Information Security
Development for iOS
Comments 51
+27
Если они не скрывают от людей привлечённых к исследованию то, что все их действия будут анализироваться, то не вижу из-за чего шум. Многие интернет компании платят пользователям за то, что будут следить за всей их активностью, для исследования по паттернам проведения и таргетировния рекламы.
+9
Наверняка не скрывают и пишут. Мозголомными юридическими формулировками, восьмым шрифтом на пятнадцатой странице EULA.
+7
Абсолютно не обязательно, это же обычный метод исследования аудитории.

На прошлой работе, к нам приезжал с лекцией интересный дядька, который до этого работал в Яндексе. Он рассказывал, что там время от времени набирают людей для таких исследований, им ставят такого «трояна» на комп и он собирает полную информацию о всех их действиях, на какие сайты ходят, как мышкой двигают и тд тп. Еще можно вспомнить самую обычную аналитику, о которой тут подняли мощную волну, когда нашли ее в приложении Бургер Кинга.

Но если подать под нужным соусом и добавить истеричных ноток — то людей не в теме, моментально срубает припадок паранойи.
0
Как только поднимется достаточная шумиха приложение быстро свернут и закроют.
0
Facebook хорошо влетел с этой блокировкой. Им отозвали Enterprise сертификат всей компании и все iOS приложения для внутренний нужд Facebook перестали работать.
Такое же приложение для слежки нашли у гугла. Посмотрим как быстро и его заблокируют.
0
Update: Facebook later confirmed to TechCrunch that its internal apps were broken by Apple’s punishment and that it’s in talks with Apple to try to resolve the issue and get their employee tools running again.
0
Конечно он будет говорить с Эпплом, чтобы назад разрешили, им поломали все их девелоперские приложения этим.
+7
Рутовый доступ? Вы действительно настолько не понимаете технической части того, о чём пишете?
0
А вы действительно статью читаете, прежде чем комментировать? Там идёт речь про «рутовый сертификат» (хотя в русском языке данные сертификаты чаще называются «корневыми», да), а не про «рутовый доступ».
+10
в тексте статьи, чёрными пикселями по белым:
Оно получает рутовый доступ и отслеживает все действия пользователя.
+2
Это опечатка, на самом деле рутовый сертификат. Прошу прощения.
+24
I'm not gay, but $20 is $20.

Ведь под такую затею можно и отдельный телефон держать! А то и несколько:)
+4
Ну не будет на них активности — исключат вас из программы. А за 1400 в месяц возиться с отыгрыванием бурной жизни в телефоне есть ли смысл?
+4
У меня стоит на втором телефоне на котором нет активности, 9 месяцев, денежки капают. Да, и платят не 20 долларов, а 30.
0
Туда и Android подходит? Не поделитесь ссылкой где можно податься туда? Буду признателен, у меня старых телефонов много.
0
У меня второй телефон nexus5.
Заполнял я здесь, они потом присылают, что делать.
Мне правда ответили спустя месяца 3.
UPD. Проверил ссылку написано: «The form Applause Tests — Participants Needed for Social Media App Testing is no longer accepting responses.» Хотя недавно работала.
UFO landed and left these words here
0
Ну, некоторые ради $20 убивают десятки часов в месяц на разгадывание капчей…
$0,5 за 1-2 часа, в зависимости от загруженности сервиса.
2captcha.com/ru/make-money-online
+1
С сайта:
Вознаграждение
$0.17
За 1000 обычных капч

3000 капч за час — это чуть меньше одной в секунду.
0
Так подарочными сертификатами же. Неизвестно на что их можно потратить, можно только на то чтобы купить рекламу у ФБ )
+3
русский пытливый ум сразу советует установить сие ПО сразу на 10 смартфонов, подключить их к зарядке, положить в ящик и доставать чтобы снять деньги
+3
Думается, что это программа не для всех. Примерно как есть специальные пользователи ТВ.
+6
Желтее не бывает.
5000р не 20$.
Не за бедных пользователей из РФ, а за более платеже способных, которые дороже.
Не для всех, а для очень ограниченно исследовательской группы.
Не рутовый доступ, а один из рутовых сертификатов.
Рутовый сертификат по умолчанию не позволяет перехватывать данные пользователя, зависит от приложения, я не уверен, но полагаю, что приложения обмена данными между пользователями не полагаются на рутовые сертификаты. Скорее всего «уязвимость» касается только браузера, да и то к нему нужно еще как-то проксирование прикрутить.

