iPhones.ru

О Path, Hipster и воровстве адресных книг у пользователей iPhone

Роман Юрьев avatar | 11
FavoriteLoading В закладки
О Path, Hipster и воровстве адресных книг у пользователей iPhone

Есть такая поговорка: «Благими намерениями вымощена дорога в ад». Это очень правильное и правдивое наблюдение, не раз доказанное на практике. Например, клиент социальной сети Path с «благими намерениями» и без спроса пользователя загружал всю его адресную книгу из iPhone на сервера сервиса, при этом использовалось незащищенное соединение. Аналогичным образом, как выяснилось, поступает и приложение Hipster, представляющее собой очередную вариацию на тему Instagram. Ну, а теперь давайте рассмотрим возникшую ситуацию детальней.

Для начала поговорим о Path, так как в данном случае конфликт практически исчерпан и есть официальный комментарий по этому поводу. Все началось с того, что программист Арун Тампи (Arun Thampi) в ходе ковыряния iOS-клиента Path обнаружил, что тот в plist-файле отправил на сервера социальной сети всю его адресную книгу. Там можно было найти полные имена абонентов, их электронные адреса, телефоны — вполне достаточно, чтобы информацию считать личной. Более того, все это отправлялось в незашифрованном виде и без спроса пользователя, иначе бы и не поднялся весь этот шум.

Естественно, возмущению энтузиаста не было предела, и он быстренько растрезвонил новость на весь Интернет. Кстати, ковырял он приложение с целью запустить его в среде OS X. Один из основателей Path, Дейв Морин (Dave Morin), быстро прореагировал на действия Тампи и выступил с официальным заявлением, в ходе которого объяснил, что информация бралась с телефонов пользователей ради их же блага и с целью быстро подключить к учетной записи человека его друзей и родственников. Цели-то «благие», но как насчет того, чтобы предварительно спросить разрешения у пользователя?

У Android в этом плане все довольно прозрачно — приложение в любом случае заявляет, к чему оно получает доступ после установки, даже вредоносное ПО так делает — это прописано на системном уровне. Соответственно, избежать проблем можно, просто обращая внимание на требования программы и сопоставляя их с функциональностью. Игре не нужен доступ к службе СМС и платным сервисам на ее основе, и если она его требует, значит что-то здесь не так. В Android-клиенте Path все четко прописано и пользователь сам решает, делиться своими контактами или нет.

Чуть позже Path опубликовала официальное письмо пользователям с извинениями и обещанием выпустить обновленный iOS-клиент, который будет спрашивать разрешения шалить с контактами пользователя. Возникает вопрос — а не нарушает ли приложение какие-то правила Apple и условия пользовательского соглашения? Этот каверзный вопрос не постеснялся задать Морину разработчик Мэтт Геммелл (Matt Gemmell). В ответ соучредитель Path с выражением лица типа Poker face (а может и Trollface) заявил, мол, в правилах App Store четко не прописан пункт относительно использования адресной книги пользователя разработчиками. Что ж, выходит не один клиент Path может «тырить» контактные данные? Вы будете смеяться, но это действительно так!

Буквально на следующий день после шумихи с Path, то есть вчера, стало известно, что приложение Hipster поступает аналогичным образом. Это выяснил профессор в области вычислительной техники Марк Чанг (Mark Chang). Мало того, что программа отправляет пароль пользователя и другую личную информацию, которую он вводит при регистрации, по незащищенному соединению простым текстом, так еще и берет все доступные электронные адреса в списке контактов iPhone. Эти данные тоже отправляются на сервера Hipster в виде простого текста.

Стоит отметить, что при регистрации можно отключить опцию поиска друзей по адресам email пользователя, но ведь по умолчанию она активирована, при этом Hipster никак не уведомляет человека о том, что берет данные прямо из его адресной книги. Создатель приложения пока не прореагировал на исследования профессора.

Понятно, что разработчики хотят улучшить функциональность своих сервисов и при этом не нагружать пользователей лишними телодвижениями, все во благо, но, как упоминалось в начале статьи: «Благими намерениями вымощена дорога в ад». Все должно делаться с умом и максимально прозрачно для пользователя, а то, не ровен час, получим такое вот будущее:

Источники: [Cult of Mac] [Mark Chang]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
Есть такая поговорка: «Благими намерениями вымощена дорога в ад». Это очень правильное и правдивое наблюдение, не раз доказанное на практике. Например, клиент социальной сети Path с «благими намерениями» и без спроса пользователя загружал всю его адресную книгу из iPhone на сервера сервиса, при этом использовалось незащищенное соединение. Аналогичным образом, как выяснилось, поступает и приложение Hipster,...
Здесь можно оставить комментарий! Для этого авторизуйтесь или зарегистрируйтесь на iPhones.ru.

🙈 Все комментарии

Форум →
  1. sponame avatar
    sponame9 февраля 2012
    0

    Шапочку из фольги я уже сделал, теперь нервно удаляю профили.

    nnm1 avatar
    nnm19 февраля 2012
    0

    @sponame, а ведь не зря Витязи носили на голове железный котелок, так что давно пора

    Dargalon avatar
    Dargalon9 февраля 2012
    0

    @nnm1, да, не тот Витязь пошел, не тот…

    3GS_iPhoner avatar
    3GS_iPhoner9 февраля 2012
    0

    @nnm1,
    Авторы ролика заного сняли Я-Робот по книжке Азимова?

    upsoft avatar
    upsoft9 февраля 2012
    1

    @sponame, а-а-а-а-а уберите Like из под статьи >__<

  2. Епифан Залесский avatar
    Епифан Залесский9 февраля 2012
    0

    Видео от продажных Mdq-вижн в конце статьи испортило все впечатление от прочтения оной.

    Роман Юрьев avatar
    Роман Юрьев9 февраля 2012
    0

    @Епифан Залесский,
    А в чем проблема-то с видео? Отличный стёб, ИМХО.

    Епифан Залесский avatar
    Епифан Залесский9 февраля 2012
    0

    @Роман Юрьев, проблема в том, что этот “Отличный стёб” снимается на наши налоги.
    http://ultrazashkvar.livejournal.com/6106.html

    Артур Малосиев avatar
    Артур Малосиев9 февраля 2012
    0

    @Епифан Залесский, ни одного доказательства.

    Епифан Залесский avatar
    Епифан Залесский9 февраля 2012
    0

    @Артур Малосиев, доказательства как раз таки неопровержимые. Архивы слитой почты нашистов, где обсуждают в том числе и бюджеты, выделяемые Дегтяреву, можно скачать без проблем, ссылки есть у op_russia в твиттере и не только. Подавляющее большинство писем проходит DKIM проверку.

  3. progn avatar
    progn10 февраля 2012
    0

    В андроиде разрешение на чтение контактов имеют все социальные приложения, и делать с ними могут все что угодно, в том числе посылать на себе на сервер

Помни о правилах — если начал оффтопить, то не удивляйся потом.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь