Szukam udokumentowanych przypadków malware/trackerów dodawanych przez Google Play.
Zacząłem niespieszną korespondencję z zarządem transportu GZM (Górnośląsko-Zagłębiowskiej Metropolii) na temat udostępnienia ich aplikacji bezpośrednio lub przez F-droida.
Traktuję to jako rozpoznanie walką przed rozwinięciem szerszej kampanii anty-Big5.
Na razie dostałem informację, że
Udostępnienie pliku wynikowego na portalu takim jak F-droid, niesie ze sobą wiele ryzyk. Plik wynikowy APK eksportowany do takiego portalu jest mniej bezpieczny, niż przekazywany do Google Play format AAB. Jest on też łatwiejszy do wykonania reverse- engineering niż AAB.
[…]
Dodatkowo aplikacje dystrybuowane za pośrednictwem takiego alternatywnego źródła nie są podpisywane oficjalnie kontem deweloperskim, co może powodować konflikt pomiędzy środowiskami dystrybucyjnymi (w przypadku posiadania aplikacji zainstalowanej ze sklepu Google Play nie zaktualizuje się przez F-droid i odwrotnie).
Pamiętam z fedi wzmianki o malware i trackerach dodawanych przez Google do softu w Playu. Czy ktoś ma linki do udokumentowanych przypadków? Planuję atak wzdłuż dwóch linii: zagrożenia prywatności, oraz zmuszania do zawarcia umowy z firmą zagraniczną.
Jeśli ktoś by chciał się przyłączyć, albo podpowiedzieć możliwych sojuszników, to będę wdzięczny.
reshared this
noodlejetski, Internet. Czas działać! 🌎, Maciej Makuła, Makary, Grzegorz Cichocki, Wookash, Szescstopni, xlenka, pskt, Licho, Alice Crux, Bimba, Dźwiedziu, Łukasz Horodecki, viq, Jakub Klawiter, agile_sock1819, Michał "rysiek" Woźniak · 🇺🇦, Jakub Iwanowski, Olga Matná-Schrödingerová i jak reshared this.
8Petros [$ rm -rv /capitalism/*]
in reply to 8Petros [$ rm -rv /capitalism/*] • •Panoptykon
in reply to 8Petros [$ rm -rv /capitalism/*] • • •8Petros [$ rm -rv /capitalism/*] likes this.
8Petros [$ rm -rv /capitalism/*]
in reply to 8Petros [$ rm -rv /capitalism/*] • •Dzięki szmer.info/u/TimeNaan@lemmy.wo… mam już wstępną diagnozę tej konkretnej aplikacji.
Chyba będzie o czym rozmawiać z ZT GZM.
Report for pl.assecods.innompa.m2go 1.3.83
Licho
in reply to 8Petros [$ rm -rv /capitalism/*] • • •F-droid nie łyka APK, F-Droid buduje wszystkie apki ze źródeł :)
To znaczy, że nie można tam wgrać APK, trzeba otworzyć źródła i wskazać repozytorium z kodem f-droidowi. Jeśli obawiają się reverse engineeringu to raczej nie dla nich :/
f-droid.org/en/docs/Inclusion_…
Inclusion Policy | F-Droid - Free and Open Source Android App Repository
f-droid.org8Petros [$ rm -rv /capitalism/*]
in reply to Licho • •viq
in reply to 8Petros [$ rm -rv /capitalism/*] • • •viq
in reply to viq • • •Edit: ale to dotyczy tylko aktualizacji, nowi by dostali podmienioną paczkę.
Bimba
in reply to Licho • • •@licho
Sam F-Droid tak, ale można przecież dodać zewnętrzne repozytoria. Więc aplikacja może być zamknięta i jednocześnie dostępna w kliencie F-Droida
@8petros
Licho
in reply to Bimba • • •Bimba
in reply to Licho • • •@licho
Tak. Wygląda, że jeszcze nie
gitlab.com/fdroid/fdroidserver…
gitlab.com/fdroid/fdroidclient…
@8petros
Is App Bundle/Split APK Supported? (#731) · Issues · F-Droid / fdroidserver · GitLab
GitLabBimba
in reply to Bimba • • •@licho
Swoją drogą czy to nie tak, że aab się publikuje, a na telefonie i tak się instaluje apk? Poprawcie mnie, bo dokładnie nie czytałem, ale instalator obsługuje apk, a aab to bundle z wariantami i assetami wg architektury, rozmiaru ekranu, itd. Nie pasuje mi trochę, żeby telefon miał dostawać całość i wyciągać części. To chyba miało też ograniczyć ilość pobieranych danych.
Mam wrażenie, że to jest jakąś próba zasłonięcia się, może wynikająca z nie zrozumienia czegoś do końca?
@8petros
Licho
in reply to Bimba • • •@bimba przyznam, że nie wiem zbyt wiele na temat tego formatu, ale to co mówisz wydaje się mieć sens. Widziałem program do rozpakowywania tego i w środku też jest apk
@8petros
8Petros [$ rm -rv /capitalism/*]
in reply to 8Petros [$ rm -rv /capitalism/*] • — (Internet) •@Internet. Czas działać! 🌎
Puściłem dla rozgrzewki Rentgen, bardzo fajnie przeczesał ch stronę, ale przy pobieraniu screenów przesłał zip zero bajtów i się wyłączył. Czy to może być coś po Waszej stronie?
Dźwiedziu
in reply to 8Petros [$ rm -rv /capitalism/*] • • •Nie muszą nic dodawać, jak kontrolują SDK, platformę dystrybucyjną i OS. (Chyba, że chodzi o malware osób trzecich w GP.)
Signal zrobił tak, że APK od G i z F-Droidowego repo The Guardian Project są kompatybilne.
Może więc rozwiązaniem jest swoje repo?
A jeśli obawiają się RE, to popełnili błąd udostępniając aplikację \s
agile_sock1819
in reply to 8Petros [$ rm -rv /capitalism/*] • • •8Petros [$ rm -rv /capitalism/*]
Unknown parent • •Michał "rysiek" Woźniak · 🇺🇦
in reply to 8Petros [$ rm -rv /capitalism/*] • • •8Petros [$ rm -rv /capitalism/*] likes this.
8Petros [$ rm -rv /capitalism/*]
in reply to 8Petros [$ rm -rv /capitalism/*] • •8Petros [$ rm -rv /capitalism/*] zaznaczył 8Petros [$ rm -rv /capitalism/*]'go stan przy użyciu #NoBig5
8Petros [$ rm -rv /capitalism/*]
2025-06-04 07:24:4
8Petros [$ rm -rv /capitalism/*] zaznaczył 8Petros [$ rm -rv /capitalism/*]'go stan przy użyciu #NoBig5
8Petros [$ rm -rv /capitalism/*]
2025-06-04 07:24:44
Kuba Wołynko
in reply to 8Petros [$ rm -rv /capitalism/*] • • •8Petros [$ rm -rv /capitalism/*]
in reply to Kuba Wołynko • •Kuba Wołynko
in reply to 8Petros [$ rm -rv /capitalism/*] • • •CrashLytics i Firebase Analytics.
To f-droid wyraźnie zaznacza:
“””
We cannot build apps using proprietary tracking/analytic dependencies like Crashlytics and Firebase. Please talk to upstream about an untainted build flavor (either using a FLOSS analytics software like ACRA or by removing Non-Free dependencies completely).
“””
reports.exodus-privacy.eu.org/…
Report for pl.assecods.innompa.m2go 1.3.83
εxodus8Petros [$ rm -rv /capitalism/*]
in reply to Kuba Wołynko • •rozie
in reply to 8Petros [$ rm -rv /capitalism/*] • • •Jeśli chodzi o "inne" sklepy to zdaje się Huawei ma swój i nie korzysta z Google Play. Może z tej strony? Jeśłi dołożą jakiś inny sklep i oderwą się od Google, to łatwiej będzie o kolejne...
rozie
in reply to Kuba Wołynko • • •rozie
in reply to Kuba Wołynko • • •@jwolynko Wspieranie wszystkich, w tym niszowych OS to utopia. Tym bardziej takich przeznaczonych na wąską grupę urządzeń.
