"Вау! Ого! Наконец-то!" - примерно такую реакцию наблюдаю под новостью о том что по велению Гугла "С 20 июля этого года разработчики Android-софта должны будут явно указывать в описании своей продукции, какие данные и с какой целью собирает и хранит приложение. Кроме того, они должны уведомлять пользователей о том, передаётся ли полученная информация третьим лицам." Мне интересно, а сам Гугл является "третьим лицом"?
Google Analytics - набор компонентов, который присутствует в каждом втором приложении, размещенном в гугловском маркете. Это ни что иное, как трекеры отслеживания. Технология продвигается непосредственно самим Гуглом для сбора и анализа данных о взаимодействиях пользователей с приложениями.
Analytics предоставляет неограниченные отчеты по 500 различным событиям.
На основе этих компонентов, пользовательские аудитории можно определить на основе данных устройства, пользовательских событий или свойств пользователя.
Кое-что из того что собирается:
Пользователь выполняет поиск на сайте или в приложении (это определяется по параметру запроса в URL) с использованием WebView.
Пользователь взаимодействует с приложением или сайтом.
Приложение находится в активном режиме, или пользователь просматривает веб-страницу хотя бы одну секунду.
Загружается веб-страница или активный сайт изменяет состояние истории браузера.
Firebase.ServerValue.TIMESTAMP, которая сообщает Firebase заполнить это поле временем сервера. Когда эти данные считываются, это фактическая временная метка.
Операционная система на устройстве обновляется. Идентификатор прежней версии ОС передается в виде параметра.
Пользователь удаляет все данные приложения, включая настройки и данные для входа.
Google Аналитика поддерживает автоматическое отслеживание подписок для Android и iOS.
Добавляем к перечисленному Android ID приложения, который Гугл считывает, плюсуем информацию об устройстве и операторе сети, которая передается, на сервера Гугла при каждом подключении к сети WiFi (в незашифрованном виде, между прочим), плюсуем местоположение по Mac-адресам окружающих точек доступа, рекламный идентификатор, который сохраняется Гуглом несмотря на сброс, и постоянный идентификатор DRM от Widevine (расскажу как-нибудь).
Выводы?
Если приложению "Фонарик" нужен доступ в сеть чтобы подгружать рекламу, то делается это при непосредственном участии Гугла, который, в свою очередь, точно знает что делает конкретный пользователь в конкретный момент времени.
Вот вам и "Вау!"
Google Analytics - набор компонентов, который присутствует в каждом втором приложении, размещенном в гугловском маркете. Это ни что иное, как трекеры отслеживания. Технология продвигается непосредственно самим Гуглом для сбора и анализа данных о взаимодействиях пользователей с приложениями.
Analytics предоставляет неограниченные отчеты по 500 различным событиям.
На основе этих компонентов, пользовательские аудитории можно определить на основе данных устройства, пользовательских событий или свойств пользователя.
Кое-что из того что собирается:
Пользователь выполняет поиск на сайте или в приложении (это определяется по параметру запроса в URL) с использованием WebView.
Пользователь взаимодействует с приложением или сайтом.
Приложение находится в активном режиме, или пользователь просматривает веб-страницу хотя бы одну секунду.
Загружается веб-страница или активный сайт изменяет состояние истории браузера.
Firebase.ServerValue.TIMESTAMP, которая сообщает Firebase заполнить это поле временем сервера. Когда эти данные считываются, это фактическая временная метка.
Операционная система на устройстве обновляется. Идентификатор прежней версии ОС передается в виде параметра.
Пользователь удаляет все данные приложения, включая настройки и данные для входа.
Google Аналитика поддерживает автоматическое отслеживание подписок для Android и iOS.
Добавляем к перечисленному Android ID приложения, который Гугл считывает, плюсуем информацию об устройстве и операторе сети, которая передается, на сервера Гугла при каждом подключении к сети WiFi (в незашифрованном виде, между прочим), плюсуем местоположение по Mac-адресам окружающих точек доступа, рекламный идентификатор, который сохраняется Гуглом несмотря на сброс, и постоянный идентификатор DRM от Widevine (расскажу как-нибудь).
Выводы?
Если приложению "Фонарик" нужен доступ в сеть чтобы подгружать рекламу, то делается это при непосредственном участии Гугла, который, в свою очередь, точно знает что делает конкретный пользователь в конкретный момент времени.
Вот вам и "Вау!"
https://t.me/F_S_C_P/85488
Про шторку - смешно, все остальное...
"С 1-го января 2025-го года в России запрещается использовать средства защиты информации, происходящие из недружественных стран". Пока, вроде бы, только для госучереждений. Но не стоит забывать, что Госуслуги - это постоянный обмен конфиденциальной информацией граждан и этих самых госучереждений.
А5 — это поточный алгоритм шифрования, используемый для обеспечения конфиденциальности передаваемых данных между телефоном и базовой станцией в европейской системе мобильной цифровой связи GSM. Разработан французскими военными. Экспортирован в страны не входящие в Евросоюз, в том числе и в Россию, со значительным понижением криптостойкости (А5/2). Уважаемый в госучереждениях Сноуден говорит что протокол этот ломается АНБ как два пальца. Следовательно должна быть переоборудована вся сеть мобильных операторов, начиная с выпуска отечественных sim-карт и заканчивая телеком-оборудованием. Ни то ни другое в России в данный момент не производится ни то что в промышленных масштабах, а даже в хоть сколько-нибудь значимых. Симки, выпускаемые отечественным «Ситроникс Смарт Технологии» (ССТ) используют чипы Samsung.
И Франция, и Южная Корея - недружественные России страны.
В качестве ГОСТ-стандартов шифрования от отечественных "производителей" признаны Магма, Кузнечик, (прости господи) Стрибог и еще четыре (вроде) алгоритма на их основе. Это надежные опенсорсные алгоритмы, которые нихрена не используются в международной сети Интернет и вообще нигде, где рулят америкосы. А в сфере криптографии они рулят везде.
Перечисленные кузнечики и магмы тестируют на eSIM (виртуальная карта). eSIM - это отдельный чип в устройстве, если простым языком. В России их производится примерно столько же, сколько и обычных чипов для sim-карт. То есть нисколько.
"Магма и Кузнечик не входят в список стандартов Международной организации по стандартизации ISO. Это осложняет их использование в eSIM: система шифрования на устройстве превращает его в средство криптозащиты, вывоз которого из страны без согласования с ФСБ запрещен."
Отечественные операторы в данный момент не поддерживают технологию eSIM ни для частных, ни для корпоративных абонентов, так как по закону в договоре должен быть прописан идентификатор sim-карты, а у виртуальных карт его нет. Эра Интернета вещей, на которую и нацелена технология eSIM в условиях санкций на технологии - это мелькнувший за поворотом автобус.
Исходя из этого, госучереждениям будет запрещено использовать мобильную связь?
Говорить о том, что все это будет "замещено по ГОСТу" к 2025-му году - это как пукать в воду, только пузыри и круги по воде. Но тенденция на самоизоляцию понятна, стена все ближе и выше. А в периметре все очень скудно, но есть 20 цифровых каналов и Почта России.
P.S. Это я еще не касаюсь доверенных сертификатов, которые нужно будет прописать на смартфоне для доступа к сетям ОПСОСа с гостовским шифрованием (тот самый MITM).
P.P.S. Кстати, ядра процессоров ARM Cortex-A и Cortex-R работают с технологией TrustZone, это их торговая марка. Процессоры эти сидят почти во всех девайсах, а технология предназначена для исполнения кода, связанного с криптографией и принадлежит компании ARM. Компанию ARM купила компания Nvidia, главный офис у нее в Калифорнии, поэтому практически все смартфоны депутатов вообще будут вне закона. И "отечественное" замещение тут не катит, потому что тот же "отечественный" BQ 6430L Aurora работает на проце Helio P60, который собран на Cortex-A73, A53.
Про шторку - смешно, все остальное...
"С 1-го января 2025-го года в России запрещается использовать средства защиты информации, происходящие из недружественных стран". Пока, вроде бы, только для госучереждений. Но не стоит забывать, что Госуслуги - это постоянный обмен конфиденциальной информацией граждан и этих самых госучереждений.
А5 — это поточный алгоритм шифрования, используемый для обеспечения конфиденциальности передаваемых данных между телефоном и базовой станцией в европейской системе мобильной цифровой связи GSM. Разработан французскими военными. Экспортирован в страны не входящие в Евросоюз, в том числе и в Россию, со значительным понижением криптостойкости (А5/2). Уважаемый в госучереждениях Сноуден говорит что протокол этот ломается АНБ как два пальца. Следовательно должна быть переоборудована вся сеть мобильных операторов, начиная с выпуска отечественных sim-карт и заканчивая телеком-оборудованием. Ни то ни другое в России в данный момент не производится ни то что в промышленных масштабах, а даже в хоть сколько-нибудь значимых. Симки, выпускаемые отечественным «Ситроникс Смарт Технологии» (ССТ) используют чипы Samsung.
И Франция, и Южная Корея - недружественные России страны.
В качестве ГОСТ-стандартов шифрования от отечественных "производителей" признаны Магма, Кузнечик, (прости господи) Стрибог и еще четыре (вроде) алгоритма на их основе. Это надежные опенсорсные алгоритмы, которые нихрена не используются в международной сети Интернет и вообще нигде, где рулят америкосы. А в сфере криптографии они рулят везде.
Перечисленные кузнечики и магмы тестируют на eSIM (виртуальная карта). eSIM - это отдельный чип в устройстве, если простым языком. В России их производится примерно столько же, сколько и обычных чипов для sim-карт. То есть нисколько.
"Магма и Кузнечик не входят в список стандартов Международной организации по стандартизации ISO. Это осложняет их использование в eSIM: система шифрования на устройстве превращает его в средство криптозащиты, вывоз которого из страны без согласования с ФСБ запрещен."
Отечественные операторы в данный момент не поддерживают технологию eSIM ни для частных, ни для корпоративных абонентов, так как по закону в договоре должен быть прописан идентификатор sim-карты, а у виртуальных карт его нет. Эра Интернета вещей, на которую и нацелена технология eSIM в условиях санкций на технологии - это мелькнувший за поворотом автобус.
Исходя из этого, госучереждениям будет запрещено использовать мобильную связь?
Говорить о том, что все это будет "замещено по ГОСТу" к 2025-му году - это как пукать в воду, только пузыри и круги по воде. Но тенденция на самоизоляцию понятна, стена все ближе и выше. А в периметре все очень скудно, но есть 20 цифровых каналов и Почта России.
P.S. Это я еще не касаюсь доверенных сертификатов, которые нужно будет прописать на смартфоне для доступа к сетям ОПСОСа с гостовским шифрованием (тот самый MITM).
P.P.S. Кстати, ядра процессоров ARM Cortex-A и Cortex-R работают с технологией TrustZone, это их торговая марка. Процессоры эти сидят почти во всех девайсах, а технология предназначена для исполнения кода, связанного с криптографией и принадлежит компании ARM. Компанию ARM купила компания Nvidia, главный офис у нее в Калифорнии, поэтому практически все смартфоны депутатов вообще будут вне закона. И "отечественное" замещение тут не катит, потому что тот же "отечественный" BQ 6430L Aurora работает на проце Helio P60, который собран на Cortex-A73, A53.
Интерфейс для https://github.com/pglombardo/PasswordPusher
"Безопасное хранение пароля, который может быть передан с помощью простой веб-ссылки. Пароль будет удален после определенного количества посещений или по истечении определенного времени."
