seerozha (seerozha) wrote,
seerozha
seerozha

ИТ: Про "Яндекс.Карты"

Щелкая пальцем по "согласиться c предоставлением информации" при установке новых свистелок и перделок нового приложения на свой смартфон, граждане очень редко задумываются о том, как именно используются эти данные.

Свежий пример от "Яндекс Метро". Вот озадаченный схемой работы гражданин задает резонные вопросы  -

"
С периодичностью раз в несколько минут Яндекс.Метро для Android отправляет на сервера Яндекса вот такие запросы.



В теле запроса указываются:


  • 3 различных идентификатора: clid, uuid и andoid_id;

  • Список mac адресов окружающих wi-fi точек доступа и мощность сигнала;

  • Идентификатор базовой станции опсоса с указанием мощности сигнала.


Сервис Яндекса по сбору «статистики» запускается в фоновом режиме при загрузке телефона и не требует запуска самого приложения для работы. Данные отправляются даже если в настройках телефона стоит запрет на определение местоположения.

В связи с вышенаписанным я хотел бы задать Яндексу пару вопросов:


  • Как связан постоянный сбор информации о моем местоположении с работой Вашей карты метро?

  • Зачем вам круглосуточные сведения о моем местоположении?


Есть также пара предложений:


  • Добавьте, пожалуйста, опцию в настройках приложения, дающую возможность отказа от ваших шпионских услуг;

  • Используйте защищённые протоколы связи, чтобы информация о местоположении миллионов ваших пользователей не собиралась кем попало кроме вас по дороге к вашим серверам.


"
Источник

Специалисты "Яндекса" отвечают ему, мол, часть данных нужна объективно, а часть - отправляется из-за косых рук разработчиков, и более отправляться не будет -

"
То, что приложения Яндекса общаются с серверами Яндекса и передают статистические данные — нормальное поведение, которое описано в пользовательском соглашении. В случае Яндекс.Метро соединение с сетью нужно в следующих случаях:


  • для геолокации пользователя — мы показываем текущее положение на карте метро, позволяя строить маршруты;

  • для обновления карт Метро, что происходит достаточно часто — особенно в Москве;

  • для сбора статистики использования приложения, которая позволяет его улучшать.


Но то, что приложение отправляло данные, будучи запущено в фоне, действительно очень неприятная ошибка. Ещё не разобравшись, в чём причина, мы сразу сказали, что это баг и так быть не должно.
"

Источник

Прмежуточный итог этой истории таков -

"
Возможность определения физического местоположения пользователя может быть порой весьма полезна, если вы сотрудник министерства правды, коллектор или просто криминальный элемент.
"

Подробнее здесь.

Хотя, в принципе, определение координат точки доступа по её параметрам далеко не нова, тут отметился как "Яндекс" (например, через "Яндекс Локатор"), так и империя добра Google (через похожий сервис для разработчиков), и Mozilla (через Mozilla Location Service), и Apple (через https://gs-loc.apple.com/), и еще куча разных контор (например, Wigle).

Припоминаю, и у Wi2Geo/AlterGeo было что-то похожее.

Из личного опыта - в сетевом трафике различных приложений для мобильных устройств, от клиентов соцсетей до банк-клиентов и сетевых игр, пропущенном через прокси (те же OWASP ZAP или Burp Proxy), зачастую обнаруживаются весьма занимательные вещи. И использование http вместо https, конечно, адская некомпетентность, означающая, что информацию о местоположении могли получить и обработать не только в "Яндексе", но и на любых транзитных сетевых узлах, оснащенных коварным или любознательными системными администраторами.
Tags: wifi, ИБ, ИТ
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments