MalwareBytes, производитель антивирусного ПО опубликовали исследование о том как троянское китайское ПО устанавливается на бюджетных телефонах в США [1], что усугубляется тем что телефоны и вредоносное ПО китайского происхождения, а телефоны UMX U683CL продаются по $35, ниже себестоимости, а часть цены компенсируется правительством США для повышения доступности телефона для малоимущих. На русском языке об этом пишет CNews [2].
Ко всему можно добавить что ПО не просто предустановлено, оно ещё и является "неудаляемым ПО" после удаления которого на системном уровне перестаёт работать обновление прошивки телефона.
Ссылки:
[1] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
[2] https://safe.cnews.ru/news/top/2020-01-13_na_subsidiruemyh_pravitelstvom
#privacy #mobile #china
Ко всему можно добавить что ПО не просто предустановлено, оно ещё и является "неудаляемым ПО" после удаления которого на системном уровне перестаёт работать обновление прошивки телефона.
Ссылки:
[1] https://blog.malwarebytes.com/android/2020/01/united-states-government-funded-phones-come-pre-installed-with-unremovable-malware/
[2] https://safe.cnews.ru/news/top/2020-01-13_na_subsidiruemyh_pravitelstvom
#privacy #mobile #china
Malwarebytes
United States government-funded phones come pre-installed with unremovable malware | Malwarebytes Labs
A US-funded government assistance program is selling budget-friendly mobile phones that come pre-installed with unremovable malicious apps.
Австралийское государственное приложение Coronavirus Australia [1] появилось в Google Play 29 марта [2] и у него уже 580 оценок и 3 звезды.
Российское государственное приложение Мэрии Москвы [3] появилось 25 марта [4] и к нему уже 631 отзыв и оценка в 1 звезду.
Пользователи активно минусуют попытки государства к внедрению всеобщего мониторинга. Но я хочу обратить внимание на другое. Московское приложение, помимо того что сделано "тяп ляп" [5] ещё и сливает статистику в Google Firebase [6] поскольку использует Google Firebase Analytics [7] в своей работе.
Если кто-то хочет задаться вопросом можно ли разрабатывать приложения для Android не сливая статистику и аналитику в Google, то ответ - да, можно. Почему это не было сделано? А вот это и есть важный вопрос, который, я уверен, журналисты найдут время и спросить ДИТ Москвы.
Ссылки:
[1] https://play.google.com/store/apps/details?id=au.gov.health.covid19
[2] https://www.abc.net.au/news/2020-03-29/federal-government-launches-coronavirus-australia-app/12100680
[3] https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround&showAllReviews=true
[4] https://t.me/antidigital/2439
[5] https://t.me/begtin/1841
[6] https://reports.exodus-privacy.eu.org/en/reports/122620/
[7] https://firebase.google.com/
#privacy #coronavirus #moscow #mobile
Российское государственное приложение Мэрии Москвы [3] появилось 25 марта [4] и к нему уже 631 отзыв и оценка в 1 звезду.
Пользователи активно минусуют попытки государства к внедрению всеобщего мониторинга. Но я хочу обратить внимание на другое. Московское приложение, помимо того что сделано "тяп ляп" [5] ещё и сливает статистику в Google Firebase [6] поскольку использует Google Firebase Analytics [7] в своей работе.
Если кто-то хочет задаться вопросом можно ли разрабатывать приложения для Android не сливая статистику и аналитику в Google, то ответ - да, можно. Почему это не было сделано? А вот это и есть важный вопрос, который, я уверен, журналисты найдут время и спросить ДИТ Москвы.
Ссылки:
[1] https://play.google.com/store/apps/details?id=au.gov.health.covid19
[2] https://www.abc.net.au/news/2020-03-29/federal-government-launches-coronavirus-australia-app/12100680
[3] https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround&showAllReviews=true
[4] https://t.me/antidigital/2439
[5] https://t.me/begtin/1841
[6] https://reports.exodus-privacy.eu.org/en/reports/122620/
[7] https://firebase.google.com/
#privacy #coronavirus #moscow #mobile
Google Play
Coronavirus Australia - Apps on Google Play
Official Government Information
Медуза [1], Известия [2], РИА Новости [3] и другие издания пишут о экспертах МВД предлагающих создать мобильное приложение "Мигрант" и включить в него "рейтинг социального доверия". Иначе говоря, наработки приложений "Социальный мониторинг" и "Стопкоронавирус.РФ" МВД явно понравились и решили применить их на трудовых мигрантах.
К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.
Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?
[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html
#mobile #apps #privacy
К сожалению, за всеми этими публикациями нет ни фамилий экспертов, ни первоисточника, ни этого самого прогноза. Мне лично очень интересно как это приложение будут ставить тем у кого нет сотового телефона на Android или iPhone и как будут обязывать устанавливать приложения многочисленных топ-менеджеров европейских и американских компаний в России.
Всё таки они тоже "трудовые мигранты", но они же и граждане других стран. Вступятся ли за их права их правительства и посольства?
[1] https://meduza.io/news/2020/05/29/mvd-predlozhilo-sozdat-prilozhenie-migrant-ustanavlivat-kotoroe-obyazhut-vseh-priehavshih-na-rabotu-v-rossiyu
[2] https://iz.ru/1017094/2020-05-29/mvd-rossii-mozhet-sozdat-spetcialnoe-prilozhenie-dlia-migrantov
[3] https://ria.ru/20200529/1572150359.html
#mobile #apps #privacy
Meduza
МВД предложило создать приложение «Мигрант», устанавливать которое обяжут всех приехавших на работу в Россию
Эксперты МВД предложили рассмотреть возможность создания мобильного приложения, устанавливать которое обяжут всех трудовых мигрантов, приезжающих в Россию. Соответствующее предложение, сообщает РИА Новости, содержится в прогнозе развития ситуации в миграционной…
То что мы наблюдаем сейчас с государственными мобильными приложениями вроде "Стопкоронавирус" или "Социальный мониторинг" - это, очень запоздалый, с задержкой более чем в 5 лет, но неизбежный приход государства в экосистему смартфонов. Также как когда-то с большим запозданием, крайне неумело и до сих пор не осознав до конца, государство приходило Интернет, так и сейчас мобильная экосистема переживает последствия осознания государством его осознания. Под "государством" здесь можно принимать разное, от метафизического Государства с большой буквы как ментальную модель в головах политической элиты, до руководства институционализированных и фактических структур власти.
...
Текст получился слишком большой чтобы целиком публиковать его в телеграм, полный текст у меня в блоге https://begtin.tech/govmobile/
#government #mobile #policy
...
Текст получился слишком большой чтобы целиком публиковать его в телеграм, полный текст у меня в блоге https://begtin.tech/govmobile/
#government #mobile #policy
Ivan Begtin blog
Государственное регулирование экосистемы мобильных приложений
В последнее время мне как-то всё тяжелее даются тексты размышлений длиннее чем в половину страницы, но одну мысль я не могу не выразить, потому что зреет она давно. То что мы наблюдаем сейчас с государственными мобильными приложениями вроде "Стопкоронавирус"…
Правосудие "тяжёлая тема" не только в России, но и в таких странах как США. Юристы стоят дорого, во многом от того что для граждан судебная система более всего напоминает лабиринт. Приложение UnBail [1] переводит судебные разбирательства на язык и форму понятную обывателям, дает пошаговое объяснение судебного процесса и, в принципе, связывает его с сообществом.
Один недостаток, пока это скорее прототип, доступный только после пожертвования команде разработчиков.
И здесь мне хотелось бы сказать что в России оно было бы актуально как никогда.
Ссылки:
[1] https://www.unbail.org/
#justice #mobile
Один недостаток, пока это скорее прототип, доступный только после пожертвования команде разработчиков.
И здесь мне хотелось бы сказать что в России оно было бы актуально как никогда.
Ссылки:
[1] https://www.unbail.org/
#justice #mobile
unBail
unBail | System Reform | Cleveland
unBail helps defendants easily navigate the legal system and access resources through a mobile application
На сайте MIT Technology Review [1] публикация о том что теперь в Сингапуре отслеживание контактов является обязательным и обзор и сравнение мобильных приложений, их технологий и их прозрачность по странам.
У них же там весьма интересная таблица [2] в которой больше информации чем то что показывается в статье.
P.S. России в списке стран и приложений ещё нет
Ссылки:
[1] https://www.technologyreview.com/2020/11/23/1012491/contact-tracing-mandatory-singapore-covid-pandemic/
[2] https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0
#privacy #mobile
У них же там весьма интересная таблица [2] в которой больше информации чем то что показывается в статье.
P.S. России в списке стран и приложений ещё нет
Ссылки:
[1] https://www.technologyreview.com/2020/11/23/1012491/contact-tracing-mandatory-singapore-covid-pandemic/
[2] https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0
#privacy #mobile
MIT Technology Review
Some prominent exposure apps are slowly rolling back freedoms
Singapore was the first country to launch a digital contact tracing app. The government now says it’s going to be mandatory.
С 9 января в США наблюдается резкий всплеск популярности альтернативных мессенжеров и соцсетей. Помимо Telegram'а, это ещё и Signal, CloutHub, MeWe и Rumble.
Источник: Axios (http://axios.com), данные из Apptopia (http://apptopia.com)
#mobile
Источник: Axios (http://axios.com), данные из Apptopia (http://apptopia.com)
#mobile
Алексей Лукацкий пишет [1] про наше исследование о том что государственные мобильные приложения передают данные в другие юрисдикции [2].
Он делает акцент на том что эта практика, вообще-то, нарушает отечественные законы и эти данные подпадают под персональные данные.
А тем временем за последние 3 дня у меня было несколько разговоров на тему: "А можете ли Вы привести примеры когда реально данные передавались и какие?". Я обращаю внимание всех что цель нашего исследования была не обвинить Минцифру или ДИТ Москвы, они творят немало плохого, хорошего или странного, а в, в первую очередь, обратить внимание на нарастающий тренд появления госприложений и последствия этого в виде:
- формирования новой экосистемы государственной слежки
- передачу данных из госприложений в экосистемы AdTech
- полное отсутствие регуляторной политики в этой области.
Но реакции Минцифры или Роскомнадзора или ФСТЭК или даже депутатов именно как регуляторов не последовали, а цель была именно в этом.
Ну а если бы у меня были факты, вернее если я и коллеги, хотели бы сделать акцент на фактах передачи персональных данных, а не на регуляторных проблемах, то прежде чем публиковать доклад эти факты следовало бы направлять в Роскомнадзор, Генпрокуратуру и ФСТЭК так как я ранее делал это с докладом по утечкам общедоступных данных из государственных информационных систем.
А пока давайте я обозначу - с 1 апреля 2021 года станет обязательной предустановка приложений на мобильные устройства.
С этого момента не только компании разработчики этих приложений, но и регулятор утвердивший их список - Минцифры России, Правительство РФ и далее по цепочке берут на себя ответственность за передачу данных в них сторонним компаниям, включая передачу данных в другие юрисдикции.
Выпустим ли мы по ним исследование к 1 апреля? Может быть. А может быть это сделает кто-то ещё, а мы сделаем исследование на другую тему.
Ссылки:
[1] https://lukatsky.blogspot.com/2021/02/google-analytics.html
[2] https://privacygosmobapps.infoculture.ru/
#privacy #regulation #mobile #research
Он делает акцент на том что эта практика, вообще-то, нарушает отечественные законы и эти данные подпадают под персональные данные.
А тем временем за последние 3 дня у меня было несколько разговоров на тему: "А можете ли Вы привести примеры когда реально данные передавались и какие?". Я обращаю внимание всех что цель нашего исследования была не обвинить Минцифру или ДИТ Москвы, они творят немало плохого, хорошего или странного, а в, в первую очередь, обратить внимание на нарастающий тренд появления госприложений и последствия этого в виде:
- формирования новой экосистемы государственной слежки
- передачу данных из госприложений в экосистемы AdTech
- полное отсутствие регуляторной политики в этой области.
Но реакции Минцифры или Роскомнадзора или ФСТЭК или даже депутатов именно как регуляторов не последовали, а цель была именно в этом.
Ну а если бы у меня были факты, вернее если я и коллеги, хотели бы сделать акцент на фактах передачи персональных данных, а не на регуляторных проблемах, то прежде чем публиковать доклад эти факты следовало бы направлять в Роскомнадзор, Генпрокуратуру и ФСТЭК так как я ранее делал это с докладом по утечкам общедоступных данных из государственных информационных систем.
А пока давайте я обозначу - с 1 апреля 2021 года станет обязательной предустановка приложений на мобильные устройства.
С этого момента не только компании разработчики этих приложений, но и регулятор утвердивший их список - Минцифры России, Правительство РФ и далее по цепочке берут на себя ответственность за передачу данных в них сторонним компаниям, включая передачу данных в другие юрисдикции.
Выпустим ли мы по ним исследование к 1 апреля? Может быть. А может быть это сделает кто-то ещё, а мы сделаем исследование на другую тему.
Ссылки:
[1] https://lukatsky.blogspot.com/2021/02/google-analytics.html
[2] https://privacygosmobapps.infoculture.ru/
#privacy #regulation #mobile #research
Blogspot
Google Analytics в мобильных приложениях как угроза нацбезопасности или почему госорганы плюют на ФСТЭК и Роскомнадзор
Блог Алексея Лукацкого "Бизнес без опасности"
Знаете ли Вы что...
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])
Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет
Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics
и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.
Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?
Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app
#mobile #apps #covid19
Германское приложение по отслеживанию контактов при COVID-19 [1]:
- сделано не Правительством Германии, а компанией SAP в консорциуме с 12 компаниями
- при этом продвигается Правительством Германии [2]
- его исходный код полностью открыт [3] и разработка ведется в открытом режиме
- в нем абсолютно нет никаких трекеров [4], включая Google Firebase и Crashlytics (привет Минцифре в приложении которого они есть [5])
Итого:
- данные собираются не государством
- код открыт и вся разработка видна и публична
- трекеров нет
Другие примеры:
- Австрия, приложение Stopp Corona [6], исходный код открыты с апреля 2020 года [7], создатели - Австрийский красный крест. Трекеров нет [8]
- Австралия, приложение COVIDSafe [9], исходный код раскрыт [10], используют один трекер [11] Google Firebase
- Индия, приложение Aarogya Setu App [12], исходный код раскрыт [13], используют те же трекеры что и российское Google Firebase и Google CrashLytics
и так ещё более 20 официальных государственных приложений для отслеживания COVID-19 разрабатываются полностью с открытым кодом. Некоторые включают трекеры, в основном, Google Firebase, но тогда их использование можно увидеть в исходном коде и уже предметно говорить с разработчиками когда это использование необосновано.
Лично я считаю что весь код созданный за средства государственных бюджетов должен раскрываться и мобильные приложения не исключение. Если даже в Марокко это делают [15], то, казалось бы, что мешает Минцифры России начать публиковать код общественно значимых проектов и перевести их разработку в открытый режим?
Ссылки:
[1] https://www.coronawarn.app/en/
[2] https://www.bundesregierung.de/breg-de/themen/corona-warn-app/corona-warn-app-englisch
[3] https://github.com/corona-warn-app/
[4] https://reports.exodus-privacy.eu.org/en/reports/de.rki.coronawarnapp/latest/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.minsvyaz.gosuslugi.stopcorona/latest/
[6] https://play.google.com/store/apps/details?id=at.roteskreuz.stopcorona
[7] https://github.com/austrianredcross/stopp-corona-android
[8] https://reports.exodus-privacy.eu.org/en/reports/164043/
[9] https://covidsafe.gov.au/
[10] https://github.com/AU-COVIDSafe
[11] https://reports.exodus-privacy.eu.org/en/reports/161910/
[12] https://aarogyasetu.gov.in/
[13] https://github.com/nic-delhi/AarogyaSetu_Android
[14] https://reports.exodus-privacy.eu.org/en/reports/140895/
[15] https://github.com/Wiqaytna-app
#mobile #apps #covid19
www.coronawarn.app
Open-Source Project Corona-Warn-App
The website of the open-source project for the Corona-Warn-App. The Corona-Warn-App is an app that helps trace infection chains of COVID-19 in Germany.
Роскомнадзор анонсировал мобильное приложение [1] для ускоренной подачи жалоб граждан на запрещенную информацию.
Как я и говорил ранее, на госприложения этот год будет урожайным. Его вариант для Android'а [2] сейчас помечен как в разработке и поэтому пока не получается стандартными средствами скачать APK файл для анализа на предмет трекеров и разрешений. Разрешения, вернее, можно увидеть и так на странице в Google Play.
Если Вы знаете как скачать APK файл такого приложения и можете помочь инструкцией/инструментом или скачать его и передать на исследование, то можем узнать какие трекеры Роскомнадзора туда запрятал. Или не запрятал, не проверишь не узнаешь.
Буду рад любой помощи, пишите мне в Telegram или на почту ivan@begtin.tech
Ссылки:
[1] https://rkn.gov.ru/news/rsoc/news73388.htm
[2] https://play.google.com/store/apps/details?id=org.rkn.ermp
#privacy #mobile #rkn #roskomnadzor
Как я и говорил ранее, на госприложения этот год будет урожайным. Его вариант для Android'а [2] сейчас помечен как в разработке и поэтому пока не получается стандартными средствами скачать APK файл для анализа на предмет трекеров и разрешений. Разрешения, вернее, можно увидеть и так на странице в Google Play.
Если Вы знаете как скачать APK файл такого приложения и можете помочь инструкцией/инструментом или скачать его и передать на исследование, то можем узнать какие трекеры Роскомнадзора туда запрятал. Или не запрятал, не проверишь не узнаешь.
Буду рад любой помощи, пишите мне в Telegram или на почту ivan@begtin.tech
Ссылки:
[1] https://rkn.gov.ru/news/rsoc/news73388.htm
[2] https://play.google.com/store/apps/details?id=org.rkn.ermp
#privacy #mobile #rkn #roskomnadzor
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Роскомнадзор запустил мобильное приложение для приема обращений граждан
9 февраля 2021 года
Для тех кто задается вопросами о том в чём риски встраиваемых трекеров, большое исследование от цифровой лаборатории ExpressVPN по трекерам использовавших SDK X-Mode [1]
Исследование выявило использование этого трекера в 450 приложениях скачанных совокупно 1.7 миллиардов раз.
Именно с его помощью правительство США следило (а может и следит сейчас) за мусульманскими общинами.
Это сейчас один из главных вызовов для рынка AdTech. Он вырос настолько и создал столь эффективные инструменты коммерческой слежки что уже нельзя говорить о том что "пусть о нас собирают данные, они ведь просто хотят наши деньги". Проблема в том что государства в данном случае могут выступать не только как "этичные регуляторы", но и как неэтичные потребители собираемых данных слежки за собственными гражданами и гражданами других стран.
Ссылки:
[1] https://www.expressvpn.com/digital-security-lab/investigation-xoth
#privacy #xmode #mobile #adtech
Исследование выявило использование этого трекера в 450 приложениях скачанных совокупно 1.7 миллиардов раз.
Именно с его помощью правительство США следило (а может и следит сейчас) за мусульманскими общинами.
Это сейчас один из главных вызовов для рынка AdTech. Он вырос настолько и создал столь эффективные инструменты коммерческой слежки что уже нельзя говорить о том что "пусть о нас собирают данные, они ведь просто хотят наши деньги". Проблема в том что государства в данном случае могут выступать не только как "этичные регуляторы", но и как неэтичные потребители собираемых данных слежки за собственными гражданами и гражданами других стран.
Ссылки:
[1] https://www.expressvpn.com/digital-security-lab/investigation-xoth
#privacy #xmode #mobile #adtech
Expressvpn
ExpressVPN’s Research on Smartphone Location Tracking | ExpressVPN
Investigation Xoth is the ExpressVPN Digital Security Lab’s research into smartphone location tracking. Read about its findings here.