Яндекс «шпионит»

Евгений Строкин сообщает:

Сегодня телефон выдал предупреждение, что на sd-карте осталось мало памяти. Очень удивился, полез проверять. Оказалось, что в корне лежит некий файл stream.wav, в который активно пишется инфа. Послушал - оказалось, что там с микрофона записаны все происходившие события, разговоры, переговоры за последние 2 дня. Проверил планшет - та же хрень. Т.к. планшет у меня под CyanogenMod и рутовый, быстро нашёл причину (см. скриншот). Оказалось, шпионит приложение Яндекс.Навигатор. Сейчас буду курить логи домашнего роутера, благо у меня там freebsd и всё пишется, и смотреть, куда слили мою инфу.

UPD: Ответ Яндекса: «В результате небольших по отдельности ошибок и допущений мы получили серьёзную проблему, из-за которой некоторые люди, увы, потеряли доверие к Навигатору и даже в целом к Яндексу. Мы все и я лично приносим извинения всем, кого эта проблема затронула. »

Суть проблемы, как пояснили Яндексовцы, была в том, что они пытались прикрутить к Навигатору голосовое управление, и в очередном релизе забыли убрать чисто дебаговую функцию — запись лога команд и, собственно, запись фактического голоса, их дающего. Впрочем, верить в это или нет — личное дело каждого.

37 комментариев

  1. Сергей Сентябрь 9, 2015 6:57 дп  Ответить

    Отвратительные моменты стали переживать мы. Кругом всем что то надо узнать. Скоро куплю мобилу, зарутую и отключу там всё! Только Quake2 оставлю. Димон спасибо за инфу.

    • mnogo Сентябрь 10, 2015 11:27 дп  Ответить

      неспроста этот баг , ой неспроста … особенно если учесть последние мировые тренды в виде Виндовоз-10 , и прочих Окейгугл

  2. Евгений Сентябрь 9, 2015 7:32 дп  Ответить

    Мда и яндекс туда же скатился.

  3. Олег Никонов Сентябрь 9, 2015 7:55 дп  Ответить

    Уже и тут http://pikabu.ru/story/odin_iz_polzovateley_facebook_soobshchil_o_tom_chto_obnovlyonnyiy_yandeksnavigator_zapisal_vse_ego_razgovoryi_na_protyazhenii_dvukh_sutok_3631684

    А еще вопрос немного не туда: почему у меня постоянный разлогин? Я логинюсь твиттером, а когда захожу на следующий день(или даже раньше) то приходится вновь авторизовывать приложение. Или так и должно быть?

  4. Михаил Сентябрь 9, 2015 7:56 дп  Ответить

    В свете последних событий даже не удивительно.
    Однако от яндекса такого не ожидал.

    • Ежи Сентябрь 9, 2015 8:33 дп  Ответить

      Каких событий?

  5. Михаил Сентябрь 9, 2015 11:29 дп  Ответить

    В Навигаторе появилась функция, которая позволяет общаться с ним голосом. Разработчики накосячили с записью в файл — и сразу надо поднять ор на весь рунет, что их, бедных, слушают.

    • Bocha Сентябрь 9, 2015 11:32 дп  Ответить

      то есть вы не считаете проблемой, что звук с микрофона дампится в файл без вашего ведома, и «ор», как вы называете распространение информации об этом — это какое-то постыдное действие?

      • Михаил Сентябрь 9, 2015 11:40 дп  Ответить

        Всё ПО Яндекса любит писать логи всего на свете, мне это не нравится. В данном же случае мы имеем косяк, пробравшийся в релиз по недосмотру. Ну не может быть такого, чтобы в логи писалась огромная вавка. Я считаю это проблемой, но не настолько, насколько её раздули СМИ и подхватили обычные пользователи. Я бы понял, если бы в конце заметки было бы написано: смотрите, люди, мои файлы были отправлены на такой-то сервер. Но нет. Заметка написана в стиле «за нами следят», а не «Яндекс опять облажался». Это неправильно, и это постыдно.

        • Bocha Сентябрь 9, 2015 11:49 дп  Ответить

          То, что Яндекс облажался, стало известно намного позже. Версию Яндекса я добавил в свой пост, как только узнал о ней. Никаких оценок происходящему я не давал, как не давали и все, известные мне люди, которые делали перепост открытия Строкина. Может, какие-то сми впрямую обвинили в чем-то Яндекс, но мне это не известно. Как не известно мне и то, почему я должен верить версии впрямую заинтересованного Яндекса и не должен верить версии независимых СМИ. Но, если хотите, вот вам моя оценка: у меня в кармане включился микрофон в телефоне и стал записывать всё, что я говорю — это шпионаж, умышленный или нет. Какие это дало бы возможности тем, кто, скажем, завладел бы моим телефоном — одному Богу известно. Как вспомню, о чем я говорил с людьми и лично и по телефону (не мобильному) за последние два дня, так сразу представляю, как мог бы забыть на совещании свой телефон, а любопытные послушали бы первый попавшийся аудиофайл, не нарочно, а просто, запустив Winamp, который собирает всю музыку на телефоне, и чем она ближе к корню, тем выше она в плейлисте, а, его даже искать на надо, вот он, в корне и лежит — так сразу представляю лавину последствий для себя. В последнюю очередь меня бы интересовало в такой ситуации, нарочно Яндекс подставил меня или нет. И еще меньше меня бы интересовало, ушли эти данные по сети в Яндекс или нет. Можно, в таком случае, пойти еще дальше, заглянуть в Конституцию РФ, во вторую главу, статью 23, пункт второй особенно (чтоб вам не искать: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.»), и на основании этого, при наличии хорошего адвоката доказать в суде, что случайный факап и преднамеренный шпионаж юридически отличаются призрачно.

          • Михаил Сентябрь 9, 2015 12:06 пп 

            Оценку дал сам Строкин. И он обвинил Яндекс. Вместо того, чтобы в первую очередь предположить, что Яндекс облажался, он обвинил их в том, что они «слили мою инфу». Все перепосты содержат цитату Строкина. Люди, которые и так на нервах из-за того, что Гугл, Майкрософт, Эппл за ними следят (и правительство на нервы капает каждый день), получили новую порцию паранойи. Плюс в конце ещё и призыв удалять программу, цитирую, «нахрен». Заметка написана эмоционально и бездоказательно. Восприняли её эмоционально. Опровержение прочитают далеко не все, и осадок останется. Так работает жёлтая пресса, а не техспециалисты.

            Под СМИ я здесь понимаю не газеты-журналы, а интернет-источники попроще. Ни вас, ни кого бы то ни было ни в чём не обвиняю. Мне лишь не понравилась очередная шумиха из ниоткуда в том время, когда есть реальные проблемы.

          • Bocha Сентябрь 9, 2015 12:11 пп 

            Михаил, мне ваша позиция понятна, но я с ней не согласен. Во-первых Строкин там же в камментах тут же подвердил, что никакая информация в сеть не ушла. Во-вторых лично я считаю, что это неважно, потому что уже привел выше соответствующую статью КРФ. На мой личный взгляд тот же скриншоттинг рабочего стола Windows — куда меньшая проблема, чем наличие где-то в потенциально общедоступном месте логов моих разговоров за большой промежуток времени. Мне кажется, что нервничать здесь есть абсолютно все причины, и я не вижу, как тот факт, что это вышло случайно, хоть как-то оправдывает Яндекс. Вы не согласны, я понял, но я считаю вот так.

          • Михаил Сентябрь 9, 2015 12:13 пп 

            Дмитрия, я понимаю ваше негодование, но давайте всё-таки отличать ошибку от преднамеренности. Хотя результат один, это не значит, что нужно обвинять компанию в том, что она не делала. Да, она сделала так, что телефон записывал звук. В этом её можно и нужно обвинять. Она уже забодала косячить на всю страну. Но не нужно обвинять её в шпионаже, пока это не доказали.

          • Bocha Сентябрь 9, 2015 12:19 пп 

            Я действительно не знаю, что сказал бы суд в случае моего примера, является ли это шпионажем в пользу третьих лиц или нет, но последствия были бы для меня, объекта, персональные данные которого вопреки всему, чему можно, попали бы благодаря пускай непреднамеренным действиям Яндекса в руки третьих лиц — совершенно катастрофическими. Меня подслушали и техническими средствами разболтали, намеренно или нет — с точки зрения последствий для меня совершенно не важно. Хорошо, что это лишь вымышленный сценарий, но если бы это произошло, я не вижу другого названия этим действиям.

          • Михаил Сентябрь 9, 2015 12:47 пп 

            Дмитрий, простите за аналогии. В iOS как-то нашли уязвимость, с помощью которой телефон можно было разблокировать без ввода пин-кода. Значит ли это, что Apple внаглую поспособствовала шпионажу за своими покупателями, и на неё нужно было идти подавать в суд?

            Баги в SSL — это тоже шпионаж и суд?

            Повторюсь, что я полностью поддерживаю, что результат в любом случае одинаковый.

          • Bocha Сентябрь 9, 2015 2:59 пп 

            На счет Apple вы передёргиваете — речь, что про Яндекс, что про ваш пример — не идёт про «внаглую». Они предоставили возможность получить такую информацию третьим лицам — да, это серьёзный кейс, ничем не отличающийся от учетчки номеров кредитных карт из PlayStation Network и тому подобного, да, можно идти в суд и добиваться компенсации, всё именно так и есть. На счет багов в SSL — это Свободное ПО, оно предоставляется AS IS и не даёт абсолютно никаких гарантий ни на что, прочитайте лицензию на OpenBSD/OpenSSL. Навигатор Яндекса распространяется под своей собственной лицензией, пункт 5.4 которой жестко нарушен сложившимся кейсом, никто их за язык не тянул — так что при желании — всё тот же суд, совершенно справедливо.

          • Михаил Сентябрь 9, 2015 4:13 пп 

            Дмитрий, погодите. Мы с вами по-разному смотрим на заметку. Вы смотрите на неё с практической точки зрения: видите серьёзную проблему безопасности. Я же смотрю на неё с точки зрения литературно-стилистической: проблема поднята в виде «ололо, мы под колпаком», что с улюлюканьем подхватила масса народа. Вы видите серьёзные последствия (и я теперь вижу), я — клевету. Не знаю… в среде айтишников не принято так себя вести. Можно назвать мудака мудаком, но нельзя распространять слух, что он гей. Извините…

          • Powered by Linux Сентябрь 10, 2015 12:46 дп 

            Честно сказать, я сильно сомневаюсь что, это косяк Яндекса.

            Ну не верю я, что подобный функционал можно тупо забыть выпилить из программы.

            По факту это шпионаж и не важно, умышленный или нет.

            Попади запись твоей лично жизни к какому-то Васи, сложно представить последствия.

            Собственно, это одна из тех причин, почему я не пользуюсь и всячски избегаю Яндекс и Mail.ru программ.

          • maisvendoo Сентябрь 10, 2015 9:48 дп 

            > при наличии хорошего адвоката >доказать в суде, что случайный факап и >преднамеренный шпионаж юридически >отличаются призрачно.

            Вот это, кстати, самая здравая мысль. Собраться пользователям навигатора и предъявить Яндексу коллективный иск. Даже учитывая несовершенство судебной системы и компания выиграет процесс — они там у себя в офисах побегают, поволнуются, понесут судебные издержки, засветятся в СМИ в отрицательном ключе. В общем получат по заслугам, а в следующий раз будут лучше работать и думать головой.

            А то что мы собрались тут, бросили пару раз дерьма на вентилятор, это для компании комариный укус, который она даже во внимание не примет

        • maisvendoo Сентябрь 9, 2015 5:28 пп  Ответить

          Весьма вероятно, что данный файл действительно отладочная информация, случайно забытая разработчиком. Однако, «ор» тут поднимать нужно, так как целенаправленное создание процедур записи звуковой активности на устройстве, даже в dev-версии не может не наводить на подозрение. Хорошо бы ещё нашлись энтузиасты, которые проследили бы за дальнейшим развитием данного проекта Яндекса, с тем чтобы выяснить истинную цель этих отладочных действий.

          В любом случае, запись разговоров человека без его ведома есть нарушение прав. Отмазываться можно сколько угодно, но SSL в iOS здесь не причем — не стоит путать баг с целенаправленно созданной скрытой от пользователя функцией приложения

        • Сергей Карпунин Сентябрь 13, 2015 10:33 пп  Ответить

          миша, ви серьезно:»Я же смотрю на неё с точки зрения литературно-стилистической…»? идите ви нафиг, миша.

    • Evgen Сентябрь 9, 2015 3:32 пп  Ответить

      А Вы помните ОВД «Дальний» в Казани? Так вот если бы никто не поднял бы «Ор», то мала вероятность того, что какого-либо наказали тогда.

      • Михаил Сентябрь 9, 2015 4:19 пп  Ответить

        Прочитайте, пожалуйста, нашу с Дмитрием переписку. Я устал от этой темы. Если кратко: кричать, что программа подозрительно себя ведёт, можно. Кричать, что она сливает данные, и призывать удалять — нет.

        • maisvendoo Сентябрь 9, 2015 5:41 пп  Ответить

          А почему нельзя призывать удалять? Вот пусть следующий раз, при выпуске релиза, хорошенько следят за тем, что туда должно войти, а что не должно.

          Почему это, мы, конечные пользователи не должны высказывать своё мнение? Почему мы не должны призывать к чему-либо? Если огромная компания, с кучей сотрудников, гонором и амбициями не в состоянии уследить за своими программистами, работу делает грязно и неаккуратно, почему об этом нельзя говорить?

          • Михаил Сентябрь 10, 2015 3:38 дп 

            Он призывает удалять не потому, что программа плохая, глючная, ведёт себя фиг знает как, и потому, что у Яндекса плохо с тестированием, а потому, что Навигатор за нами следит. Почувствуйте разницу.

        • Powered by Linux Сентябрь 10, 2015 1:12 дп  Ответить

          Михаил, когда немцы в 41м году собирали свои войска у наших границ, ситуация была точно такой-же.

