Вышло приложение Fake Contacts для замусоривания адресной книги Android

[DrSavinkov]

На самом деле, есть решение ещё лучше: сопоставлять список контактов и список вызовов. И не брать заведомо мёртвые записи.

[symbix]

Ну, такое. У многих в списке вызовов кроме бабушки никого и нет, подавляющая часть общения в мессенджерах.

[argamidon]

ну, тогда реальные люди с именами на букву Z начнут вопить что клубхауз ущемляет их права? ))

[RC_Cat]

Слово «по умолчанию» и мешает

[igrushkin]

Вот, в частности, поэтому clubhouse и нет на андроид

[lam0x86]

Вот да, я может чего не понял, но к чему в статье так форсится клабхауз, который работает только под iOS, при том что рекламируемое приложение работает только под Android.

[Alcpp]

К слову пришлось.

[vanxant]

Не знаю, кто стоит за клабхаусом, но их сам Илоний наш Маск пиарит.

[sisop]

у меня, например, общая адресная книга между андроидом и айфоном.

[XanKraegor]

Написать такое приложение под iOS можно за час, благо Apple не запрещает править контакты. Жаль только, что они там до сих пор не додумались до того, чтобы сделать скрытую от приложений настройку, которая бы позволяла показывать приложениям только определенные контакты или вообще никакие.

[vikarti]

Мне другое странно. Вроде ж было на iOS правило что при отказе в доступе к чему то — приложение должно работать (пусть и без этой функциональности). Как Clubhouse ревью то прошли? смогли помешанной на приватности Apple объяснить что без доступа к контактам приложение вот прям совсем жить не может? Или предложили Тиму Куку инвайт?

[XanKraegor]

Похоже, речь об

этом

Unacceptable:
(v) Arbitrarily restricting who may use the app, such as by location or carrier.
(vi) Apps should allow a user to get what they’ve paid for without performing additional tasks, such as posting on social media, uploading contacts, checking in to the app a certain number of times, etc. Apps should not require users to rate the app, review the app, watch videos, download other apps, tap on advertisements, enable tracking, or take other similar actions in order to access functionality, content, use the app, or receive monetary or other compensation, including but not limited to gift cards and codes.

Читал, что у Apple были случаи и недосмотра, и несоблюдения собственных правил, и даже откровенных malware в AppStore, человеческий фактор — он и в Африке человеческий фактор.
Кроме того, правила часто трактуются достаточно вольно. Например, половина мессенджеров требует пошарить телефонную книгу для работы и вполне себе неплохо проходит проверку каждый раз…
UPD. Ну и в принципе ничего не мешает сделать приложение так, что без доступа к контактам оно будет «работать», гордо показывая пустоту. То есть формально-то оно работает. Начёт инвайта, да, ревьюверам обязаны давать инвайт для проверки приложений, регистрация в которых ограничена :)

[AllexIn]

Нет, формально оно не работает, если показывает белый экран.
Работает оно, если отвалилась только функциональность связанная с контактами.

[XanKraegor]

Ну не белый экран, а интерфейс чатов с рабочей кнопкой добавить, например. Правда, при нажатии её выбрать для нового чата будет некого, так как контакты не подключены.

[boootloader]

Погуглил по клабхаусу. Судя по всему, без доступа к контактам он вполне себе работает, можно общаться, только нельзя высылать инвайты (что в целом логично). Похоже, в статье некорректная инфа.

[nikolayv81]

Этого не сделано и на андроид, а WhatsApp стоит "почти у всех" и по умолчанию сливает эту адресную книгу, а без неё он принципиально нормально не работает(позиция компании похоже и не просто так)

[Ulrih]

Куда и что он сливает? Фантазия или паранойя?

[nikolayv81]

Себе и в головную компанию (исходя из соглашения, насколько понимаю, когда последний раз читал), они на основании этого могут строить рекламную выдачу и продавать (обезличенно) вас по методикам для рекламодателей…
Вы знаете, когда вам при просмотре детского мультика вставляют рекламу про жизнь избранных от Bentley, приходят в голову разные мысли, почему эту рекламу старгетировали именно на вас...

[Gordon01]

Не сделали потому что никто из производителей мобильных ОС не заинтересован в приватности.
Думаете, они комментарии на реддите не читают? Там про это часто пишут.
Да и функция реализуется за вечер.

[Ilyasyakubov]

Производителей мобильных ОС де-факто два. И одни из них крайне заинтересован в приватности, т.к. он ее продает.

[Gordon01]

Уже несколько лет как продают оба: https://searchads.apple.com/ru/

[Ilyasyakubov]

Простите, как связана приватность с рекламой приложений в App Store?

[Gordon01]

Раздел "источники данных" в политике конфиденциальности почитайте

[achekalin]

Ну, если хайп вокруг Clubhouse перевешивает мерзкое ощущение от откровенной слежки...

Впрочем, на фоне FB сейчас любая слежка выглядит детским лепетом!

[denisshabr]

Что именно тебя удивляет в FB? Они делают всё то же самое, что и все другие. Google, Apple, VK, Яндекс и прочие.

[achekalin]

Есть такой анекдот:

В совхозе идет искусственное осеменение коров. Ветеринар со специальным шприцем и банкой спермы не спеша обходит стадо. Окончив процесс, он садится в свой "Москвич", а тронуться не может: Коровы плотным кольцом окружили машину. Он сигналит — никакой реакции.
Тогда он опускает боковое стекло и кричит:
— Эй, вы, пошли вон отсюда!
И тут одна из коров с большими грустными глазами просовывает в окошко голову и печально произносит:
— А поцеловать?...

С ФБ так же: слишком ребята зациклились на процессе заработка, бнз лишних реверансов в строну пользователей.

ФБ делает, во-первых много никак не декларированного, во-вторых, даже сказав, что не делают чего-то — в итоге делают. В-третьих, из тех же данных они выжимают куда больше, чем конкуренты — в силу размера базы, и в силу общего отношения к приватности.

В общем, все как у конрурентрв, просто «с особым-особым цинизмом», при этом требуя и вымогая преференции, «а то у них бизнес завянет», видите ли.

На фоне других соцсетей, наверное, и правда, ничего необычного. Но: ФБ наиболее прямо говорит, что им нужны приватные данные юзеров, чтобы сделать «больше золота».

Думаю, clubhouse пока до такого далеко, но они на верном пути, судя по тексту поста.

[denisshabr]

По делу ничего не сказано.
VK делает всё то же самое, почему их не упоминаешь в наезде?

[Karpion]

Android изначально избрал совершенно недостаточную систему ограничения прав приложений. Например, для доступа в Интернет — надо было дать юзерам возможность указывать конкретные сайты, куда можно.
Также надо сделать вариант «доступ через WiFi (возможно — с указанием конкретных точек доступа) давать доступ, а через сотовую связь не давать».

Также нужна функция «не давать приложению доступа к ресурсу; но, поскольку приложение без доступа в этот ресурс работать не хочет, то сказать приложению, что доступ есть, но реально доступа не давать».

Что же касается адресной книги — то нужна возможность создавать несколько адресных книг и давать приложениям доступ к разным адресным книгам (в т.ч. давать одному приложению доступ сразу к нескольким адресным книгам); при этом приложение не должно видеть, к каким именно адресным книгам оно имеет доступ.
В этом случае для Clubhouse можно дать доступ к фейковой адресной книге.

[Vort123]

Надо же не усложнить такими изменениями жизнь обычным пользователям. Правильнее, скорее, было бы устанавливать специальное приложение, имеющее возможности перехвата системных вызовов других приложений. Примерно как работают антивирусы и фаерволлы.

[madcatdev]

XPrivacy

[grey_dog]

XPrivacy

больше не поддерживается.

XPrivacyLua — новая/ версия от того же автора.

[Evengard]

AppOps ещё хорошая альтернатива.

[Tyusha]

Тогда в какой-то момент условный Clubhouse. начнёт требовать для своей установки разрешения для перехвата вот таких вот системных вызовов. И вы думаете, будет много отказавшихся?

[Vort123]

Вызов с запросом на перехват вызова можно перехватить.

[nikolayv81]

Правильней таки запретить приложениям не умеющим работать без общей адресной книги публикацию в магазине :)
И выпилить. WhatsApp :)
А перехват штука такая, один раз отвалился и все ваши контакты у Facebook :)

[FirExpl]

WhatsApp работает без адресной книги (iOS). Но он будет показывать вам номер мобильного телефона вместо имени пользователя, и дать пользователю имя нельзя… без доступа к адресной книге.

[nikolayv81]

Он точно также работает на андроид, только есть ещё одна штука, первым написать сообщение комуто из приложения невозможно (точнее только введя спец запрос к его web API в браузере).
При этом похоже они принципиально не хотят дать возможность сохранять никнэймы для них.

[Elmot]

Ну то есть нужно приложение, которое забэкапит адресную книгу, сотрет ее, забьет мусором, зарегает юзера в клабхаузе и восстановит книгу из бэкапа.

[vis_inet]

Есть много приложений делающих бэкап и восстановление контактов.

[mikaakim]

Я думаю проще купить второй телефон.

[sim2q]

потом третий… а виртуалки уже есть на телефонах, я не в теме просто)

[Xokare228]

Есть: Island, Shelter, Parallel Space, App Cloner, DualSpace, Clone App, 2Accounts, тысячи их

[braineater]

Он, скорее всего, за обновлениями следит а не единовременно при установке сливает.

[XanKraegor]

Приложение такое создать не сложно.
Однако если у злостных нарушителей приватности сохраняется доступ к адресной книге после регистрации, они будут цеплять новые данные уже после восстановления реальных контактов. Собственно, в чем проблема? А если запретить доступ к адресной книге после регистрации, приложение продолжает работать? Наверно, нет?

[vaslobas]

Проблема в том, что обычные юзеры (мои знакомые разных возрастов) давно уже просто везде всегда жмут «Да». Их этих вопросы про права откровенно уже задолбали и они воспринимают это скорее как минус.

И что толку, если я не сливаю свою телефонную книгу, когда 100% простых людей сливает меня.

[rrrad]

В своё время, еще до введения опционального получения разрешений, в cianogen os так и было сделано: запрашивается доступ у пользователя в момент обращения, если отказать — приложение получит пустую адресную книгу. С одной стороны, решение вынужденное и не без минусов (приложение подвисает на то время, пока пользователь новечает на запрос системы), с другой стороны, в плане защиты данных решение гораздо лучше декларативного получения прав, правда, боюсь, если бы google реализовалитакое поведение, то всякие абьюзеры приватности типа описываемого аппа просто проверяли бы на пустоту списка контактов. Так что в мейнстриме такое скрытие запрета не помогло бы.

[achekalin]

Так все производители телефонов и смартов и думать не думали о таких подставах. Так же, как авторы первых банкоматов не думали, что кто-то может аппаратно перехватить нажатия клавиш при вводе пина (я про накладки эти) — никто не ждал подставы.

С приватностью и эпл, и гугл еще разбираться и разбираться. А рекламодатели тем временем давят, да и сами эпл и гугл с рекламы своё получают — в общем, лиса занимается защитой курятника, сами понимаете итог.

[PocketM]

Есть Shelter f-droid.org/en/packages/net.typeblog.shelter
позволяет ставить приложеня в отдельный профиль с отдельным списком контектов, изолированной ФС и т.п…
Приложения в нем будут видить только те контакты, которые вы создадите внутри профиля.

Edit: Ниже про него уже написали

[Barma2012]

Также нужна функция «не давать приложению доступа к ресурсу; но, поскольку приложение без доступа в этот ресурс работать не хочет, то сказать приложению, что доступ есть, но реально доступа не давать»

Вот это грамотный подход!

[ganzmavag]

В каких-то моделях Realme кажется именно это было, но почему-то в новых версиях прошивок убрали. Возможно нарушает какие-то требования Google.

[Evengard]

AppOps это умеет.

[Ruich]

Можете написать ссылку на него? В поиске находится несколько таких приложений.

[oleg543]

play.google.com/store/apps/details?id=rikka.appops&hl=ru
Но часть функционала платная :) Хотя оно того стоит.

[isden]

Еще было вот такое, но гугл это быстро убрал :(

[Ahen]

У меня во втором пространстве и нету контактов, использую как песочницу.

[lomalkin]

Что за пространства, где они поддерживаются? Я тоже такое хочу, но в моем Андроиде такого нет.

[Elsajalee]

Возможно, имелся в виду другой аккаунт.
Настройки \ пользователи и аккаунты \ несколько пользователей (realme 6,7 pro)
Настройки \ система \ пользователи (nokia 7.2)

[lomalkin]

Т.е. схема такая: есть один основной аккаунт, а для тестирования левых приложений создается другой, у которого телефонная книга своя?

[Elsajalee]

Да, но схема не без недостатков, как минимум приложения у всех пользователей все одинаковые — т.е. все, что установлены в телефоне и SD карта, конечно, одна и та же.

[isden]

В huawei есть т.н. private space.
Но я не уверен, что там можно безболезненно удалить все контакты после создания.

[alex1478]

Попробуйте https://f-droid.org/en/packages/net.typeblog.shelter/

[alex1478]

Да, для приложения это будет выглядеть как пустой телефон, в котором ничего нет.
У самсунгов ещё очень удобно: можно вынести кнопку включения/выключения рабочего профиля в шторку.

[Ahen]

EMUI (хуавей) — privatespace.
MIUI (шаоме) — второе пространство.
На других андроидах можно тоже как-то сделать вроде, но нужен пердолинг.

У меня на сяоми настроен вход в основное пространство по одному пальцу, а во второе по другому. Можно по разным графическим ключам входить.
Второе пространство это какбэ второй пользователь, с изолированным хранилищем, с отдельными Гугл сервисами, приложения туда нужно ставить тоже отдельно.
Можно использовать второе пространство когда ну очень нужно кому-то дать воспользоваться твоим устройством, например. Многие, знаю, детям дают поиграть не боясь что чадо что-то там натыкает.

[vikarti]

Samsung — ну в теории Knox (хотя там скорее наоборот важные приложения в Knox folder).
На всех относительно новых андроидах — Work Profile (Shelter вроде этот API и использует).
Плохо что нельзя делать больше одного контейнера.

[singalen]

Отличная идея — вход в аккаунт с фейковыми данными по среднему пальцу.

[EnotP]

Miui

[cyber_dream]

В miui есть "второе пространство". Не знаю точно, как устроено, но все окружение выглядит как другой, голый андроид телефон

[Aelliari]

Это кастомный многопользовательский режим андроида.
Но думаю зачастую подойдет функционал рабочих профилей, без организации — можно использовать shelter/island из маркета, нахожу их отличными. Главное помнить что ни многопользовательский режим, ни рабочие профили не являются full featured sandbox, так что это нужно учитывать

[Evengard]

Изучите Island. https://play.google.com/store/apps/details?id=com.oasisfeng.island&hl=en&gl=US

[Elsajalee]

Половинчатое решение проблемы, настоящие контакты всё равно уходят. Похоже, скоро понадобится более кардинальное open source решение: альтернативная звонилка со своими контактами, которые не используют системные контакты и архивируются на собственный сервер или локально. С другой стороны, «согласно статистике, все умными не окажутся» и ваши контакты всё равно кто-нибудь сольет стороннему приложению.

[braineater]

Так их и специально сливают. Есть приложения специализирующиеся на статистике контактов. Суть в том что они сливают в базу номера и как они записаны и показывают другим. Грубое описание, но надеюсь схема понятна.

[Elsajalee]

Да я в курсе. Интересный факт, что не все люди понимают, как именно это приложение работает: в смысле, что и их адресная книга оказывается в общей БД. Не знаю, как к этому относится. Отчасти хорошо, когда видишь типа «мошенник ...», но есть приложения (сайты) черный-список, которое «получает» номера на которые есть жалобы (спамеры, в основном), а не все контакты. Мне кажется, достаточно только черного списка.
p.s. Мне, когда звонят незнакомые номера с «Здравствуйте, Имярек» с абсолютной уверенностью, что меня так зовут — 99% мошенник\спамер. А если, «Здравствуйте, мне вас порекомендовали...» или «Здравствуйте, вы можете...» и не используют имя, отчество или «относительно скромно» уточняют его — вот тогда обычно по делу.

[RussianBearsBrain]

Гм… предлагаете воскресить Jabber?
Звонить-то тоже придется через эту звонилку.

[isden]

А я вот что на f-droid нашел — https://f-droid.org/en/packages/opencontacts.open.com.opencontacts/.
Никто не пробовал?

[HellKaim]

Действительно, на f-droid есть приложение, которое держит контакты в своей собственной, не системной базе. Но как выше писали — спиок вызовов все рушит.

Так что сегодня единственное решение — второй пользовтатель или т.н. рабочий профиль.

[Ruich]

Не единственное: https://github.com/M66B/XPrivacyLua

[isden]

Там, вроде, рут нужен.

[sim2q]

кажется да, у меня запросило (я не оч в телефонах)

[whyme]

Хороший вариант со своими контактами — simple tools.
f-droid.org/en/packages/com.simplemobiletools.contacts.pro
есть версия в google play, но она платная (в fdroid бесплатно после установки f-droid.org/en/packages/com.simplemobiletools.thankyou, но удалены все блобы google).
Удобна тем, что контакты подтягиваются в других приложениях simple tools ( www.simplemobiletools.com ) — календаре, звонилке и пр.

[baldr]

У меня телефон Xiaomi Mi8 и в нем есть возможность приложениям, которые запрашивают доступ к контактам — сделать вид что доступ есть, но вернуть пустой список.
Я думал это фича андроида.

[selivanov_pavel]

Можете показать, как это в MIUI делается? В своём Redmi 8 такого не нашёл, а было бы полезно.

[baldr]

Возможно это фича MIUI 12 — раньше у меня тоже не было, после прошивки заметил.

[selivanov_pavel]

В MIUI Global 12.0.1 (Redmi 8) не нашёл, у меня запрос разрешений на доступ к контактам выглядит так:

картинка

Вы не могли бы показать, как(и в каком месте) оно предлагает подсунуть пустой список?

[baldr]

Извольте.
Settings — Apps — Permissions — Permissions — Альфа-Банк — Read your contacts

Картинка

[selivanov_pavel]

У меня в Settings — Apps — Premissions — Permissions идут не сами приложения, а список возможных разрешений, внутри которых уже есть приложения, запросившие это разрешение. И для контактов там только варианты Allow/Deny:

картинка

Не подскажите версию MIUI (Settings — About phone) и модель? Для меня весомый аргумент при выборе следующего телефона.

[baldr]

Телефон Xiaomi MI8
MIUI 12.1 20.9.4 Beta
Для этого телефона это последняя версия, вышла в июне, кажется, и больше обновляться не будет.

[selivanov_pavel]

Beta ставили через TWRP Recovery?

Если это есть в beta, можно надеяться, что будет доступно во всех следующих версиях MIUI.

[baldr]

Да, прошивал сам через TWRP.
Но Redmi 8 — тоже старый же девайс и новые версии туда, скорее всего, уже не приедут.
Мне лично Xiaomi, на удивление, понравился (в том числе MIUI, который почему-то ругают). Поэтому следующий смартфон (когда разобью этот) тоже будет, наверное, из их линейки.

[Alcpp]

Многие ставят GetContact(чтобы пробивать чужие номера), который и сливает всю базу, а тут они будут бороться с популярным Клабхаусом.

[Dynamometr]

Есть ещё приложения от банков и МФО, которые тоже тащат базу, и в случае просрочек устраивают террор телефонной книге должника.

[Alcpp]

Интересная новость.

[XanKraegor]

Громкое сочетание «отравленный» фид мне представляется скорее в контексте пентеста: как адресная книга, под завязку забитая забористыми образцами неперевариваемого unicode (в том числе такого, который уже вызывал сбои и креши на разных устройствах) и всех мастей injection'ами под все языки и базы, а не просто фейковыми данными.

[vikarti]

И скормить это Clubhouse -:)

[LuigiVampa]

Интересно кто нибудь уже пробовал одарить сервера дата майнеров и маркетологов списком контактов со всякими паттернами инъекций и прочими сюрпризами?

Вася'; DROP DATABASE -- ...
Петя'; DROP ALL TABLES; -- ...
Коля'; SLEEP(9999999); -- ...

[XanKraegor]

Наверняка :) вектор атаки лежит на поверхности. По сути это типичный и незамысловатый ханипот.

[WondeRu]

1. Как упоминали выше программа под Андроид
2. Clubhouse работает без предоставления доступа к контактам (лично у меня работает), просто я сам не добавляю контакты, а меня добавляют.

[ajaxodessa]

Во-первых, Клабхауз вообще не работает на андроид, а во-вторых на iOS он отлично работает и без доступа к адресной книге.

[sirocco]

Я думал единственная цель — чтоб контакты не утекли, а они всёравно утекут. Ну добавим мусора.., и чего? В итоге то контакт "сигналка авто" и подобные всёравно утекут, будут спамиться и станут известны определённым лицам.

[shavluk]

Да, ладно разве проблема исключить контакты которые больше нигде не встречаются?
Эти фейковые контакты режутся методом исключения на сервере

[denisshabr]

В чём новость последних абзацев? Контактную книгу сливали ещё 10 лет назад все кому не лень, facebook, vk, whatsapp, и сотни других.
Или миллениалы об этом не знают?

[LuigiVampa]

На самом деле, мне кажется, такой подход не решает проблему вообще никак. Мусор в списке контактов не сильно «запутывает» систему, она сможет построить социальный граф и узнать связи между людьми на основе настоящих данных (именно эту цель она и преследует), а фейковые ей мешать вообще не будут, отсеять их можно просто сделав выборку по контактам с более чем 0 связями с другими людьми. Получается что у пользователя подобного приложения будет только ложное ощущение того что он «нагнул систему», хотя на деле всё осталось как было.

Как уже упомянуло несколько человек, самым правильным решением было бы воспользоваться XPrivacyLua через который можно выбранным приложениям разрешить доступ к настоящему списку контактов, звонков, да и другим штукам типа железных идентификаторов устройства, а другим возвращать пустые списки, фейки или нуллы. К сожалению, этот подход требует установленного xposed фреймворка, что не на всех устройствах возможно, и не все захотят подобное себе устанавливать.

Я, устав от спама, завёл себе некоторое время назад не привязанную ко мне сим-карту, завёл под неё гугл-аккаунт, взял свой «рабочий» смартфон с установленным xposed фреймворком, XPrivacyLua и ещё некоторыми свистелками, делающими сбор информации с девайса близким к невозможному. На нём я регистрируюсь во всяких мутных сервисах, ставлю туда приложения которые хотят много обо мне знать, типа программ лояльности, приложений сетей магазинов и прочий шлак. Очень удобный подход, но не для всех

[Shished]

Можно по скрипту сделать файл телефонной книги со всеми номерами всех операторов, импортировать в приложение, а потом удалить все номера.

[tema_sun]

Месяц назад Клабхаус у меня спросил при регистрации про доступ к контактами, я, конечно, отказал. Все работает отлично. Сейчас перепроверил — доступа к контактам у него по прежнему нет.

[titbit]

Да разве это «замусоривание»? Тут простой механизм генерации имен/фамилий, а больше и нет ничего. С современными нейронками и бигдатой можно целые фейковые смартфоны генерировать с полным набором контактов, перепиской, историей звонков, набором софта и даже соц. графом, чтобы все было правдоподобнее. Неужели никто еще не написал такого?

[valkumei]

Не проще ли создать отдельную пииложуху для контактов, которую нельзя ни с чем синхронизировать)?

А вообще это бред, гадить в своем личном пространстве, потому что ты там не единственный хозяин и ничего не можешь с этим сделать.

[LuigiVampa]

Такая уже есть. Неплохая штука. Однако при её использовании ожидаемо теряются возможности интеграции с приложениями звонилки, СМС и т.д. Пользоваться можно, но всё таки не на 100% удобно

[lelik363]

Если не секрет, то какие?