Яндекс facebook: Создайте логин, чтобы не потерять доступ ко всем преимуществам Плюса

Яндекс наступает на грабли Facebook, запрашивая полный доступ к вашим смартфонам (feat. DTF) — Офтоп на DTF

От редакции Ситуацию прокомментировала пресс-служба «Яндекса». В заметку добавлен её ответ.

10 712 просмотров

Кто-то считает встраивание таких метрик хорошей идеей? Давайте разбираться.

Обновление: комментарий «Яндекса»

Такое уведомление могло появляться у некоторых пользователей устройств на Android 12, имеющих root-доступ, из-за проблемы в алгоритмах проверки на стороне AppMetrica. Мы исправили проблему в обновленной версии AppMerica 4.2.0.

Наличие root-прав на устройстве AppMetrica определяет для того, чтобы владельцы приложений могли учитывать эту информацию для аналитики и поиска ошибок в приложениях. Например, при определенных условиях пользователи с root-доступом могут использовать подписку без оплаты или повышать свой рейтинг в игре, и так далее. Никаких чувствительных данных ни о приложении, ни о его пользователях при этом AppMetrica не запрашивает и не получает. Безопасность данных наших пользователей и партнеров подтверждена международной сертификацией и соответствует мировым стандартам информационной безопасности.

Ксения, внешняя пресс-служба «Яндекса»

Оригинальный текст

Предисловие

В 2018 году официальное приложение Facebook здорово напугало пользователей Android, когда от его имени пошли запросы на выдачу прав суперпользователя (root), позволявших программе делать со смартфонами всё что угодно.

@facebook asking for root permission? 🤦‍♂Time to dive into that APK!

@facebook запрашивает права суперпользователя? 🤦‍♂ Пора покопаться в этом APK-файле! — Nikolaos Chrysaidos, руководитель отдела мобильных угроз и безопасности компании Avast, запустил в Твиттере тред с объяснением причин подозрительного поведения приложения Facebook.

Когда жалоб стало слишком много, представитель Facebook вышел на связь и заявил, что всплывающее окно с запросом root-прав просто «ошибка в коде», от которой благополучно избавились.

Нам не нужны (и не хотелось получать) эти права [суперпользователя], и мы уже исправили эту проблему. Приносим извинения за вызванный сумбур.

Представитель Facebook, в ответ на запрос ресурса Bleeping Computer

Эта история стала лишь еще одним случаем в череде крупных скандалов, связанных с конфиденциальностью и защитой персональных данных пользователей социальной сети Facebook.

А как с этим у нас?

В том же десятилетии российские компании, напротив, очень редко фигурировали в заголовках новостных сводок на тему слежки или превышения полномочий в своих мобильных приложениях. Из событий тех лет можно вспомнить разве что, как в 2015 году на Хабре появилась заметка с вопросами к мобильному приложению «Яндекс.

Метро», которое безо всякой на то причины и без предупреждения круглосуточно собирало и отсылало на свои сервера геолокацию устройства со списком идентификаторов, по которым не составляет труда выйти на его владельца. Вот какой ответ тогда пришел из команды Яндекса:

То, что метро отправляет эти запросы в фоновом режиме — это явный баг ‹…› Исправим в ближайшем релизе ‹…› Если не учитывать бага со сбором данных в фоне, то, на мой взгляд, сбор данных о локации для приложения с функционалом карты не является шпионством.

roottony, Разработчик приложения Яндекс.Метро

При этом без ответа оставался вопрос, как встроенная минимум в пять приложений Яндекса (Карты, Транспорт, Такси, Электрички, Метро) служба, занимающаяся сбором и отправкой данных о местоположении с привязкой ID, могла появиться из обычного бага.

Через неделю Яндекс решил постоять за свою репутацию и выложил в своем блоге публикацию с разбором «странностей в работе Яндекс. Метро», где ответил на некоторые вопросы. Суть поста сводилась к следующему:

• Приватность пользователей очень важна для нас
• Работа службы вне приложения — баг, такого не будет
• Без службы никак, а о запросах вас предупреждали в пользовательском соглашении

Правда на главный вопрос ответ появился не в самом материале, а в комментариях, лишь со второго раза:

anton — менеджер проектов «Яндекса» Антон Волнухин

По этой логике главным виновником ситуации можно признать тот же Google за несовершенную реализацию разрешений приложений в тогдашнем Android и оттого вынужденные костыли. Вопрос закрыт.