          Люди так-же поднимали «Ор» что, немцы собираются нападать, им никто не верил, а немцы отмазывались, говоря что, это тактический манёвр против британии.

          Что было в итоге, думаю напоминать не стоит.

          • Михаил Сентябрь 10, 2015 3:36 дп 

            Сравните: «Какого хрена Яндекс пишет файл? Он что, следит за нами? Слышь, Яндекс, а ну живо перестал так делать, негодяй! Я тебе покажу, скотина, как файлы писать без моего ведома и, быть может, отправлять их в большому брату! Я проверил: данные никуда не отправляются. Тестируй своё ПО, Яндекс, как полагается, а то мы не будем в следующий раз слушать твои никчёмные оправдания!»
            и
            «Яндекс пишет файл! Какого хрена? Яндекс за нами следит! Мне лень сначала проверить, действительно ли это так, обратиться в Яндекс за разъяснениями, я лучше сразу напишу об этом в интернете, где люди, падкие на сенсации и теории заговора, подхватят и начнут разводить панику и приводить неуместные аналогии. За нами следят, ололо!»

            Немцы — это никак не вариант номер 2. Это совсем другое.

            В интернете (и не только в интернете) постоянно возникают мифы, которые создают вот такие люди, как Строкин. Никто не хочет ничего проверять. Всем нравится просто верить, что все вокруг уроды, которые только тем и занимаются, что портят друг другу жизнь.

            В общем, я по кругу пишу одно и то же. Всем спасибо.

          • maisvendoo Сентябрь 10, 2015 9:27 дп 

            маленький нюанс — разве Вы не заметили, что слово «шпионит» в заголовки поста — в кавычках?

  6. Roman San Сентябрь 9, 2015 6:50 пп  Ответить

    Если из-за этой ошибки разработчиков в сеть уйдет чья-то информация (а если она будет при том еще и очень важная), то пострадавшему будет уже не важно, баг это или умышленная кража.
    И если учесть, что сейчас шпионят все, вся и за всеми — то скорее всего это не просто «ошибка разработчиков»…

  7. qraizer Сентябрь 10, 2015 6:26 дп  Ответить

    Делать шпионам больше нечего, кроме как вот так по-глупому палиться в рекордно малые сроки. Даже если скосить под дурачка, мол, ой, оно случайно так получилось, много за такое малое время не нашпионишь. Так что в непреднамеренность верится легко.
    А что касается тестирования, то увы, как специалист в этой области могу сказать, что никакое тестирование не сможет доказать отсутствие ошибок, если только рука заказчика внезапно не окажется безгранично щедрой.

  8. Powered by Linux Сентябрь 11, 2015 7:34 пп  Ответить

    Михаил, обратиться в яндекс за разъяснениями ?
    Вы это серьёзно ?

    Кто Вам правду скажет ? 🙂

    Опять-же, аналогия..

    Слышь, Германия ?
    А чего это твои войска стоят у границы моей страны, а ?

    Думаю, напоминать, какой был ответ, не стоит.

    И Вы думаеие, вам там правду скажут ?

    Вот странно..
    А другие компании занимающиеся подобным шпионажем, никому об этом даже не сообщали.
    И продолжали молчать даже после разоблачений.
    А тут Яндекс внезапно, скажет правду.

  9. Powered by Linux Сентябрь 11, 2015 7:40 пп  Ответить

    Михаил, да и оффициальный ответ «Мы забыли», выглядит крайне не убедительно.

    Это при том что, какой либо продукт контролируется на всех стадиях разработки далеко не одним человеком проводя различные тесты.

    И тут ВНЕЗАПНО забыли, промаргали, выключили свет ?

    Не не не..

    Я готов поверить в какую угодно отмазку но, только не в эту.

    • qraizer Сентябрь 11, 2015 11:23 пп  Ответить

      А какую отмазку угодно, если не секрет? Ну так, интереса ради спрашиваю. Какая может быть убедительнее?

  10. kottovski Сентябрь 12, 2015 1:22 пп  Ответить

    михаил сам либо засланный козачек , либо глупый поцреот!
    типо если наши облажались , то это всего лишь ошибка , а вот apple или еще кто то иностранный 100% редиски

  11. MifistoSNZ Сентябрь 13, 2015 9:51 пп  Ответить

    Складывается впечатление, что в Яндексе у нас работают криворукие имбицилы, если они умудрились проморгать такой «момент» в релизной версии… Халатность — должны ответить, «умысел» — тем более. Если спускать такие косяки с рук, никто ничему не научится. Моё мнение — карать анально и «ор» тут только на пользу. А с яблоками и прочими видами пусть разбираются у них на родине.

Leave a comment

Войти с помощью: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *