

Ссылки:
[1] https://habr.com/ru/news/t/582586/

#privacy #mobile #apps
Приложение родительского контроля Life360 поймали на продаже данных 33 миллионов пользователей [1]. Вернее как поймали, об этом и раньше было известно что продажа данных - это часть их бизнес модели, но подробности не были доступны. А вот теперь мы можем узнать из откровений бывшего сотрудника что Life360 продавали данные таким агрегаторам перс. данных как X-Mode и Safegraph. В статье также упоминается что X-Mode продавали данные департаменту обороны США, а Safegraph продавли их Centers for Disease Control and Prevention (CDC), агентству США отслеживающему распространение COVID-19.


Ссылки:
[1] https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user

#privacy #apps #mobile
Epic Games запустили ограниченную бету [1] приложения RealityScan позволяющего переносить образы объектов из реального мира в 3D модели. Достаточно сделать множество фотографий, а на их основе приложение собирает конкретный объект который потом можно использовать, например, для проектирования квартиры.

Штука интересная, может стать мэйнстримом для моделирования виртуальной реальности и многих компьютерных игр, фильмов и ещё много чего.

Ссылки:
[1] https://www.epicgames.com/site/en-US/news/epic-games-introduces-realityscan-app-now-in-limited-beta

#innovations #apps
Есть вопрос к залу (с) А знаете ли Вы решения с открытым кодом для создания личных кабинетов пользователей? Вот, к примеру, хочу я сделать приложение в котором есть несколько тарифов, бесплатный и несколько других, какие доп функции и тд. При этом это не мобильное приложение, а именно веб как основное. А может быть у меня таких приложений не одно, не два и не не три, а даже больше. Кажется странным каждый раз создавать личный кабинет под каждый, кажется логичным повторно использовать код или отделить интерфейс оплаты от функционального. Личный кабинет требует поддержки всех функций авторизации, регистрации, восстановления доступа. Поддержки нескольких вариантов тарифов (настраиваемо), API для взаимодействия с основным, функциональным приложением, может ещё что-то достаточно простое.

Ключевой вопрос - бывает ли такое с открытым кодом ? Может быть допиливаемое за деньги, может быть с чьим-то сопровождением, но именно не облачное, не enterprise вариант, а открытый код с возможностью его доработки. Мне вот оно что-то не встречалось и это несколько удивляет. Но может быть я не там и не правильно ищу?

#questions #apps #opensource