Более миллиона пользователей Google Play скачали фальшивое приложение WhatsApp

[hbrmdc]

мрак, куда смотрит гугл?!
А в AppStore такое случается?

[dopusteam]

https://m.geektimes.ru/post/283760/

[IonDen]

Проверил ради интереса App store, по примерам из статьи теперь все гораздо лучше.

[dopusteam]

Мне кажется, на смену примерам из статьи появилось много новых подобных приложений

[andrewdrone]

Естественно. Лично видел фейковые Whatsapp и Viber. Отличить можно по разработчику и отзывам, но обычно на них никто не смотрит, слепо веря в безупречность аппстора

[tropico]

В AppStore меньше шансов такому пройти из-за ручного ревью всех приложений.

[hbrmdc]

не уверен, что ревью там ручное: пол года назад делал релиз — заняло всего несколько часов с момента запроса ревью до момента публикации. Либо они не спят в дневное время по МСК, либо ручной проверки там небыло

[tropico]

На английской википедии цитируется следующее (за 2013 год):

Applications for mobile apps for iOS are subject to approval by Apple by their App Review team.
…
Before landing on the App Store, all apps are manually reviewed by Apple for flaws and malware.
…
As part of this vetting exercise, Apple employees also run a special static analyzer on the app’s binary code to see whether it makes use of private functionality that’s normally off-limits to developers. This important step allows the company to determine, for example, if the code attempts to surreptitiously make phone calls, send SMS messages, or even access the contacts database without the user’s permission.

Также спросил коллег, у которых есть друзья/знакомые iOS-разработчики, все подтвердили что ревью ручное и первое самое длинное.

[mazahakajay]

Сколько же у них специалистов работает… или рабов?

[rustavelli]

да-да, вот эта какаха прошла все ревью и соответствует неповторимому стайлгайду от эпл.
itunes.apple.com/ru/app/icpdas-mqtt/id1071998856?mt=8

[nomadmoon]

Я правильно понял что при установке софта из Гугл Плэй надо обращать внимание на иконку
Verified by Play Protect? Там где она есть значит приложение не зловредное?

[Hardcoin]

Или хорошо обошло проверку.

[mikhaelkh]

Нет, тем более что она появляется только после нажатия на кнопку "Install". Прежде всего надо полагаться на свою голову, на количество установок (у самых популярных приложений типа WhatsApp оно уже за миллиард, так что миллион установок — звоночек), отрицательные отзывы, разрешения, наличие приложений с похожими именами и иконками. И не забывать про бэкапы в облака!

[nomadmoon]

Проверил на Play Market на Alcatel Pixi4, почему то ни до установки ни после установки Verified by Play Protect не появляется

[mikhaelkh]

Обновите Play Market например отсюда

[AllexIn]

Отличное предложение! Для того, чтобы ваш Play Market стал безопаснее — обновите его с варезного сайта!

[mikhaelkh]

Если Вы не отключали проверку подписи, то поставить Вы сможете только оригинал от Гугла, так что проблемы безопасности я не вижу.

[Art3]

Фейлы от Google уже перестали удивлять. И тупость пользователей тоже. А вот разработчики удивили, молодцы.

[YaMishar]

Фейл от Гугла — понятно. А где тупость пользователей? Куда им надо было смотреть?

[nochkin]

Это же очевидно — домохозяйка Глафира должна проводить декомпиляцию и полный анализ кода перед установкой любого приложения.

[nochkin]

Задним числом всегда удобно рассуждать.
Но вообще, миллион — это уже достаточно много что бы не подозревать. Мало кто помнит наизусть даже порядок скачивания любимых и не очень приложений.

[vlivyur]

Нет. Тем более что там диапазоны с неизвестным шагом указываются.

[mSnus]

На надпись Update Whatsapp. Чего вдруг Update?

Да и вообще полезно бы заставить их смотреть на что-то, кроме похожей иконки.

[mx14]

У многих приложений есть неофициальные аналоги, у которых часто есть функции которых нет у оригинала. Кстати у geektimes тож. такое есть). Так что это проблема Гугла что пропустили зловреда

[Nalivai]

У этих аналогов написано что это неофициальные аналоги. Если приложение об этом явно не пишет, то это скам, даже если оно на самом деле работает.

[vlivyur]

Kingsoft Office теперь звучит как «Update for Old Versions», правда среди скриншотов сплошные «Не ставьте его вручную».

[Vilgelm]

На название и количество установок. Если пользователь устанавливает приложение Update for WhatsApp с миллионом установок, когда оригинал называется Whatsapp и имеет за миллиард установок, то он ССЗБ. И Google тут ни при чем.

[Nagg]

Что гугл плей, что апп стор — те еще помойки, в которых порой даже какое известное приложение найти не просто — сразу выскакивает с десяток фишинговых или бесполезных типа %appname% stickers

[bundzmm]

К сожалению, Google как и Apple, я уверен, прилагают массу усилий для борьбы с этим явлением, но проблема останется до тех пор пока существуют люди желающие быстрого заработка и имеющие для этого необходимые знания и умения.

[AllexIn]

Достаточно ввести верификацию авторов с заключением договора и требовать платить первоначальный возвращаемый взнос за публикацию.
Но они этого не сделают. Так что их масса усилий — это отлично, но не работает.

[freeExec]

Чтобы стать разработчиком и так надо занести бабла в стор.

[AllexIn]

1) Мало
2) Я говорил не только о бабле, но еще и о верификации разработчика

[Areso]

1) Отсечет часть разработчиков.
2) Можно подумать, что сейчас это кого-то останавливает с сим-картами, например, в России? Зарегать на первого попавшегося алкоголика, студента, идиота и дело с концом

[Carburn]

Whatsapp тестировали новую модель монетизации.

[mSnus]

Странно, что они так плохо отслеживают "прилипал". Казалось бы, сильно популярных программ не так много, и отслеживать из клоны по похожей иконке и похожести названия — совсем простая задача..

[DmitryMry]

Знаю такие случаи, когда Apple отклоняли приложения из-за похожей иконки или названия. Но это касалось не известных приложений, а игр (т.е. если проблемы с копирайтом). Получается, что сам механизм есть, но только никому это не интересно.

[Kicker]

Вопрос в другом, останется ли приложение на телефоне или гугл стор удаленно удалит на всех устройствах?

[0o0]

Как удалённо?
Как удалит?
Я не разрешаю!
Что за отсебятина?

[Solexid]

А вас никто не спрашивает. Установлены гуглсервисы? Значит это не ваш девайс, а гугла.

[yurec_bond]

Простите за нубский вопрос.
Но, не уже ли так просто подделать паблишера (компанию которая сделала приложение).
Должны же быть какие нибудь подписи основанные на сертификатах или что то подобное.

[Apocaliptis]

Они не подделали. Они создали нового с невидимым пробелом в конце. Очень не очевидно даже опытному пользователю…

[Garbus]

Зато должно быть вполне очевидно какому нибуть скрипту. А то всё пугают ИИ, а такие банальные вещи как подстановка спецсимволов для маскировки, до сих пор со свистом пролетают до пользователей. Не могут угадать всё заранее? Рендерим сайт и банальным распознованием текста с картинки видим — использование левым аккаунтом зарегистрированной торговой марки, ключевых слов и т.п…
Во всем этом видится только волосатая «рука рынка», где гуглу просто недостаточно заинтересованности в безопасности сервиса.

[Areso]

Опытный пользователь вспомнит, как во времена Windows 95/98, можно было зайти через командную строку и поменять у папки имя, добавив туда какой-нибудь спецсимвол типа этого пробела через Альт+Код… Папку потом не удалить было из графического интерфейса))

[Welran]

Опытному пользователю очень не очевидно зачем в имени паблишера разрешать невидимые пробелы и другие спецсимволы.

[vlivyur]

Подозреваю что пробелов всяких разных ещё много на просторах Unicode, так что можно пробовать ещё.

[Mairon]

Ну судя по высокому рейтингу приложения (4.2 балла на миллион установок), скорее всего большая часть установок — с бот-ферм, чтобы накрутить количество установок и рейтинг. На деле реальных пользователей там мало было скорее всего.

[nmi77]

Придумал новый фейсбук? Сначала потренируйся — напиши и опубликуй еще один калькулятор.
Думаю примерно вот так написали.

[EnigMan]

У меня вопрос:

На следующем скриншоте внизу — программный код, который, судя по всему, отвечает за скачивание настоящего клиента WhatsApp Android. Он тоже называется whatsapp.apk.

Как это выглядит на практике. Пользователя перекидывает на правильное приложение в маркете или же просто качается .apk и дальше идет установка из неизвестного источника? В любом случае это должно быть подозрительно, тем более что по-умолчанию установка приложений из неизвестных источников отключена.

[ABATAPA]

Почему «неизвестных»? APK оригинальный, подписан ключом WhatsApp Inc.

[EnigMan]

«Неизвестный источник» в моём понимании — это любой .apk полученный не из маркета. По-умолчанию установка таких приложений отключена и включается отдельно из настроек безопасности. В любом случае запрос на подтверждение прав приложения должен был появиться повторно.

[zagayevskiy]

lol
А я как-то тетрис c названием "Tetris" выложил в альфа-доступ в гуглплее. Не прошло и нескольких часов, как его заблочили насмерть, дескать оно нарушает права ЕА. Так и висит теперь в консоли разработчика немым напоминанием.

[safari2012]

А какое отношение EA имеет к тетрису?

[zagayevskiy]

У них права на название, я так понимаю https://play.google.com/store/apps/details?id=com.ea.game.tetris2011_row

И статья про подобный случай в AppStore https://habrahabr.ru/company/papabubadiop/blog/205648/

[Smallfan]

Вообще интересно. Я много лет выкладываю несоответствующее правилам Google Play приложение. И когда количество скачек переваливает за ~500 тысяч, оно по всей видимости попадает на ручную модерацию, там бан. А тут аж до миллиона дожило.