https://id.vk.ru
Есть вот такой ID для логина в разные сервисы. На сайте большими буквами написано, что профиль в социальной сети "вконтакте" не требуется. Ну то есть VK ID - это такой аналог openID, например. Ну, лады. Он необходим для работы RuStore. Этот магазин приложений не работает больше без VK ID.
Создал ID. А сменить имя не могу. В техподдержке сказали, что сменить можно через сайт. Хорошо, сменил имя. Заодно поставил пароль, включил 2FA и решил привязать ещё email, вдруг доступ к телефонному номеру будет утерян.
Привязал email и на почту упало письмо, где нужно пройти по ссылке для подтверждения. Ну, стандартно. Проходишь по ссылке и сразу получаешь профиль вконтакте.
ТП ответили, что удалить профиль вконтакте без удаления vk id не получится. Не нравится - используйте sber id. Которого у меня нет.
Даже понятно, что это происходит потому что сервис, который был создан только для ВК пытаются выдрать, но у него осталось ещё очень много завязок на социальную сеть и они то и дело стреляют. Но зачем тогда большими буквами писать про то, что профиль не нужен?
Есть вот такой ID для логина в разные сервисы. На сайте большими буквами написано, что профиль в социальной сети "вконтакте" не требуется. Ну то есть VK ID - это такой аналог openID, например. Ну, лады. Он необходим для работы RuStore. Этот магазин приложений не работает больше без VK ID.
Создал ID. А сменить имя не могу. В техподдержке сказали, что сменить можно через сайт. Хорошо, сменил имя. Заодно поставил пароль, включил 2FA и решил привязать ещё email, вдруг доступ к телефонному номеру будет утерян.
Привязал email и на почту упало письмо, где нужно пройти по ссылке для подтверждения. Ну, стандартно. Проходишь по ссылке и сразу получаешь профиль вконтакте.
ТП ответили, что удалить профиль вконтакте без удаления vk id не получится. Не нравится - используйте sber id. Которого у меня нет.
Даже понятно, что это происходит потому что сервис, который был создан только для ВК пытаются выдрать, но у него осталось ещё очень много завязок на социальную сеть и они то и дело стреляют. Но зачем тогда большими буквами писать про то, что профиль не нужен?
Vk
VK ID: единый аккаунт для всех проектов экосистемы VK
VK ID — это единый аккаунт для входа в продукты VK, на сайты и в приложения партнеров
👍5
Мой баг дня (записки тестировщика)
Google отписал, что проверили у себя и всё работает как положено - происходит запись тишины. Ребята просто посмотрели, что рисуется пустая линия, будто бы тишина, но не попытались воспроизвести запись. Признаюсь, я сам также сделал в самый первый раз, как…
Наша команда сделала PoC для демонстрации и Google таки признал проблему:
Based on our published severity assessment matrix (1) it was rated as Moderate severity. This issue has been assigned to the appropriate team for remediation, and we’re targeting a fix for release in an upcoming quarterly update of Android.
Ну то есть когда я им видосы с реальным приложением - WhatsApp показывал - они говорили, что всё норм, я тупой прост. Когда им предоставили хелло ворд с таким же поведением, Гугл такие: "ой, да, правда". Я, возможно, сгущаю краски, но выглядит так, что Вотсапу просто можно слушать микрофон скрыто, вот и проигнорировали. А теперь уже нельзя, т.к. есть ещё приложение и оно, ужас, от разработчиков из России.
Но, возможно, это была просто лень тех, кто делал первую проверку. Выбирайте для себя тот вариант, который вам нравится.
Напоминаю, что уязвимость затрагивает OEM производителей (типа Samsung, ага) и разработчиков MDM решений. Это API для них. Ну и в кастомах всяких оно тоже может быть использовано.
Based on our published severity assessment matrix (1) it was rated as Moderate severity. This issue has been assigned to the appropriate team for remediation, and we’re targeting a fix for release in an upcoming quarterly update of Android.
Ну то есть когда я им видосы с реальным приложением - WhatsApp показывал - они говорили, что всё норм, я тупой прост. Когда им предоставили хелло ворд с таким же поведением, Гугл такие: "ой, да, правда". Я, возможно, сгущаю краски, но выглядит так, что Вотсапу просто можно слушать микрофон скрыто, вот и проигнорировали. А теперь уже нельзя, т.к. есть ещё приложение и оно, ужас, от разработчиков из России.
Но, возможно, это была просто лень тех, кто делал первую проверку. Выбирайте для себя тот вариант, который вам нравится.
Напоминаю, что уязвимость затрагивает OEM производителей (типа Samsung, ага) и разработчиков MDM решений. Это API для них. Ну и в кастомах всяких оно тоже может быть использовано.
👍9
Читали уже сообщение гражданина Дурова П.? https://t.me/durov/196 Он в очередной раз поносит WhatsApp за его дырявость, но делает это так, что лучше бы молчал. Там почти в каждом абзаце перегибание палки.
И начинается прямо с самого первого предложения: "Hackers could have full access (!) to everything on the phones of WhatsApp users." Действительно, WhatsApp исправил две RCE: https://www.cvedetails.com/vulnerability-list/vendor_id-19851/product_id-54433/year-2022/opec-1/Whatsapp-Whatsapp.html (ещё 20 июля, если вам интересно) Им ещё даже рейтинг не присвоили. Только каким образом, интересно, можно получить полный доступ к телефону, если само WhatsApp живёт в песочнице у обеих мобильных ОС? Доступ можно получить не далее, чем дозволено самому приложению. И даже этот набор данных ограничивается песочницей — приложения не могут просто так взять и скрыто считать всё вокруг — обе ОС дают по рукам за такое сегодня. В общем, даже без проведения импакт анализа Павел уже сделал выводы "полный доступ, отвечаю". Да и не известно ещё, кто нашёл. Одно дело ITW (то есть реально используемая), а другое - Project X какой-нибудь или вообще сами разработчики продукта.
Далее следует утверждение, что обновление клиента не поможет защититься, потому что дыры находились и раньше. Простите? Вам не поможет это сегодня и завтра, потому что вчера были проблемы? Но ладно, мы понимаем, что он имеет в виду: проблемы могут появиться. И, с одной стороны, да, так и есть! Дыры в приложениях бывают. Их находят, исправляют. Такова жизнь — никто не умеет писать идеальный код. Но с другой стороны — дыры могут быть завтра, даже если вчера их не было. По той же самой причине — никто не может писать сразу идеальный код.
Отдельно мне нравится такой мелкий наброс "Prior to 2016, WhatsApp didn't have encryption at all." Он сделан одним предложением в конце абзаца. Во-первых он выглядит в целом странно. Ну да, до 2016 не было шифрования. Мы что, в 2015-ом до сих пор или что? А во-вторых, сам Telegram до сих пор не имеет e2e шифрования по умолчанию. Почему Павел не пишет каждый день сообщения "Не используйте стандартные чаты Телеграма для переписок. Все ваши данных хранятся на серверах и открыты для изъятия. Телеграм не использует оконечное шифрование по умолчанию. Телеграм не приватен". Ведь у самого WhatsApp, пусть и только для чатов 1 на 1, как раз таки используется оконечное шифрование [добавлено: см. следующее сообщение]. То есть если просто начать общение с человеком в WhatsApp и в Telegram, первый не позволит Meta читать ваши переписки, а второй всё сохранит у себя и предоставит кому надо.
Далее идёт повторение тех же самых утверждений — WhatsApp не безопасен. Видимо Павел думает, что Telegram выбирают из-за приватности. Но нет. Его выбирают ради того же, ради чего раньше выбирали VK: очень удобная доставка пиратского контента, порно, новостей и записей интересных людей. Всего этого лишены и WhatsApp, и Signal. Если бы люди реально выбирали защиту своих переписок, все сидели бы на Jabber с PGP и в ус не дули.
В общем, хочу лишний раз напомнить. Telegram НЕ анонимен и НЕ приватен. Если вам нужна приватность + удобство, но можно пожертвовать анонимностью — есть Signal. Почему не секретные чаты Телеги? Просто потому что ВЫ про них знаете, а ваш собеседник может не знать и создать обычный чат. В Signal же нельзя создать не безопасный чат и знать про это ничего не требуется. Но Signal не анонимен. Если вам нужна ещё и анонимность, то к вашим услугам Briar, например. Если вам страшно смотреть на такой интерфейс или не хватает фич — используйте клиенты для Matrix: https://matrix.org/docs/projects/try-matrix-now/ Например, element. Если вы в принципе не хотите, чтобы сервер был где-то там, пусть даже e2ee используется, то поднимите его у себя https://matrix-org.github.io/synapse/latest/ и используйте эти же самые клиенты. Вариантов масса.
Ну и всегда нужно помнить, как Telegram запрещали там и сям, Пашка прилетал в страну и запреты отменяли. Ох не своим шикарным прессом он всех уговаривал.
И начинается прямо с самого первого предложения: "Hackers could have full access (!) to everything on the phones of WhatsApp users." Действительно, WhatsApp исправил две RCE: https://www.cvedetails.com/vulnerability-list/vendor_id-19851/product_id-54433/year-2022/opec-1/Whatsapp-Whatsapp.html (ещё 20 июля, если вам интересно) Им ещё даже рейтинг не присвоили. Только каким образом, интересно, можно получить полный доступ к телефону, если само WhatsApp живёт в песочнице у обеих мобильных ОС? Доступ можно получить не далее, чем дозволено самому приложению. И даже этот набор данных ограничивается песочницей — приложения не могут просто так взять и скрыто считать всё вокруг — обе ОС дают по рукам за такое сегодня. В общем, даже без проведения импакт анализа Павел уже сделал выводы "полный доступ, отвечаю". Да и не известно ещё, кто нашёл. Одно дело ITW (то есть реально используемая), а другое - Project X какой-нибудь или вообще сами разработчики продукта.
Далее следует утверждение, что обновление клиента не поможет защититься, потому что дыры находились и раньше. Простите? Вам не поможет это сегодня и завтра, потому что вчера были проблемы? Но ладно, мы понимаем, что он имеет в виду: проблемы могут появиться. И, с одной стороны, да, так и есть! Дыры в приложениях бывают. Их находят, исправляют. Такова жизнь — никто не умеет писать идеальный код. Но с другой стороны — дыры могут быть завтра, даже если вчера их не было. По той же самой причине — никто не может писать сразу идеальный код.
Отдельно мне нравится такой мелкий наброс "Prior to 2016, WhatsApp didn't have encryption at all." Он сделан одним предложением в конце абзаца. Во-первых он выглядит в целом странно. Ну да, до 2016 не было шифрования. Мы что, в 2015-ом до сих пор или что? А во-вторых, сам Telegram до сих пор не имеет e2e шифрования по умолчанию. Почему Павел не пишет каждый день сообщения "Не используйте стандартные чаты Телеграма для переписок. Все ваши данных хранятся на серверах и открыты для изъятия. Телеграм не использует оконечное шифрование по умолчанию. Телеграм не приватен". Ведь у самого WhatsApp, пусть и только для чатов 1 на 1, как раз таки используется оконечное шифрование [добавлено: см. следующее сообщение]. То есть если просто начать общение с человеком в WhatsApp и в Telegram, первый не позволит Meta читать ваши переписки, а второй всё сохранит у себя и предоставит кому надо.
Далее идёт повторение тех же самых утверждений — WhatsApp не безопасен. Видимо Павел думает, что Telegram выбирают из-за приватности. Но нет. Его выбирают ради того же, ради чего раньше выбирали VK: очень удобная доставка пиратского контента, порно, новостей и записей интересных людей. Всего этого лишены и WhatsApp, и Signal. Если бы люди реально выбирали защиту своих переписок, все сидели бы на Jabber с PGP и в ус не дули.
В общем, хочу лишний раз напомнить. Telegram НЕ анонимен и НЕ приватен. Если вам нужна приватность + удобство, но можно пожертвовать анонимностью — есть Signal. Почему не секретные чаты Телеги? Просто потому что ВЫ про них знаете, а ваш собеседник может не знать и создать обычный чат. В Signal же нельзя создать не безопасный чат и знать про это ничего не требуется. Но Signal не анонимен. Если вам нужна ещё и анонимность, то к вашим услугам Briar, например. Если вам страшно смотреть на такой интерфейс или не хватает фич — используйте клиенты для Matrix: https://matrix.org/docs/projects/try-matrix-now/ Например, element. Если вы в принципе не хотите, чтобы сервер был где-то там, пусть даже e2ee используется, то поднимите его у себя https://matrix-org.github.io/synapse/latest/ и используйте эти же самые клиенты. Вариантов масса.