Каждый в курсе за "одноразовые" записки?
Допустим вы хотите поделиться своим ключом или пофиг чем. По аналогии с привнотами и прочим. Берете что-то что нужно передать, устанавливаете на это "что-то" таймер в днях и количество просмотров. Делитесь сгенерированной ссылкой. Ссылка станет недействительной после выполнения заданных условий или по нажатию на соответствующий пункт. Как бы и все. Но не все.
По умолчанию в данном приложении используется сервис https://pwpush.com/, но в настройках проги можно прописать свой персональный сервис, который может работать используя PasswordPusher API, на котором, собственно, все это и работает. То есть можно захостить (Heroku, Docker и тд.) свой Privnote или 0bin, и пользоваться не очкуя что кто-то там еще прочитает.
Вообще-то это фишка для хранения и передачи паролей, но использовать можно по разному. Из преимуществ: текст по ссылке заблюрен, можно скопировать в буфер не просматривая. Количество символов на одну ссылку больше ляма.
"Безопасное хранение пароля, который может быть передан с помощью простой веб-ссылки. Пароль будет удален после определенного количества посещений или по истечении определенного времени."
Каждый в курсе за "одноразовые" записки?
Допустим вы хотите поделиться своим ключом или пофиг чем. По аналогии с привнотами и прочим. Берете что-то что нужно передать, устанавливаете на это "что-то" таймер в днях и количество просмотров. Делитесь сгенерированной ссылкой. Ссылка станет недействительной после выполнения заданных условий или по нажатию на соответствующий пункт. Как бы и все. Но не все.
По умолчанию в данном приложении используется сервис https://pwpush.com/, но в настройках проги можно прописать свой персональный сервис, который может работать используя PasswordPusher API, на котором, собственно, все это и работает. То есть можно захостить (Heroku, Docker и тд.) свой Privnote или 0bin, и пользоваться не очкуя что кто-то там еще прочитает.
Вообще-то это фишка для хранения и передачи паролей, но использовать можно по разному. Из преимуществ: текст по ссылке заблюрен, можно скопировать в буфер не просматривая. Количество символов на одну ссылку больше ляма.
Pushie.apk
2.4 MB
Pushie (Provides temporary, secure, password sharing)
https://f-droid.org/packages/com.chesire.pushie/
https://f-droid.org/packages/com.chesire.pushie/
Задачка на тему "найди десять отличий".
На самом деле отличие только одно - на скринах устройство с идентификатором Widevine и без него.
Данный идентификатор является одним из хитрых способов отслеживания конкретного устройства в сети Интернет. По умолчанию идентификатор присутствует на любом смартфоне и по нему можно идентифицировать устройство, независимо от наличия на нем Google-сервисов. Считывается приложениями без каких-либо ограничений.
На следующем курсе расскажу как с этим бороться. Анонс coming soon.
На самом деле отличие только одно - на скринах устройство с идентификатором Widevine и без него.
Данный идентификатор является одним из хитрых способов отслеживания конкретного устройства в сети Интернет. По умолчанию идентификатор присутствует на любом смартфоне и по нему можно идентифицировать устройство, независимо от наличия на нем Google-сервисов. Считывается приложениями без каких-либо ограничений.
На следующем курсе расскажу как с этим бороться. Анонс coming soon.
Дополнительные уроки:
▪️ Защита от криминалистической экспертизы и несанкционированного доступа к данным на смартфоне. Экстренное автоматизированное и ручное удаление данных и ключей шифрования. Основные моменты:
- автоматизированное удаление данных при попытке перебора пароля блокировки
- автоматизированное скрытие выбранных приложений после разблокировки смартфона по индивидуальному шаблону
- ручное удаление пользовательских данных и ключей шифрования "в одно касание" без разблокировки девайса
- автоматизированный запуск удаления выбранных файлов с последующей перезаписью свободного пространства на накопителе (возможность восстановления исключается) при подключении к ПК или комплексам по извлечению данных
- поговорим о методике взлома смартфона при помощи комплекса типа UFED в контексте несанкционированного запуска отладки в обход блокировки экрана для последующего снятия данных и защите от этого
- очистка выбранных разделов данных, данных приложений и зашифррванных томов по расписанию или после разблокировки устройства посторонним по установленному таймеру с возможностью отмены удаления
- проверка контрольных сумм критически важных разделов устройства для мониторинга внесения несанкционированных изменений после физического изъятия
Обновление:
- Dead Switch, который просили. Если устройство не разблокировалось владельцем в течение заданного времени, происходит удаление всех/выбранных данных
- управление функциями безопасности с прмощью жестов. Пример 1: тапнули только вам известным способом по экрану блркировки - открывается реальный рабочий стол с нужными приложениями. Не тапнули - откроется фейковый "бытовой", все критически важные приложения и данные останутся скрыты в системе, доступ к настройкам устройства заблокирован. Пример 2: нажали на определенную область на экране - удалились все/выбранные данные. На управление жестами возможна привязка любых действий и запуск любых скриптов и команд.
Продолжительность 2 дня. Стоимость участия 10к.
▪️ Защита от криминалистической экспертизы и несанкционированного доступа к данным на смартфоне. Экстренное автоматизированное и ручное удаление данных и ключей шифрования. Основные моменты:
- автоматизированное удаление данных при попытке перебора пароля блокировки
- автоматизированное скрытие выбранных приложений после разблокировки смартфона по индивидуальному шаблону
- ручное удаление пользовательских данных и ключей шифрования "в одно касание" без разблокировки девайса
- автоматизированный запуск удаления выбранных файлов с последующей перезаписью свободного пространства на накопителе (возможность восстановления исключается) при подключении к ПК или комплексам по извлечению данных
- поговорим о методике взлома смартфона при помощи комплекса типа UFED в контексте несанкционированного запуска отладки в обход блокировки экрана для последующего снятия данных и защите от этого
- очистка выбранных разделов данных, данных приложений и зашифррванных томов по расписанию или после разблокировки устройства посторонним по установленному таймеру с возможностью отмены удаления
- проверка контрольных сумм критически важных разделов устройства для мониторинга внесения несанкционированных изменений после физического изъятия
Обновление:
- Dead Switch, который просили. Если устройство не разблокировалось владельцем в течение заданного времени, происходит удаление всех/выбранных данных
- управление функциями безопасности с прмощью жестов. Пример 1: тапнули только вам известным способом по экрану блркировки - открывается реальный рабочий стол с нужными приложениями. Не тапнули - откроется фейковый "бытовой", все критически важные приложения и данные останутся скрыты в системе, доступ к настройкам устройства заблокирован. Пример 2: нажали на определенную область на экране - удалились все/выбранные данные. На управление жестами возможна привязка любых действий и запуск любых скриптов и команд.
Продолжительность 2 дня. Стоимость участия 10к.
▪️ Настройка виртуальной машины контейнерного типа.
- изменение всех необходимых идентификаторов и цифровых отпечатков VM
- полная зачистка VM по нажатию одной кнопки (для участников урока по защите от криминалистической экспертизы и извлечения данных)
- возможность создания и использования образов системы с различными настройками (количество сохраненных образов ограничивается только наличием свободной памяти на носителе)
Бонус на уроке по VM:
- запуск дубликатов необходимых приложений внутри VM БЕЗ УСТАНОВКИ. Для каждого дубликата возможно изменение таких идентификаторов как брэнд, модель девайса, IMEI, IMSI, ICCID (серийный номер SIM), Android ID, MAC, SSID сети. Делается НА ЛЕТУ, а не по аналогии с созданием клонов в App Cloner и подобными решениями. Приложение не пересобирается, оригинальная подпись не изменяется.
Фактически на выходе получаем несколько разных смартфонов в одном. Область применения достаточно обширная. От сохранения анонимности и конфиденциальности при использовании любых приложений и действий в них до работы с несколькими аккаунтами одновременно.
Обновление:
- запуск VM на Android 12
- разберем варианты VM, стоит ли устанавливать более высокие версии осей и тд.
Продолжительность 1 день. Стоимость участия 7к.
Внимание!!! Курс и дополнительные уроки посвящены защите данных, финансов и конфиденциальности пользователя. Вопросы прохождения антифрод систем МЕНЯ НЕ ИНТЕРЕСУЮТ!!! Но на технические вопросы по этой теме отвечу в рамках своей компетенции, программы курса и дополнительных уроков.
~ Доп.уроки доступны для приобретения только ученикам прошедшим основной курс.
Запись/вопросы @JazzSupport
- изменение всех необходимых идентификаторов и цифровых отпечатков VM
- полная зачистка VM по нажатию одной кнопки (для участников урока по защите от криминалистической экспертизы и извлечения данных)
- возможность создания и использования образов системы с различными настройками (количество сохраненных образов ограничивается только наличием свободной памяти на носителе)
Бонус на уроке по VM:
- запуск дубликатов необходимых приложений внутри VM БЕЗ УСТАНОВКИ. Для каждого дубликата возможно изменение таких идентификаторов как брэнд, модель девайса, IMEI, IMSI, ICCID (серийный номер SIM), Android ID, MAC, SSID сети. Делается НА ЛЕТУ, а не по аналогии с созданием клонов в App Cloner и подобными решениями. Приложение не пересобирается, оригинальная подпись не изменяется.
Фактически на выходе получаем несколько разных смартфонов в одном. Область применения достаточно обширная. От сохранения анонимности и конфиденциальности при использовании любых приложений и действий в них до работы с несколькими аккаунтами одновременно.
Обновление:
- запуск VM на Android 12
- разберем варианты VM, стоит ли устанавливать более высокие версии осей и тд.
Продолжительность 1 день. Стоимость участия 7к.
Внимание!!! Курс и дополнительные уроки посвящены защите данных, финансов и конфиденциальности пользователя. Вопросы прохождения антифрод систем МЕНЯ НЕ ИНТЕРЕСУЮТ!!! Но на технические вопросы по этой теме отвечу в рамках своей компетенции, программы курса и дополнительных уроков.
~ Доп.уроки доступны для приобретения только ученикам прошедшим основной курс.
Запись/вопросы @JazzSupport
Для тех кто спрашивал про управление жестами, которое упомянул в анонсе.
Нет, это не то к чему все привыкли. Вернее не совсем то. На видео показываю как при помощи простых манипуляций скрыть реальный рабочий стол и открыть фейковый. Одновременно с этим происходит... все что вам может быть нужно в контексте безопасности (и не только): скрытие/удаление выбранных приложений, зачистка выбранных директорий, сброс учетных данных в почтовых клиентах и мессенджерах, удаление скрытых зашифрованных томов, блокируется доступ к настройкам, файловым менеджерам и тд. И да, "тревожная кнопка" с полной зачисткой устройства тоже можеть быть на основе закрепленного жеста.
Нет, это не то к чему все привыкли. Вернее не совсем то. На видео показываю как при помощи простых манипуляций скрыть реальный рабочий стол и открыть фейковый. Одновременно с этим происходит... все что вам может быть нужно в контексте безопасности (и не только): скрытие/удаление выбранных приложений, зачистка выбранных директорий, сброс учетных данных в почтовых клиентах и мессенджерах, удаление скрытых зашифрованных томов, блокируется доступ к настройкам, файловым менеджерам и тд. И да, "тревожная кнопка" с полной зачисткой устройства тоже можеть быть на основе закрепленного жеста.
Если вам показалось что это репозиторий в F-Droid, то... вам не показалось.
Это ни что иное, как бета-версия отечественного магазина приложений RuMarket https://ruplay.market/
Хрена ли они называют ОТЕЧЕСТВЕННЫЕ продукты неотечественными именами? RuMarket, Rutube... Клиент имеет встроенный трекер от Яндекса (com.yandex.metrica), куда уж без него, и является форком самого F-Droid. Что поднимает вопросы распространения по открытой лицензии. Что, в свою очередь, походу ни разу не ипёт создателей. Сам клиент нахрен никому не сдался, можно сделать то что вы видите на скринах - просто добавить репозиторий в F-Droid.
Чего делать тоже явно не стоит. Потому что никто в F-Droid эти приложения (см. скрины) не модерирует, код у них закрытый и даже ссылок на официальные сайты не имеется. Сама возможность добавить данный репозиторий в маркет приложений с открытым кодом может ввести в заблуждение порядочных пользователей, которые привыкли к опенсорсу.
И нет, это не анонсированный в СМИ "сакционно-устойчивый" магазин NashStore (еще одно охрененно отечественное название), который сегодня вроде как должен быть уже доступен для скачивания и регистрации аккаунта https://nashstore.ru/
Это ни что иное, как бета-версия отечественного магазина приложений RuMarket https://ruplay.market/
Хрена ли они называют ОТЕЧЕСТВЕННЫЕ продукты неотечественными именами? RuMarket, Rutube... Клиент имеет встроенный трекер от Яндекса (com.yandex.metrica), куда уж без него, и является форком самого F-Droid. Что поднимает вопросы распространения по открытой лицензии. Что, в свою очередь, походу ни разу не ипёт создателей. Сам клиент нахрен никому не сдался, можно сделать то что вы видите на скринах - просто добавить репозиторий в F-Droid.
Чего делать тоже явно не стоит. Потому что никто в F-Droid эти приложения (см. скрины) не модерирует, код у них закрытый и даже ссылок на официальные сайты не имеется. Сама возможность добавить данный репозиторий в маркет приложений с открытым кодом может ввести в заблуждение порядочных пользователей, которые привыкли к опенсорсу.
И нет, это не анонсированный в СМИ "сакционно-устойчивый" магазин NashStore (еще одно охрененно отечественное название), который сегодня вроде как должен быть уже доступен для скачивания и регистрации аккаунта https://nashstore.ru/
Пароли, пароли....
Прога, в отличие от хитрожопых онлайн сервисов, не имеет выхода в сеть. Следовательно никакие ваши данные никуда не отправляет и не пополняет чьи-то там словари для брутфорса.
Но я вообще-то не о проге. Я про гигиену. Особенно в свете информации о слитых базах ГИБДД, СДЭК и тд. Допустим вы Сергей Иванов,1990-го года рождения. Если верить проге, то взлом класического нубасского пароля ivanovsergei1990 займет один день,
ivanov19sergei90 - 5 лет.
Я уже как-то рассказывал, что на смартфоне можно установить пароль используя разные раскладки клавиатуры, например eng/rus
Взлом вот такого пароля займет больше ста лет:
iвaнoвsеrгeй1990
Здесь, как видите, идет чередование русской и английской раскладки на каждом буквенном символе.
Теперь представьте, что атакующий держал в руках ваш паспорт или там квитанцию на оплату интернета. Пароли на основе личных позывных - это классика, брутятся в первую очередь, и варианты таких комбинаций будут в первых строчках словаря, если атакуют конкретного Сергея Иванова. Поэтому первый указанный пароль, если известны персональные данные объекта атаки, сломают за секунды перебора по персональному словарю. Пароль на двух раскладках тоже сломают, но никак не через сто лет, а за все тот же один день. Как и любой пароль на основе имени, фамилии и года рождения, если известны персональные данные объекта.
Вот тут интересная статья на "около темы" https://www.securitylab.ru/analytics/485097.php
Прога, в отличие от хитрожопых онлайн сервисов, не имеет выхода в сеть. Следовательно никакие ваши данные никуда не отправляет и не пополняет чьи-то там словари для брутфорса.
Но я вообще-то не о проге. Я про гигиену. Особенно в свете информации о слитых базах ГИБДД, СДЭК и тд. Допустим вы Сергей Иванов,1990-го года рождения. Если верить проге, то взлом класического нубасского пароля ivanovsergei1990 займет один день,
ivanov19sergei90 - 5 лет.
Я уже как-то рассказывал, что на смартфоне можно установить пароль используя разные раскладки клавиатуры, например eng/rus
Взлом вот такого пароля займет больше ста лет:
iвaнoвsеrгeй1990
Здесь, как видите, идет чередование русской и английской раскладки на каждом буквенном символе.
Теперь представьте, что атакующий держал в руках ваш паспорт или там квитанцию на оплату интернета. Пароли на основе личных позывных - это классика, брутятся в первую очередь, и варианты таких комбинаций будут в первых строчках словаря, если атакуют конкретного Сергея Иванова. Поэтому первый указанный пароль, если известны персональные данные объекта атаки, сломают за секунды перебора по персональному словарю. Пароль на двух раскладках тоже сломают, но никак не через сто лет, а за все тот же один день. Как и любой пароль на основе имени, фамилии и года рождения, если известны персональные данные объекта.
Вот тут интересная статья на "около темы" https://www.securitylab.ru/analytics/485097.php
IYPS.apk
2.5 MB
IYPS (A password strength test app with crack times, warnings and suggestions.)
https://f-droid.org/packages/com.iyps/
https://f-droid.org/packages/com.iyps/
Очень много запросов на эту тему. Правда не уверен что это можно впихнуть в "безопасность".
Речь о подмене изображения с камеры устройства при прохождении верификации и тд. и тп.
Подменить изображение для приложений, использующих собственную камеру - не проблема, я знаю как минимум два рабочих способа. Обычно проблема возникает когда приложение встроенной камеры не имеет, например браузер, и обращается к системной камере. На новых осях Google запрещает пользователю выбирать приложение камеры по своему усмотрению, все запросы на открытие камеры из пользовательского пространства идут к системному приложению, установленному в прошивку.
В общем, по многочисленным заявкам, в ближайшем потоке обучения раскрою эту тему: как подменить изображение и потоковое видео при любом сценарии, и как нагнуть связанные с этим ограничения Google в Android.
Речь о подмене изображения с камеры устройства при прохождении верификации и тд. и тп.
Подменить изображение для приложений, использующих собственную камеру - не проблема, я знаю как минимум два рабочих способа. Обычно проблема возникает когда приложение встроенной камеры не имеет, например браузер, и обращается к системной камере. На новых осях Google запрещает пользователю выбирать приложение камеры по своему усмотрению, все запросы на открытие камеры из пользовательского пространства идут к системному приложению, установленному в прошивку.
В общем, по многочисленным заявкам, в ближайшем потоке обучения раскрою эту тему: как подменить изображение и потоковое видео при любом сценарии, и как нагнуть связанные с этим ограничения Google в Android.
Ждал я, понимаешь, ждал когда прогу допилят до вменяемого состояния и... вот хз.
С одной стороны интерфейс и расцветочка "вырви глаз" мягко говоря подбешивают, а на 12-й оси перманентные косячины. С другой стороны - на 11- м Ведре работает без нареканий.
В общем с одной стороны функционал годный, а с другой стороны сами поковыряете.
С одной стороны интерфейс и расцветочка "вырви глаз" мягко говоря подбешивают, а на 12-й оси перманентные косячины. С другой стороны - на 11- м Ведре работает без нареканий.
В общем с одной стороны функционал годный, а с другой стороны сами поковыряете.