+1
Если это VPN, то прикручивать особенно ничего не надо. Пользователь и так через VPN пойдёт на свой защищенный сайт. С внедренным корневым сертификатом владельцы VPN могут легко и прозрачно для пользователя проксировать его защищённый трафик, читая его.

Собственно, я не знаю, зачем ещё им мог потребоваться свой корневой сертификат.
0
Там не всё так просто. При https трафик шифруется как пользователем так и сервером. А попытка подмены (когда vpn расшифровывает трафик и потом шифрует своим ключом/сертификатом) приводит к тому что соединение сбрасывается. Впн при прослушивании может получить только открытый ключ, для того чтобы зашифровать, а не расшифровать трафик.
0
Если именно проксировать, то не сбрасывается. Работает так:

— пользователь обращается на vk.com, у которого сертификат GlobalSign и адрес 87.240.129.133

— VPN перенаправляет на свой прокси с со своим сертификатом, который заверяет адрес прокси как «vk.com»

— поскольку у пользователя стоит корневой сертификат от владельцев прокси, то сертификат прокси проходит проверку и пользователь устанавливает соединение без ошибок

— прокси принимает данные от пользователя, делает с ними что хочет, затем устанавливает уже собственное соединение с реальным vk.com и передаёт на vk.com данные.

Пользователь может заметить подмену, если пойдёт в свойства соединения, посмотрит сертификат и увидит, что там не GlobalSign, а некий Facebook Research. Но каких-то других предупреждений и ошибок не будет. Вот если бы корневого сертификата от прокси не было, то вышло бы так как вы описали.

Впрочем, опять таки надо понимать, что само по себе подобное поведение — не криминал. Так работают SSL прокси, используемые с целью отладки или в некоторых корпоративных сценариях. Как я уже писал, если пользователь согласен на анализ своего поведения в Сети и понимает возможные последствия, то это его личное дело.
+1
5000р не 20$
Вот мне тоже сразу стало интересно где сейчас доллары по 250 рублей стоят. С учетом того что я знаю где их купить за ~65 можно было бы неплохо заработать.
+1
Покупайте сейчас, продадите в будущем, если вы конечно не чувак с долларами.
+5
Подарочные карты на 20$ — это типа я могу где то в определенном месте купить что-то не нужное на 20$? Так не интересно. Я так не играю.
+1
А если неповезет, то эти 20$ еще и не смогут покрыть 100% покупки.
0
Скорее всего там Amazon сертификаты дают, их потом можно продать с небольшой комиссией.
+5
$20 не равно подарочной карте на $20, потому что на $20 я могу купить почти 20 литров молока, а на подарочную карту фейсбука можно купить… э… пикселы на экране в игрушке?
+1
На самом деле есть варианты «обнала», когда подарочная карта продается за реальные деньги, правда, ниже ее номинала. Т.е. по факту заработок будет в районе $10. Смысла участвовать ноль.
+2
Каждая компания мечтает платить вам деньгами, которые рисует сама (с) :)
+1

И никаких ключей шифрования у телеги не просит. И с дядюшкой Сэмом сотрудничает.

0
Если честно, не вижу особенного повода для шума.

Первая ассоциация — с пиплметрами/ТВметрами (устройствами, которые подключают к телевизорам для анализа аудитории, составления рейтинга каналов). Как там телезрители добровольно за небольшое вознаграждение разрешают отслеживать свои телепривычки, так и тут — только здесь собирается информация о поведении в Сети и использовании мобильного устройства.
0
Вот так всегда, хочешь написать что-то умное, уже поднял руку, а за тебя уже написали. Остаётся только изо всех сил согласиться. +100500
+1
Многие читатели Хабра не верят, что на продаже своих персональных данных россияне могут зарабатывать до 5000 рублей в месяц, как сказали эксперты ФРИИ.

Вам тут не там!
И тут такие приложения, но без оплаты существуют.

0
Интересно, как скоро появится приложение «Гороховое пальто»?
Которое будет требовать root права и будет записывать и отсылать всё что возможно, включая записи разговоров, фотографии с GPS метками, скриншоты экрана во время общения в месенджерах и так далее, а за это например освобождаешься от налогов или части налогов.
Или такое уже есть?
+7
В Китае есть, только без освобождения от налогов и прочей лабуды.
0
Почти любое китайское приложение запрашивает все возможные разрешения при установке. И отказывается работать без них. Так что да, недалеко от истины.
0
Заголовок жёлтый. Не платят они 20$, потому что это не реальные деньги, которые можно потратить на что угодно. Они платят подарочными купонами номиналом в 20$, за которые можно купить то, что одобрил Facebook. Это огромная разница.
Only those users with full accounts are able to leave comments. , please.