惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

aimingoo的专栏
aimingoo的专栏
V
V2EX
G
Google Developers Blog
F
Full Disclosure
Martin Fowler
Martin Fowler
宝玉的分享
宝玉的分享
H
Hacker News: Front Page
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
NISL@THU
NISL@THU
G
GRAHAM CLULEY
V
Vulnerabilities – Threatpost
Hacker News - Newest:
Hacker News - Newest: "LLM"
A
About on SuperTechFans
The Cloudflare Blog
C
Cisco Blogs
D
DataBreaches.Net
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Vercel News
Vercel News
P
Privacy International News Feed
Microsoft Security Blog
Microsoft Security Blog
Help Net Security
Help Net Security
Recorded Future
Recorded Future
PCI Perspectives
PCI Perspectives
S
Schneier on Security
AI
AI
N
News | PayPal Newsroom
雷峰网
雷峰网
C
Cyber Attacks, Cyber Crime and Cyber Security
P
Proofpoint News Feed
The Last Watchdog
The Last Watchdog
L
LINUX DO - 最新话题
Hugging Face - Blog
Hugging Face - Blog
Apple Machine Learning Research
Apple Machine Learning Research
Schneier on Security
Schneier on Security
S
Securelist
云风的 BLOG
云风的 BLOG
Stack Overflow Blog
Stack Overflow Blog
博客园_首页
AWS News Blog
AWS News Blog
TaoSecurity Blog
TaoSecurity Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Recent Commits to openclaw:main
Recent Commits to openclaw:main
博客园 - 三生石上(FineUI控件)
C
CXSECURITY Database RSS Feed - CXSecurity.com
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Cloudbric
Cloudbric
C
Cybersecurity and Infrastructure Security Agency CISA
Project Zero
Project Zero
C
Check Point Blog
S
Security Affairs

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Цифровая тень: что скрывают под капотом популярные Android-приложения (результаты аудита)
johnick1234 · 2026-04-28 · via Все публикации подряд на Хабре

Уровень сложностиПростой

Время на прочтение6 мин

Охват и читатели559

Аналитика

Привет, Хабр!

Ну вот вы ставите Яндекс Go, жмёте «Разрешить» на всё подряд — микрофон, контакты, местоположение. Такси же, надо. А потом выясняется, что приложение лезет в буфер обмена. 16 раз в разных местах кода. Зачем такси буфер обмена — я так и не понял.

Короче, я взял семь популярных Android-приложений и разобрал их по косточкам. SAST, реверс-инжиниринг, декомпиляция DEX, разбор манифестов, ковыряние в нативных библиотеках. Под раздачу попали: Яндекс Go, Карты, Музыка, Пэй, Телемост, Mir Pay и мессенджер МАКС (бывший ICQ New / VK Messenger).

Спойлер: один мессенджер умеет распознавать ключевые слова прямо в аудиопотоке звонков. Не метаданные, не «кто кому звонил» — а именно слова.

Как проводился анализ

Каждый APK декомпилировался, дальше — статический анализ DEX-кода, ресурсов, манифеста. Что искал: захардкоженные ключи, незащищённые компоненты (экспортированные Activity, BroadcastReceiver, ContentProvider), слабую криптографию, cleartext-трафик. Отдельно — слежка: трекеры, VPN-детекция, fingerprinting, скрытый сбор данных (буфер обмена, контакты, журнал звонков, AudioRecord). За основу взял OWASP MASTG.

Полные листинги CWE и CVSS-скоринг — в PDF-отчётах, ссылки внизу. Тут — выжимка.

Общая картина

93 уязвимости на семёрку. 5 критических, 31 высокая, 42 средних. Но уязвимости — это полбеды. Гораздо интереснее, что приложения делают с вашими данными в штатном режиме, без всяких эксплойтов.

Четыре приложения получили 100/100 по риску слежки. Ещё одно — 95. Относительно тихий только Mir Pay (34/100).

Яндекс: пять приложений, одна философия сбора данных

Яндекс Go (v5.73.1)

ru.yandex.taxi | 111.8 МБ | Target SDK 35

Про буфер обмена я уже сказал. 16 обращений в коде. Контакты — 13. Журнал звонков — 2. SMS — тоже дёргает. Для такси-приложения набор, мягко говоря, избыточный.

Трекеров шесть: AppMetrica (5759 ссылок в коде — нет, это не опечатка), Adjust, Firebase Analytics + Crashlytics, Amplitude, Yandex Streaming Telemetry, RuStore Stats.

VPN-детекция — шесть механизмов. Самый мерзкий — утечка через WebRTC ICE Candidate (879 ссылок в коде). Даже с включённым VPN приложение может вытащить ваш настоящий IP. Кроме того: проверка интерфейсов tun0/ppp0, перечисление NetworkInterface, прямая проверка VPN-состояния (152 ссылки).

Fingerprinting: getDeviceId (42 вызова), AdvertisingIdClient (16), OAID (8), IMEI (3), BSSID (3), оператор сети и SIM. Идентифицируют по всему, до чего могут дотянуться.

18 уязвимостей, 7 высоких. Cleartext HTTP, JavaScript Bridge через addJavascriptInterface, захардкоженные API-ключи в DEX, экспортированная EsiaBindActivity (привязка к Госуслугам — и она экспортирована, CWE-862).

Риск слежки: 100/100.

Яндекс Карты и Навигатор (v28.6.5)

ru.yandex.yandexmaps | 335.2 МБ | Target SDK 35

335 мегабайт навигатор. Ладно, там карты оффлайн, 3D-здания, панорамы. Но посмотрим, что ещё в комплекте.

25 экспортированных Activity — рекорд среди всех семи приложений. Каждая доступна другим приложениям на устройстве (CWE-926). Сверху — 30 экспортированных BroadcastReceiver.

Трекеров семь. YandexAds SDK — 5709 ссылок. AppsFlyer — 600. Это не «аналитика для улучшения продукта», это рекламная атрибуция в полный рост.

Фоновая геолокация: ACCESS_BACKGROUND_LOCATION + ACTIVITY_RECOGNITION + 173 ссылки на geofence. Карты знают, где вы находитесь, даже когда свёрнуты.

12 cleartext HTTP URL, включённый setAllowFileAccessFromFileURLs, 213 строк с потенциальными секретами.

Риск слежки: 100/100.

Яндекс Музыка (v2026.04.1 #141.1rur)

ru.yandex.music | 59.6 МБ | Target SDK 35

В манифесте стоит usesCleartextTraffic=true. Приложение разрешает отправку данных по голому HTTP. На дворе 2026 год. CVSS 8.1 — единственная «критичка» среди яндексовских приложений.

При этом OpenTelemetry endpoint тоже работает по HTTP. Телеметрию о вас гоняют открытым текстом.

5 трекеров. VPN-детекция — пять механизмов, один из них читает /proc/net/tcp напрямую. 9 обращений к AudioRecord, 14 — к буферу обмена.

Риск слежки: 95/100.

Яндекс Пэй (v0.218.1)

com.yandex.bank | 60.3 МБ | Target SDK 36

Финансовое приложение. Работает с деньгами. Network Security Config — отсутствует. Для банковского ПО это CVSS 8.5.

Но вот что по-настоящему удивило: разрешение READ_CALL_LOG. Платёжное приложение хочет знать, кому вы звонили. Рядом — QUERY_ALL_PACKAGES: сканирует все установленные приложения на устройстве. Вместе это складывается в неплохой инструмент для профилирования.

925 ссылок на слабую криптографию (DES, ECB, SHA1) — в приложении, через которое проходят платежи. 322 захардкоженных IP-адреса — рекорд среди всех семи.

4 трекера, AppMetrica доминирует (3569 ссылок).

Риск слежки: 87/100.

Яндекс Телемост (v3.10.0.131)

ru.yandex.telemost | 229.3 МБ | Target SDK 35

Видеозвонки — тут WebRTC нужен по делу. Но 358 ссылок на ICE Candidate leak и 119 на IceCandidate — это за гранью «просто звонков».

Сценарий: вы под VPN, заходите в звонок. WebRTC устанавливает peer-to-peer соединение и опрашивает все сетевые интерфейсы устройства. VPN-туннель «протекает», ваш настоящий IP утекает.

Ещё — разрешение WRITE_CONTACTS. Телемост может записывать в адресную книгу, а не только читать.

В коде класс DeviceFingerprint и захардкоженные адреса Яндекс DNS (77.88.8.8 / 77.88.8.1) — приложение может обходить ваши DNS-настройки.

Риск слежки: 100/100.

МАКС (v26.13.0) — самая неприятная находка

ru.oneme.app | 127 МБ | Target SDK 35

Про остальные приложения можно спорить — мол, трекеры везде, ну и что. Но МАКС — это другой уровень.

KeywordSpotterManager

В коде лежит класс KeywordSpotterManager. Система распознавания ключевых слов в аудиопотоке звонков. Не «кто кому звонил», не «сколько длился вызов». Анализ того, что вы говорите. CVSS 9.0, CWE-359.

Я перепроверил. Класс на месте, ссылки в коде есть, связка с аудиоподсистемой прослеживается. Это три критические уязвимости из трёх — все связаны с аудио.

libtracernative.so

В APK лежит нативная библиотека libtracernative.so. Нативный код на C/C++ работает ниже Java-слоя, его сложнее анализировать и сложнее контролировать средствами ОС. CVSS 8.5.

Телеметрия звонков

6 трекеров: MyTracker (VK/Mail.ru), OneLog, Adjust, AppTracer + DPS/TraceFlow, CallAnalyticsSender, Amplitude.

CallAnalyticsSender отправляет телеметрию звонков через api.ok.ru. Да, сервер Одноклассников получает данные о ваших звонках в МАКСе.

VPN-детекция — 7 механизмов, 625 ссылок на WebRTC leak. Больше, чем у кого-либо ещё.

15 уязвимостей, 3 критические, 7 высоких. Лидер по критическим.

Риск слежки: 100/100.

Mir Pay (v1.61.1.350) — тихий омут

ru.nspk.mirpay | 68.5 МБ | Target SDK 35

На фоне остальных — чуть ли не образец. Один трекер (AppMetrica, 2350 ссылок). VPN не детектит. Fingerprinting минимальный.

Но с безопасностью не всё гладко. Network Security Config отсутствует — для платёжного приложения НСПК это странно. Шифрование — RSA/ECB/PKCS1Padding, подверженное Padding Oracle. Внутри 5 whitebox-реализаций криптографии с тяжёлой обфускацией — видимо, защищают токены. Подход нормальный, но ECB-режим его подрывает.

И вишенка: AdMob SDK в платёжном приложении НСПК. Зачем платёжке рекламный фреймворк — отдельный вопрос.

Риск слежки: 34/100.

Сводная таблица

#

Приложение

Трекеры

VPN-детекция

Скрытый сбор

Риск

1

Яндекс Go

6

Высокий

clipboard, contacts, call_log

100/100

2

Яндекс Карты

7

Средний

clipboard, contacts, audio

100/100

3

Телемост

5

Высокий

clipboard, contacts, audio

100/100

4

МАКС

6

Высокий

clipboard, contacts, audio, KWS

100/100

5

Музыка

5

Средний

clipboard, contacts, audio

95/100

6

Пэй

4

Низкий

clipboard, contacts, call_log

87/100

7

Mir Pay

1

Нет

running_processes

34/100

Что с этим делать

Отказаться от Яндекс Go или Карт мало кто готов, да и не надо. Но ущерб можно снизить.

DNS-фильтрация. AdGuard или NextDNS. Блокируют домены трекеров на уровне DNS — дёшево, быстро, настраивается за пять минут. Трекеров в этих приложениях суммарно за двадцать.

Рабочий профиль. Shelter или Island на Android 14/15 создают изолированный профиль. Приложение внутри него не видит ваших контактов, буфер обмена и файлы из личного профиля.

Разрешения. Отзывайте микрофон, контакты и геолокацию, когда приложение не нужно. Фоновый доступ к местоположению используют 5 из 7 приложений — его стоит убрать первым.

WebRTC. Если через VPN — отключайте WebRTC. В браузере это делается расширением, в приложениях сложнее, но VPN с TURN relay уменьшает утечку.

МАКС и KWS. Тут каждый решает сам. Функционал распознавания ключевых слов в аудио — серьёзный аргумент в пользу альтернативных клиентов или модов.

Отчёты

Полные PDF с таблицами уязвимостей, CWE-кодами, CVSS-скорингом и разбором механизмов слежки:

Методология: OWASP MASTG + SAST + Reverse Engineering.

Автор: JohNick