¿Happy End

Повод для нового поста в корпоративном блоге?…

С тех пор многое изменилось. Появились новые разрешения на геолокацию в Android, мобильные приложения стали получать приставку «супер-», а в 2022 году Яндекс решил наступить на грабли вслед за Facebook.

Прошу извинить за шакалистое качество, тогда и не думал сохранить оригинал снимка экрана

Сразу уточню, Magisk (обобщенно говоря, провайдер root-прав) известен немалому числу пользователей Android, в том числе из СНГ; не является чем-то диковинным или опасным сам по себе, у него открытый исходный код и не подпорченная репутация, в отличие от ряда неофициальных модификаций клиента VK, «правильных» пересборок MIUI и прочего неочевидного зловреда с отечественных технофорумов. Но речь сегодня не о нем.

Итак, в конце января 2022 года на мои устройства (на базе Android) стали приходить оповещения от Magisk, что такие приложения Яндекса, как Браузер (com.yandex.browser, предустановлено в систему производителем смартфона), Я.Маркет (ru.beru.android, прямиком из Play Маркет), Яндекс (ru.yandex.searchplugin, предустановлено), Яндекс Go (ru.yandex.taxi, прямиком из Play Маркет) и Карты (ru.yandex.yandexmaps, предустановлено), запрашивают права суперпользователя (root).

Перечень приложений, которые запрашивали права суперпользователя. Magisk 24.0

Списать на внезапный троян возникшую ситуацию не удалось. После незатейливой декомпиляции приложений (скачанных из Play Маркета) я обнаружил, что в некоторых файлах четко указано рыскать по смартфону в поиске приложений для root-прав (например,

SuperUser.apk) и вызывать команду su для root по какой-то своей внутренней логике.

Забегая вперед, скажу, что практика отслеживания потенциальных уязвимостей на смартфонах не нова, вот уже несколько лет этим занимаются некоторые приложения банков, чтобы уведомить своего клиента мол «смотри, у тебя на телефоне можно выдавать root-права, будь осторожен, не давай их кому попало, а то деньги уведут, и мы ничего не сделаем». Сегодняшняя история отличается от повсеместной практики тем, что приведенный банковский «функционал антивируса» сам не начнет запрашивать у тебя эти самые root-права, поскольку иначе станет в один ряд со зловредами.

Почему бы просто не написать в Яндекс? Хочешь хайпа?

Я понимаю, что если сразу обращаться к саппорту крупной IT-компании без какой-либо огласки, то с высокой вероятностью получу отписку, что всё это — неправильная трактовка их кода, результат вирусов у меня в телефоне и вообще со стороны разработчиков не сделано ничего недопустимого.

Да, предвкушаю контраргумент, что и с шумихой любой IT-гигант сможет публично оправдаться заботой о безопасности и сохранности [чего-угодно] пользователей, и всё это не имеет смысла. Но попытаться стоит. Я убежден: любая неочевидная метрика, резко и без основания пытающаяся заполучить полный доступ к смартфону, ничем не отличается от зловреда, против которого и созданы антивирусы.

А поскольку приложения с этой встроенной метрикой выходят в Play Маркете и других каталогах приложений, команды должны раскрывать и обосновывать их действия ничуть не меньше, чем все остальные разработчики. Тем более, если приложениям уже мало тех системных разрешений, которые они открыто просят у пользователей.

Вышеназванные практики внутри службы метрики Яндекса, встроенной в приложение DTF для Android

В обоих случаях код, вызывающий команду su, приводится в файлах службы метрики Яндекса, но теперь он замечен не только в собственных сервисах Яндекса, но и у DTF.

Вместо заключения

Уверен, что я не первый человек, который с января получал такие запросы от приложений Яндекса, но пока не нашел в блогах Яндекса какого-либо опровержения или обоснования этому поведению.

Также, пока писал заметку, наткнулся на глоссарий AppMetrica (платформа Яндекса), где говорится о том, что в отчёте может предоставляться информация, «имеет ли устройство root-access».

Скриншот со страницы Яндекса

Повторюсь, что я не высказываюсь против идеи уточнения метриками наличия root-прав на смартфонах. Однако, как показывает практика, ничто не мешает это реализовывать и без выполнения опасных команд.

Как? Обратиться к опыту банковских приложений и утилиты Momo, последняя не просто определяет, есть ли root или нет, но и объясняет, на основании каких признаков сделан вывод.

интервью с разработчиком, который вернулся работать в Россию

В интернете много красивых историй о том, как разработчик в поисках возможностей для профессионального роста уехал работать в США или Европу. Вот вам красивая история наоборот: российский программист несколько лет работал за границей и принял решение вернуться в Россию.

Мы поговорили с Александром Дворниковым о том, чем он занимался в лондонском Facebook и почему решил вернуться и присоединиться к Яндексу.

Александр Дворников

старший разработчик в Яндекс.Почте

— Александр, расскажите, как вы оказались в Лондоне?

— Мне всегда было интересно узнать, каково это — жить и работать в другой стране. И вот в 2017 году появилась возможность переехать в США или Великобританию. В Штаты я проиграл визовую лотерею H-1B, поэтому мы с супругой выбрали Лондон. После успешного прохождения всех этапов интервью меня приняли в Facebook, где я продолжил заниматься мобильной разработкой. Если до этого я специализировался на iOS, то на новом месте начал работать над кроссплатформенным ядром React Native.

Переезжали с супругой, плюс кошка. Перед переездом нужно сдать тест IELTS по английскому языку, у меня подготовка заняла 1–2 месяца. Я сдал его до того, как прошёл собеседование — заранее рассматривал возможность переезда и решил немного облегчить себе задачу. Если бы я так не поступил, процесс мог бы затянуться.

С адаптацией в Лондоне проблем не было. Я бы не сказал, что у меня потрясающий английский, но мне его было достаточно, чтобы свободно общаться с коллегами.

— И вот вы оказались в Facebook и начали вливаться в рабочий процесс. Что можете рассказать про условия работы и атмосферу в компании?

— Из интересных вещей: шведский стол три раза в день, несколько кафе, парикмахер прямо на этаже, за счёт компании можно приобрести велосипед или абонемент в фитнес-центр. Все приводят своих друзей и родственников в гости. Правда, в лондонском офисе, например, не было спортивного зала, мне этого не хватало.

В Facebook сильно развита автономность: менеджер принимает участие в твоей работе, но скорее как консультант, а не как человек, который непосредственно ставит тебе цели и задачи. Индивидуальные цели достаточно гибкие — ты можешь поставить себе в начале одну цель, а дальше, уже по ходу полугодия, прийти к чему-то, возможно, совершенно другому, но не менее важному. Главное — измеримый результат.

Я попал в очень сильную команду — собрался коллектив разработчиков с разносторонним опытом. Кто-то до этого работал в Apple над ядром iOS, кто-то получил PhD, проводя исследования в области компиляторов. Я многому научился у коллег, за что им очень благодарен.

— А можете поподробнее рассказать про то, чему вы научились, работая в Facebook?

— Первая особенность Facebook, которая приходит на ум, — открытость и готовность к изменениям. В компании ты постоянно открываешь для себя новые, пока неизвестные тебе области знаний, технологии и задачи.

Эта особенность проявляется уже с первых дней. Для нового сотрудника работа в Facebook начинается с шестинедельного интенсива, цель которого — познакомить тебя с инфраструктурой компании и дать понять, как всё устроено внутри. Ты можешь прийти на должность разработчика, дата-инженера или менеджера, но в ходе интенсива тебе, возможно, придётся решать задачи, не связанные с твоей специализацией напрямую. Это здорово расширяет горизонты. Бывает, что после этих шести недель человек решает дальше работать в совершенно новой для него области — просто потому, что она его заинтересовала.

Главное тут — желание и умение быстро учиться. Более того, горизонтальные перемещения внутри компании всячески поощряются. Абсолютно нормально, когда по истечении четырёх лет у сотрудника за плечами есть опыт работы как над продуктами, так и над инфраструктурными задачами в бэкенде, вебе, на мобильных.

Проработав два года в Facebook, я на себе ощутил, насколько важна эта культура открытости и готовности к новому. Каждый из сотрудников обладает универсальным набором навыков, которые позволяют небольшими силами двигать с места достаточно объёмные и сложные задачи. Хотелось бы сохранить и продолжить развивать в себе эти качества.

— Судя по тому, что вы рассказываете, вам нравилось работать в Facebook. Почему тогда вы приняли решение уехать из Лондона?

— Лондон — интересный город, но через пару лет мы стали от него уставать. Это огромный, шумный и густонаселённый мегаполис, в котором мы с супругой чувствовали себя неуютно. Начали перебирать варианты: переехать в Штаты в рамках Facebook, посмотреть что-то ещё в Европе или вернуться в Россию. Я уже работал в Яндексе в 2013 году, ещё до переезда в Лондон, мне там нравилось, поэтому этот вариант был одним из очевидных.

Собеседования как в европейские компании, так и в Яндекс прошли успешно. В итоге мы приняли решение вернуться в Россию. Во-первых, здесь есть перспективы и возможности самореализации не только для меня, но и для моей супруги. Во-вторых, в России остались родные и близкие. В-третьих, в Яндекс.Почте мне предложили очень интересный проект. Мне понравилось, что задачи, которые предстояло решать в Яндексе, затрагивают множество технологий — они не ограничиваются только мобильными.

— Какие конкретно задачи вы решаете в Яндекс.Почте?

— Почтовый сервис — это достаточно понятный инструмент, к которому все давно привыкли. Но к моменту моего возвращения в Яндекс.Почте собрался дружный и сильный коллектив с интересными и смелыми идеями, как сделать продукт лучше.

Задач очень много. Есть задачи, традиционные для мобильных: например, ускорение перформанса и работа с пушами. Есть более специфичные штуки, которые связаны с технологиями Яндекса. К примеру, в Почте появился переводчик, совсем недавно добавили поддержку SpeechKit’а и технологий голосового ввода, прямо сейчас коллеги занимаются автоматизацией тестирования с применением ИИ и нечётких алгоритмов. Результаты необходимо посчитать и проверить, насколько подтвердилась та или иная гипотеза. Для этого мы используем A/B тестирование и мощные инструменты для работы с аналитикой. По сути, каждый разработчик в команде — немного data scientist.

Что касается меня, то я продолжаю заниматься тем, что меня так увлекло в Facebook, — инфраструктурными задачами на iOS и Android. Прямо сейчас мы с коллегами работаем над объединением логики ядра синхронизации на мобильных. Понятно, что нужно учесть особенности каждой из платформ. Задача усложняется тем, что необходимо поддержать все последние оптимизации, связанные с ускорением производительности приложения. А ещё не забыть про работу с офлайн-операциями, которые являются одной из ключевых особенностей мобильной почты. Для кроссплатформенности был предложен новый подход, который уже применяется для решения других задач, например в области автоматизации тестирования. Мы рассказывали о самой технологии на одном из предыдущих докладов Mobile Party и планируем в дальнейшем рассказать ещё.

Вы говорили, что в 2013 году, ещё до релокации в Лондон, уже работали в Яндексе.

Как вам кажется, компания сильно изменилась с тех пор?

Безусловно, за эти годы компания очень выросла. Это касается многих вещей. Когда я присоединился к Яндексу в 2013 году, команда мобильной разработки была совсем небольшой. Сейчас мобильные технологии — одно из ключевых направлений для компании. Огромное количество людей из офисов Яндекса в разных частях России работают над несколькими десятками приложений, которые составляют единую экосистему. Подобному росту способствовало появление и развитие мощных инструментов внутренней инфраструктуры, аналитики, коммуникации и тестирования. Они ускоряют процесс разработки, делают его удобнее и открывают возможности для новых экспериментов.

Изменились и внутренние процессы. Сейчас новые разработчики в поисковом портале Яндекса проходят через Буткемп — интенсив, во многом схожий с тем, который внедрён в Facebook. Ребята в течение восьми недель пробуют себя в разных командах и узнают компанию изнутри, а потом выбирают, в каком коллективе и над какими задачами им хотелось бы работать в дальнейшем. Это отличная возможность расширить кругозор и познакомиться с разными людьми и подходами.

Вернувшись спустя два года в Россию, я был поражён тому, как глубоко Яндекс проник во все сферы жизни. Алиса, Еда, Драйв — за примерами далеко ходить не надо. Компания не боится экспериментировать и умеет использовать существующие технологии для создания новых сервисов, делающих жизнь удобнее. Это то, что делает Яндекс Яндексом. И это то, что не было бы возможно без людей в компании, которые, как и 6 лет назад, полны азарта и интереса к задачам, спорят и находят пути для их реализации.

— И Яндекс, и Facebook — компании, которые считаются престижными работодателями для разработчиков. У вас есть опыт успешного прохождения отбора в обе компании. Расскажите немного про то, как проходят собеседования и из каких этапов они состоят?

— Я успел посмотреть, как устроен процесс найма разработчиков в обеих компаниях и снаружи, и внутри. На мой взгляд, у собеседований в Яндекс и Facebook очень много общего. Процесс начинается с общения с сотрудником HR. За ним следует одно или несколько скрининг-интервью по Skype с написанием кода. Если всё прошло хорошо, то кандидату предлагают onsite-интервью, которое обычно состоит из 4–5 секций. На секциях обязательно будут как алгоритмические, так и архитектурные задачи.

Есть и небольшие отличия. У мобильного разработчика на собеседовании в Яндексе обязательно будет отдельная секция по платформе. На ней проверяют, насколько глубоко человек понимает язык, фреймворки и особенности iOS и Android. В Facebook уделяют внимание скорее общим познаниям в области Computer Science, но при этом есть отдельная секция Cultural Fit Interview — на ней задают вопросы о предыдущем опыте и роли в команде. В целом собеседования в обеих компаниях устроены очень похоже. Главный совет — хорошо готовиться и усердно тренировать решение алгоритмических задач.

Если сравнивать работу в обеих компаниях, есть ли что-то такое в Яндексе, чего вам раньше не хватало в Facebook?

Вернувшись в Яндекс, я осознал, насколько для меня, оказывается, важно, чтобы вся команда и коллеги находились рядом. В Facebook я участвовал в проекте, над которым мы работали совместно со смежными командами в США. Разница во времени между нами была 8 часов. Это создавало определённые сложности, связанные как с асинхронной работой и коммуникацией, так и с work-life balance. Наиболее тёплые воспоминания у меня связаны с теми моментами, когда мы приезжали друг к другу в гости в командировку. Трудясь бок о бок, удавалось в короткие сроки добиться гораздо большего.

Команда, в которой я сейчас работаю, находится в Санкт-Петербурге. Мы все сидим друг рядом с другом, рабочие вопросы решаются очень быстро. В коллективе сложилась особая атмосфера: очень дружные коллеги, все на одной волне. Мы часто встречаемся и за пределами работы, выезжаем за город. В конце августа все вместе ездили на неделю в сочинский офис. Мы не только продуктивно поработали, но и успели хорошо отдохнуть, увидеть горы, искупаться в море — было здорово!

‎Яндекс Ключ – ваши пароли в App Store

Описание

Яндекс Ключ — аутентификатор, генерирующий одноразовые пароли (OTP) для Яндекс, Facebook, Google, GitHub, Dropbox, Vk.

com и других сервисов с двухфакторной аутентификацией (2FA). Чтобы войти в Яндекс, введите этот одноразовый пароль вместо обычного пароля, а для входа в другие сервисы — своим обычным паролем.

— Несколько цифр или отпечаток пальца
Больше не нужно придумывать сложные пароли для защиты своего аккаунта на Яндексе. Всего нужно запомнить от 4 до 16 цифр: по ним Яндекс Ключ сгенерирует уникальный одноразовый пароль, действительный меньше минуты. Или вы можете использовать Touch ID и просто приложить палец вместо ввода булавки.

— Защита данных
Яндекс Ключ защищает ваш аккаунт от взлома и кражи вашей личной информации. Одноразовые пароли будут доступны только вам, на вашем мобильном устройстве.

— Простая настройка
Вы можете добавить учетные записи вручную, введя данные из сервиса, который хотите использовать, или автоматически, отсканировав QR-код, предоставленный этим сервисом.

— Использование в автономном режиме
Яндекс Ключ не требует подключения к интернету для добавления аккаунтов и генерации одноразовых паролей, а также не нужно ждать смс с паролем.

— Дополнительные возможности
Ключ может генерировать шести- и восьмизначные пароли, в зависимости от требований сервиса. Кроме того, Ключ может обновлять одноразовые пароли с разной периодичностью, не обязательно раз в 30 секунд (это зависит от сервиса).

— Стандарты безопасности
Яндекс Ключ поддерживает двухфакторную аутентификацию (или двухэтапную проверку) на всех сервисах, использующих RFC 6238 и RFC 4226, кроме сервисов, использующих только смс.

— Резервное копирование
Сделайте резервную копию данных в Яндекс Ключе на серверах Яндекса, чтобы использовать в случае, если что-то случится с вашим устройством. Это безопасно: ваша резервная копия зашифрована паролем, который знаете только вы.

Подробности на https://ya.cc/2fa-en

14 декабря 2022 г.

Версия 3.1.0

Исправлены ошибки и улучшена производительность

Рейтинги и обзоры

38 оценок

Оптимизировать для iOS 13

Приложение для iOS 13 дает сбой. Пожалуйста, исправьте как можно скорее, не могу войти

Пожалуйста, напишите нам на [email protected] — мы постараемся разобраться, что не так.

Довольно приличное приложение для аутентификации

Работает с услугами, которые я использую, и имеет функцию резервного копирования, которая использует ваш номер телефона. Так легко переходить с телефона на телефон, приятно.

Большое спасибо за поддержку нашего приложения! Это действительно много значит для нас.

Не убивайте это приложение

Пожалуйста, не убивайте это приложение. Я готов заплатить за это приложение в будущем, если это необходимо. Очень хороший вариант для резервного копирования всех кодов и восстановления

Спасибо за вашу поддержку и отличный вдохновляющий отзыв!

Разработчик, ООО «Яндекс», указал, что политика конфиденциальности приложения может включать обработку данных, как описано ниже. Для получения дополнительной информации см. политику конфиденциальности разработчика.

Данные, связанные с вами

Следующие данные могут быть собраны и связаны с вашей личностью:

• Данные об использовании
• Диагностика
• Другие данные

Методы обеспечения конфиденциальности могут различаться, например, в зависимости от используемых вами функций или вашего возраста. Узнать больше

Информация

Продавец

Яндекс, ООО

Размер

59,7 МБ

Категория

Утилиты

Возрастной рейтинг

4+

Авторское право

© 2022 ООО «Яндекс»

Цена

Бесплатно

• Сайт разработчика
• Тех. поддержка
• Политика конфиденциальности

Еще от этого разработчика

Вам также может понравиться

Взломы социальных сетей — СОЗДАНИЕ АККАУНТА FACEBOOK БЕЗ МОБИЛЬНОГО НОМЕРА В ЯНДЕКСе

Взломы социальных сетей

Random

Все, что вам нужно. Yung iba tinuro, yung iba naman nakuha ko lang sa facebook. Sinubukan ко на юнг иба. Юнг иба нагана Юнг иба хинди. Kung gusto niyong i-try wag niyong gamitin sa main account niyo baka ma-check security at…

# хакер # хаки # помощь # социальные сети # социальные медиахаки

ni только есть яблоки

Ибахаги

 » Перейдите в Chrome/Поиск в браузере mail.