Ну и всегда нужно помнить, как Telegram запрещали там и сям, Пашка прилетал в страну и запреты отменяли. Ох не своим шикарным прессом он всех уговаривал.
Telegram
Pavel Durov
Hackers could have full access (!) to everything on the phones of WhatsApp users.
This was possible through a security issue disclosed by WhatsApp itself last week. All a hacker had to do to control your phone was send you a malicious video or start a…
This was possible through a security issue disclosed by WhatsApp itself last week. All a hacker had to do to control your phone was send you a malicious video or start a…
👍10👎2
Важная инфа по шифрованию WhatsApp. Мне верно подсказали, что e2ee в нём работает и в групповых чатах тоже, а не только 1 на 1. Как тебе такое, Павел? https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
А подгрузка нескольких прошлых сообщений происходит благодаря тому, что главное устройство просто отправляет копию последних сообщений, чтобы новичок был в контексте диалога.
До этого я считал, что групповые чаты не шифруются, потому я видел сообщения родительского чата после добавления. Но нет, это со мной устройство администратора поделилось и не всеми, а несколькими последними. А клиент на своей стороне отрисовал всё так, будто я был участником чата и раньше.
WhatsApp > Telegram
А подгрузка нескольких прошлых сообщений происходит благодаря тому, что главное устройство просто отправляет копию последних сообщений, чтобы новичок был в контексте диалога.
До этого я считал, что групповые чаты не шифруются, потому я видел сообщения родительского чата после добавления. Но нет, это со мной устройство администратора поделилось и не всеми, а несколькими последними. А клиент на своей стороне отрисовал всё так, будто я был участником чата и раньше.
WhatsApp > Telegram
👍2👎1
image_2022-11-01_13-57-38.png
433 KB
Шикарный диалог: https://lor.sh/@hardworm/109268134125401614 Полезен и для аналитиков, которые не определяют предельных значений, и для тестировщиков, которые отталкиваются только от того, что в требованиях, игнорируя разум
👍9
Представьте, что появились полностью самоуправляемые автомобили. Хотели бы вы, чтобы на них можно было накатывать альтернативные прошивки? Прошивки не только медиа системы, но и управления всеми узлами и распознавания объектов
Anonymous Poll
10%
Полностью да. Свобода! Вендорлок приведёт к тому, что машина будет служить год и потом устареет
19%
Полностью нет. Швабодка от Васяна приведёт к катастрофе. И с Васяна потом не спросишь
46%
Да, но только сертифицированные прошивки. Если прошивка Васяна проходит все тесты, то всё в порядке
25%
Полное самоупровление не нужно в принципе. На крайняк - должна быть возможность всё выключать
https://issuetracker.google.com/issues/207626322
Google сломал эмулятор для образа API level 31 (Android 12). При чём оно сначала работает. Потом запускаешь в очередной раз - а оно не запускается. Если запускать с флагом
Google сломал эмулятор для образа API level 31 (Android 12). При чём оно сначала работает. Потом запускаешь в очередной раз - а оно не запускается. Если запускать с флагом
-verbose, то будет бесконечно писатьVERBOSE | VirtIO WiFi: unexpected full virtqueueА я сначала грешил на
VERBOSE | No acpi ini file provided, using default
VERBOSE | No acpi ini file provided, using default
Wayland, но решил таки поисследовать. И оказалось, что баг известный и ему всего-навсего год. Надо просто подождать ещё 10 лет и баг переведут в obsolete и закроют.👍8
Can't run debugger on physical device after last Android studio update [251216413] - Visible to Public - Issue Tracker
https://issuetracker.google.com/issues/251216413
https://issuetracker.google.com/issues/251216413
Google сломал отладку в Студии, будьте внимательны.
Действительно, отладка - эти ведь не критичная функциональность, можно и потерпеть.
Воркэраунд я описал уже в ишуе - нужно прицепиться у процессу руками.
Да, у вас может работать. У меня тоже работало, а у коллеги давно сломалось. Сегодня сломалось и у меня, так что потратил полчаса на исследование и нашёл причину и описал воркэраунд.
Действительно, отладка - эти ведь не критичная функциональность, можно и потерпеть.
Воркэраунд я описал уже в ишуе - нужно прицепиться у процессу руками.
Да, у вас может работать. У меня тоже работало, а у коллеги давно сломалось. Сегодня сломалось и у меня, так что потратил полчаса на исследование и нашёл причину и описал воркэраунд.
👍4
https://myachinqa.blogspot.com/2022/12/samsung-lg.html Рассказал про утечку ключей Самсунга и ЛГ. Вы прям наверняка читали об этом в разных ТГ канальчиках, но, почему-то, никто не объяснил, что случилось и что это означает. Так что вот, рекомендую ознакомиться
Blogspot
Об утечке ключей подписи Samsung и LG
утечка подписей ключей samsung lg
👍6
Я хотел опубликовать информацию о найденной нашей командой уязвимости перед НГ. Однако Google не выкатил фикс. Я не имею морального права публиковать описание для незакрытой уязвимости и отложил это дело.
Зато Google сказали, что ошиблись в оценке и это, на самом деле, хай левел уязвимость. Ну ещё бы, у вас дыра в API, которое используют все MDM решения. Не понятно, почему сразу это не осознали. Кажется их безопасник вышел из отпуска и дал им люлей.
В общем, держу в курсе. Опубликую подробности и PoC, когда будет фикс.
Зато Google сказали, что ошиблись в оценке и это, на самом деле, хай левел уязвимость. Ну ещё бы, у вас дыра в API, которое используют все MDM решения. Не понятно, почему сразу это не осознали. Кажется их безопасник вышел из отпуска и дал им люлей.
В общем, держу в курсе. Опубликую подробности и PoC, когда будет фикс.
👍14
Наконец-то Google разродился. В следующем месяце будет патч, значит опубликую здесь описание и приложу PoC через 2 месяца. Чтобы все к этому времени точно обновились.
We will be releasing a patch for this issue in an upcoming bulletin. It will first be released to partners, then to the public the following month.
Your CVE ID is CVE-2022-20551.
We will be releasing a patch for this issue in an upcoming bulletin. It will first be released to partners, then to the public the following month.
Your CVE ID is CVE-2022-20551.
👍8
https://lor.sh/@umnik/109749329615686194
Воспользуюсь вами, уважаемые подписчики. Если хотите в тестирование (ручное и автоматизация) под все ОС _удалённо_ - пишите мне @MyachinDA
Воспользуюсь вами, уважаемые подписчики. Если хотите в тестирование (ручное и автоматизация) под все ОС _удалённо_ - пишите мне @MyachinDA
lor.sh
Umnik (@umnik@lor.sh)
Ищу тестировщика под #Android, #iOS, #Windows, #Linux, #MacOS. Уровень навыков в прямой зависимости от ваших зарплатных ожиданий - нас устроит и стажёр, который хочет прокачать скиллы, и супер-мега-сеньёр. Первого обучим, второй будет сразу же брошен в бой.…
👍4
Google когда-то:
Мы отказываемся от использования сладостей в названиях Android версий. Потому что в некоторых странах людям сложно произнести, например, слово "лоллипоп"
Google сейчас:
Android 14 называется "апсайд даун кейк"
Если вы, как и я, не знаете что это, то вот: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D1%91%D1%80%D0%BD%D1%83%D1%82%D1%8B%D0%B9_%D1%82%D0%BE%D1%80%D1%82
Надеюсь Android 15 будет "Ваговилс", как был когда-то 4.4 Кит Кат. Впрочем, после "апсайд даун кейка" можно ждать "вот та фак из зис кейк"
Мы отказываемся от использования сладостей в названиях Android версий. Потому что в некоторых странах людям сложно произнести, например, слово "лоллипоп"
Google сейчас:
Android 14 называется "апсайд даун кейк"
Если вы, как и я, не знаете что это, то вот: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D1%91%D1%80%D0%BD%D1%83%D1%82%D1%8B%D0%B9_%D1%82%D0%BE%D1%80%D1%82
Надеюсь Android 15 будет "Ваговилс", как был когда-то 4.4 Кит Кат. Впрочем, после "апсайд даун кейка" можно ждать "вот та фак из зис кейк"
👍4
Android Security Bulletin—February 2023 | Android Open Source Project
https://source.android.com/docs/security/bulletin/2023-02-01
https://source.android.com/docs/security/bulletin/2023-02-01
Фикс на CVE-2022-20551 вышел. В марте опубликую описание и приложу PoC