To trochę jakby wymagać, żeby każdy soft posiadał wersję na każdą dystrybucję Linuksa, w tym fork Ubuntu o nazwie Srubuntu, dedykowany dla 586.
Kuba Wołynko
in reply to rozie • • •@rozie
To jest właśnie problem jaki rozwiązuję F-droid, dostarczasz im kod źródłowy, ustawiasz cykl wydawniczy i już. Z tego samego repo możesz publikować do Google Play. Spójrz dla przykładu na to co robi Mulldav:
github.com/mullvad/mullvadvpn-…
Nie chodzi też o "części ekosystemu", chodzi o to, że użytkownik może nie chcieć korzystać z Firebasa Analytics i oddawać masy informacji o sobie. Po prostu, w tym wypadku jest do tego zmuszony.
A I tu nie ma rozmowy o wspieraniu wszystkich, tylko o nie zmuszania użytkownika do korzystania z usług podmiotu trzeciego a to jest różnica.
To trochę jak zbudowanie urzędu za bramkami metra. Możesz korzystać, ale najpierw musisz zapłącić za wejście.
bt
... pokaż więcej@rozie
To jest właśnie problem jaki rozwiązuję F-droid, dostarczasz im kod źródłowy, ustawiasz cykl wydawniczy i już. Z tego samego repo możesz publikować do Google Play. Spójrz dla przykładu na to co robi Mulldav:
github.com/mullvad/mullvadvpn-…
Nie chodzi też o "części ekosystemu", chodzi o to, że użytkownik może nie chcieć korzystać z Firebasa Analytics i oddawać masy informacji o sobie. Po prostu, w tym wypadku jest do tego zmuszony.
A I tu nie ma rozmowy o wspieraniu wszystkich, tylko o nie zmuszania użytkownika do korzystania z usług podmiotu trzeciego a to jest różnica.
To trochę jak zbudowanie urzędu za bramkami metra. Możesz korzystać, ale najpierw musisz zapłącić za wejście.
btw ze Srubuntu na 586 jest taki problem, że jak komuś brakuję buildu na swoją platformę to sobie ją zbuduję sam. A do wyboru ma pewnie już, Flathub, Snapy, i właśnie kod źródłowy.
GitHub - mullvad/mullvadvpn-app: The Mullvad VPN client app for desktop and mobile
GitHubrozie
in reply to Kuba Wołynko • • •@jwolynko Ale developer może chcieć korzystać z FA. I nadal wygląda to na ficzer typu ptaszek przy zgodzie, a nie zmiana sposobu publikowania. Jeśli userowi nie odpowiada, to może blokować domenę, na firewallu, korzytać z wersji web. Serio, jeśli komuś nie pasuje jazda autobusem na ropę, to są inne opcje, niż żądanie autobusów elektrycznych.
Podmiot trzeci? A ISP, a Cloudflare itp.? Użytkownik jest zmuszony oddawać dane!!!111oneone
Ad. Srubuntu - nie miałem na myśli softu open source.
Kuba Wołynko
in reply to rozie • • •@rozie I to jest argument, decyzja projektowa, chcemy zrobić rozwiazanie oparte Google, bo tak. Nie umiemy innego, uważamy, że jest najlepsze, jesteśmy świadomi uzależniania użytkownika od dostawcy.
Może blokować, i pewnie to właśnie robi. Ale dalej musi mieć Google Services włączone na swoim telefonie, żeby tej aplikacji używać. A chciałby ją sobie po prostu niezależnie pobrać, bo czemu nie? Na swoją odpowiedzialność, tu nie chodzi o mainstream przecież.
Mam też inną metaforę. Oto twój rower, nie musisz nim jechać, ale musisz go mieć przy sobie. W wózku, na plecach w samochodzie, ale musisz go mieć.
I tak, ogólnie oddajmy masę danych, na szczęście w przypadku ISPow czy Cloudflara, dostają ruch szyfrowany, z anonimowany, tutaj jak ktoś ma problem może korzystać w
... pokaż więcej@rozie I to jest argument, decyzja projektowa, chcemy zrobić rozwiazanie oparte Google, bo tak. Nie umiemy innego, uważamy, że jest najlepsze, jesteśmy świadomi uzależniania użytkownika od dostawcy.
Może blokować, i pewnie to właśnie robi. Ale dalej musi mieć Google Services włączone na swoim telefonie, żeby tej aplikacji używać. A chciałby ją sobie po prostu niezależnie pobrać, bo czemu nie? Na swoją odpowiedzialność, tu nie chodzi o mainstream przecież.
Mam też inną metaforę. Oto twój rower, nie musisz nim jechać, ale musisz go mieć przy sobie. W wózku, na plecach w samochodzie, ale musisz go mieć.
I tak, ogólnie oddajmy masę danych, na szczęście w przypadku ISPow czy Cloudflara, dostają ruch szyfrowany, z anonimowany, tutaj jak ktoś ma problem może korzystać w VPN'a za którego zapłaci BTC, więc da się to obejść jak ktoś bardzo chce ;)
rozie
in reply to Kuba Wołynko • • •@jwolynko Warto doprecyzować co chcemy uzyskać i dlaczego. Użycie ekosystemu Google ma wiele zalet, zarówno z punktu widzenia developerów, jak i bezpieczeństwa. Każdy dodatkowy system/kanał komunikacji to narzut. Więc tak, to decyzja projektowa. Dlatego obok wspominam o Huawei. Są - w przeciwieństwie do GrapheneOS w powszechnym użytku, są Androidem (a nie pochodną). Aplikacja jest na Android nie pochodną.
Rower jest trochę słabą analogią - duży narzut. Lepszą jest gaśnica w samochodzie
rozie
in reply to Kuba Wołynko • • •@jwolynko Co do oddawania danych to warto się zdecydować, kto jest zły, kto nie. Bo Google to także DNSy, podobnie Cloudflare. Cloudflare terminuje TLS, więc ma (może mieć) dostęp do odszyfrowanych danych.
Wiara, że Google/CF akurat dane z FA niecnie wykorzysta, ale danych z innych źródeł (DNS) już nie, jest... mało spójna. Wg mnie prywatność to akurat jest słaby argument w tym przypadku.
Znaczy ja bym odpowiedział, że OK, w takim razie korzystaj z WWW skoro FA wadzi.
Dźwiedziu
Unknown parent • • •@intru
guardianproject.info/apps/org.…
Ciężko żeby nie, biorąc pod uwagę licencjonowanie Signala.
Stało się to zaraz po pierwszym Signalgate.
Tylko Google Play cały czas próbuje podłożyć swój update.
discuss.grapheneos.org/d/19496…
@8petros
Signal now available in fDroid by Guardian Project Repo. Can it be trusted? - GrapheneOS Discussion Forum
GrapheneOS Discussion Forumrozie
in reply to 8Petros [$ rm -rv /capitalism/*] • • •Czemu boją się RE? Jeśli własność intelektualna, to już były rady o informacji publicznej. Jeśli security - nie tędy droga.
W ogóle to zdanie o łatwiejszym RE wygląda na nieprawdziwe. Nie moja bajka i Android dev by się przydał, ale z opisu AAB wygląda na format pośredni, z którego tworzone są APK dla różnych urządzeń, które są dystrybuowane do końcowych odbiorców.
rozie
in reply to 8Petros [$ rm -rv /capitalism/*] • • •Jeszcze: maja coś takiego, może tam (lub w przepisach na które się powołują) coś znajdziesz interesującego transportgzm.pl/documents/dekl…
Przy czym jak patrzę na ten dokument, to mają poważniejsze i łatwiejsze do usunięcia problemy, niż pominięcie Google Play.
Transport GZM
transportgzm.pl8Petros [$ rm -rv /capitalism/*] likes this.
8Petros [$ rm -rv /capitalism/*]
in reply to rozie • •Skupiam się na razie na tym, co rozumiem. Jak dołączą mądrzejsze głowy, to pójdziemy szerszym frontem.
mruczek
in reply to 8Petros [$ rm -rv /capitalism/*] • • •W sumie taka ciekawostka à propos Transport GZM, złożyłom kiedyś wniosek o kopię danych jakie o mnie mają i dostałom odpowiedź że mi nic nie wyślą bo mają tylko email skoro konto jest niespersonalizowane, a to że korzystałom z podróży start/stop i mają historię jakimi autobusami jechałom to tam drobny szczegół
8Petros [$ rm -rv /capitalism/*]
in reply to mruczek • •8Petros [$ rm -rv /capitalism/*]
in reply to 8Petros [$ rm -rv /capitalism/*] • •Kochani,
Dzięki za tę dyskusję. Przyczytuję się z zainteresowaniem i nawet coś tam rozumiem.
Moja perspektywa jest pod nieco innym kątem: (geo)politycznym.
Otóż Big5 (aka GAFAM) mają przemożny wpływ na życie publiczne w Europie i Polsce (reszta świata niech się o siebie martwi, dziękuję) na wielu płaszczyznach. Najbardziej dla mnie widoczne to zmonopolizowanie kanałów komunikacji (w tym dystrybucji oprogramowania) pomiędzy instytucjami publicznymi a nami, użytkownikami państwa czy też naszych mast, miasteczek i wsi.
Jako obywatele/użytkownicy mamy pewne narzędzia nacisku na instytucje, które być może pozwolą nam odepchnę trochę Big5 - jak np. akcja Oliwiera, aby otworzyć kanały RSS BIPów.
Jeśli chodzi o aplikacje wszelkiego rodzaju, zło siedzi oczywiście nie tylko w kanale publikacji (aczkolwiek uważam że bezpośrednia publikacja na strona
... pokaż więcejKochani,
Dzięki za tę dyskusję. Przyczytuję się z zainteresowaniem i nawet coś tam rozumiem.
Moja perspektywa jest pod nieco innym kątem: (geo)politycznym.
Otóż Big5 (aka GAFAM) mają przemożny wpływ na życie publiczne w Europie i Polsce (reszta świata niech się o siebie martwi, dziękuję) na wielu płaszczyznach. Najbardziej dla mnie widoczne to zmonopolizowanie kanałów komunikacji (w tym dystrybucji oprogramowania) pomiędzy instytucjami publicznymi a nami, użytkownikami państwa czy też naszych mast, miasteczek i wsi.
Jako obywatele/użytkownicy mamy pewne narzędzia nacisku na instytucje, które być może pozwolą nam odepchnę trochę Big5 - jak np. akcja Oliwiera, aby otworzyć kanały RSS BIPów.
Jeśli chodzi o aplikacje wszelkiego rodzaju, zło siedzi oczywiście nie tylko w kanale publikacji (aczkolwiek uważam że bezpośrednia publikacja na stronach powinna być domyślną metodą, zwłaszcza jeśli jest ona przypisana do konkretnej instytucji). Podstawą jest otwarty kod i otwarta licencja. W tej chwili szukam takiego wektora ataku, z którego łatwo będzie przejść właśne do tematu otwartych licencji - najpierw w specjalistycznych aplikacjach, potem w stacku używanym przez instytucje.
Mamy niedaleko przykład Bawarii, która już taką zmianę uskutecznia.
Państwo ani samorządne terytorium nie jest biznesem; decyzyjne czynniki ekonomiczne nie powinny mieć pierwszeństwa przed interesem społeczeństwa i racją stanu. To jest linia, wzdłuż której zamierzam się posuwać.
Pozostaje jeszcze bardziej dramatyczny aspekt "higieny cyfrowej", a raczej jej braku, szczególnie wśród dzieci i młodzieży. Uzależnienie cyfrowe i kompletnie nieskuteczne przeciwśrodki, wraz z dominacją Big5 w edukacji, to kolejne pole bitwy o nasze człowieczeństwo.
Ale o tego potrzeba więcej ludzi gotowych do walki. Halo, jesteś tam? Odezwij się!
rabarbar
in reply to 8Petros [$ rm -rv /capitalism/*] • • •Uderzyłeś w ważny temat. Pisz co jakiś czas to spróbujemy pomóc
8Petros [$ rm -rv /capitalism/*] likes this.
rabarbar
in reply to 8Petros [$ rm -rv /capitalism/*] • • •odnośnie podpisu - aplikacja nie musi być podpisywana podpisem fdroida tylko dystrybuowana przez repo "zgodne" z fdroidem.
Wtedy można aktualizować tą samą apkę z różnych źródeł - w tym google play