Эта статья полна лучей зла. Недавно я скачал себе Uber. Приложение понравилось всем, кроме того набора разрешений, который попросил себе дать.
Список разрешений, которые нужны для работы приложения, можно узнать из файла «AndroidManifest.xml» внутри APK. Вначале мы видим только мусор:
Однако на помощь нам приходит утилита xml-apk-parser.
Теперь мы можем видеть список разрешений в явном виде:
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION">
</uses-permission>
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION">
</uses-permission>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE">
</uses-permission>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE">
</uses-permission>
<uses-permission android:name="android.permission.CALL_PHONE">
</uses-permission>
<uses-permission android:name="android.permission.CAMERA">
</uses-permission>
<uses-permission android:name="android.permission.GET_ACCOUNTS">
</uses-permission>
<uses-permission android:name="android.permission.INTERNET">
</uses-permission>
<uses-permission android:name="android.permission.MANAGE_ACCOUNTS">
</uses-permission>
<uses-permission android:name="android.permission.READ_CONTACTS">
</uses-permission>
<uses-permission android:name="android.permission.READ_PHONE_STATE">
</uses-permission>
<uses-permission android:name="android.permission.USE_CREDENTIALS">
</uses-permission>
<uses-permission android:name="android.permission.VIBRATE">
</uses-permission>
<uses-permission android:name="android.permission.WRITE_SETTINGS">
</uses-permission>
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE">
</uses-permission>
<uses-permission android:name="com.google.android.providers.gsf.permission.READ_GSERVICES">
</uses-permission>
<permission android:name="com.ubercab.permission.C2D_MESSAGE" android:protectionLevel="0x00000002">
</permission>
<permission android:name="com.ubercab.permission.NOTIFY_ACTION" android:protectionLevel="0x00000002">
</permission>
<uses-permission android:name="com.ubercab.permission.C2D_MESSAGE">
</uses-permission>
<uses-permission android:name="com.google.android.c2dm.permission.RECEIVE">
</uses-permission>
<uses-permission android:name="android.permission.WAKE_LOCK">
</uses-permission>
Какого черта? Приложение для поиска такси хочет доступ к моей камере, к моим телефонным звонкам, к соседям по wifi и тому подобным вещам? Погодите, дальше веселее.
public void run()
{
Looper.prepare();
InAuthManager.getInstance().updateLogConfig(this.val$URL, this.val$acctGUID);
InAuthManager.getInstance().sendAccountsLog(this.val$transID);
InAuthManager.getInstance().sendAppActivityLog(this.val$transID);
InAuthManager.getInstance().sendAppDataUsageLog(this.val$transID);
InAuthManager.getInstance().sendAppInstallLog(this.val$transID);
InAuthManager.getInstance().sendBatteryLog(this.val$transID);
InAuthManager.getInstance().sendDeviceInfoLog(this.val$transID, true);
InAuthManager.getInstance().sendGPSLog(this.val$transID, true);
InAuthManager.getInstance().sendMMSLog(this.val$transID);
InAuthManager.getInstance().sendNetDataLog(this.val$transID);
InAuthManager.getInstance().sendPhoneCallLog(this.val$transID);
InAuthManager.getInstance().sendSMSLog(this.val$transID);
InAuthManager.getInstance().sendTelephonyInfoLog(this.val$transID, true);
InAuthManager.getInstance().sendWifiConnectionLog(this.val$transID);
InAuthManager.getInstance().sendWifiNeighborsLog(this.val$transID);
}
});
Куда все это отсылается? Зачем? Что-то я не припомню, чтобы давал кому-то в Uber разрешение читать мои SMS сообщения.
Кому интересно, может посмотреть код здесь. Особенно мне понравился метод hasHeartbleedVulnerability(). Зачем им это знать?
Идем дальше.
Видите? Stericson.RootTools
Uber проверяет, есть ли на вашем устройстве рут и отсылает кому-то эту информацию. Он также ищет разную malware, отслеживает активность некоторых приложений и занимается другими интересными вещами.
Я не делаю однозначных выводов. Возможно, я просто параноик. Будьте осторожны.
Via geronsec.com
Автор: sain
Как девелопер я тоже следил за инфо..просто часто люди имеют сustom rom и потом шумят але crashing…тут и просматриваются логи чтобы негадать в чем дело