Евгений Строкин сообщает:
Сегодня телефон выдал предупреждение, что на sd-карте осталось мало памяти. Очень удивился, полез проверять. Оказалось, что в корне лежит некий файл stream.wav, в который активно пишется инфа. Послушал - оказалось, что там с микрофона записаны все происходившие события, разговоры, переговоры за последние 2 дня. Проверил планшет - та же хрень. Т.к. планшет у меня под CyanogenMod и рутовый, быстро нашёл причину (см. скриншот). Оказалось, шпионит приложение Яндекс.Навигатор. Сейчас буду курить логи домашнего роутера, благо у меня там freebsd и всё пишется, и смотреть, куда слили мою инфу.
UPD: Ответ Яндекса: «В результате небольших по отдельности ошибок и допущений мы получили серьёзную проблему, из-за которой некоторые люди, увы, потеряли доверие к Навигатору и даже в целом к Яндексу. Мы все и я лично приносим извинения всем, кого эта проблема затронула. »
Суть проблемы, как пояснили Яндексовцы, была в том, что они пытались прикрутить к Навигатору голосовое управление, и в очередном релизе забыли убрать чисто дебаговую функцию — запись лога команд и, собственно, запись фактического голоса, их дающего. Впрочем, верить в это или нет — личное дело каждого.
Отвратительные моменты стали переживать мы. Кругом всем что то надо узнать. Скоро куплю мобилу, зарутую и отключу там всё! Только Quake2 оставлю. Димон спасибо за инфу.
неспроста этот баг , ой неспроста … особенно если учесть последние мировые тренды в виде Виндовоз-10 , и прочих Окейгугл
Мда и яндекс туда же скатился.
Уже и тут http://pikabu.ru/story/odin_iz_polzovateley_facebook_soobshchil_o_tom_chto_obnovlyonnyiy_yandeksnavigator_zapisal_vse_ego_razgovoryi_na_protyazhenii_dvukh_sutok_3631684
А еще вопрос немного не туда: почему у меня постоянный разлогин? Я логинюсь твиттером, а когда захожу на следующий день(или даже раньше) то приходится вновь авторизовывать приложение. Или так и должно быть?
В свете последних событий даже не удивительно.
Однако от яндекса такого не ожидал.
Каких событий?
Уже отписались
http://habrahabr.ru/company/yandex/blog/266465/
Но да, это было неприятно.
В Навигаторе появилась функция, которая позволяет общаться с ним голосом. Разработчики накосячили с записью в файл — и сразу надо поднять ор на весь рунет, что их, бедных, слушают.
то есть вы не считаете проблемой, что звук с микрофона дампится в файл без вашего ведома, и «ор», как вы называете распространение информации об этом — это какое-то постыдное действие?
Всё ПО Яндекса любит писать логи всего на свете, мне это не нравится. В данном же случае мы имеем косяк, пробравшийся в релиз по недосмотру. Ну не может быть такого, чтобы в логи писалась огромная вавка. Я считаю это проблемой, но не настолько, насколько её раздули СМИ и подхватили обычные пользователи. Я бы понял, если бы в конце заметки было бы написано: смотрите, люди, мои файлы были отправлены на такой-то сервер. Но нет. Заметка написана в стиле «за нами следят», а не «Яндекс опять облажался». Это неправильно, и это постыдно.
То, что Яндекс облажался, стало известно намного позже. Версию Яндекса я добавил в свой пост, как только узнал о ней. Никаких оценок происходящему я не давал, как не давали и все, известные мне люди, которые делали перепост открытия Строкина. Может, какие-то сми впрямую обвинили в чем-то Яндекс, но мне это не известно. Как не известно мне и то, почему я должен верить версии впрямую заинтересованного Яндекса и не должен верить версии независимых СМИ. Но, если хотите, вот вам моя оценка: у меня в кармане включился микрофон в телефоне и стал записывать всё, что я говорю — это шпионаж, умышленный или нет. Какие это дало бы возможности тем, кто, скажем, завладел бы моим телефоном — одному Богу известно. Как вспомню, о чем я говорил с людьми и лично и по телефону (не мобильному) за последние два дня, так сразу представляю, как мог бы забыть на совещании свой телефон, а любопытные послушали бы первый попавшийся аудиофайл, не нарочно, а просто, запустив Winamp, который собирает всю музыку на телефоне, и чем она ближе к корню, тем выше она в плейлисте, а, его даже искать на надо, вот он, в корне и лежит — так сразу представляю лавину последствий для себя. В последнюю очередь меня бы интересовало в такой ситуации, нарочно Яндекс подставил меня или нет. И еще меньше меня бы интересовало, ушли эти данные по сети в Яндекс или нет. Можно, в таком случае, пойти еще дальше, заглянуть в Конституцию РФ, во вторую главу, статью 23, пункт второй особенно (чтоб вам не искать: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.»), и на основании этого, при наличии хорошего адвоката доказать в суде, что случайный факап и преднамеренный шпионаж юридически отличаются призрачно.
Оценку дал сам Строкин. И он обвинил Яндекс. Вместо того, чтобы в первую очередь предположить, что Яндекс облажался, он обвинил их в том, что они «слили мою инфу». Все перепосты содержат цитату Строкина. Люди, которые и так на нервах из-за того, что Гугл, Майкрософт, Эппл за ними следят (и правительство на нервы капает каждый день), получили новую порцию паранойи. Плюс в конце ещё и призыв удалять программу, цитирую, «нахрен». Заметка написана эмоционально и бездоказательно. Восприняли её эмоционально. Опровержение прочитают далеко не все, и осадок останется. Так работает жёлтая пресса, а не техспециалисты.
Под СМИ я здесь понимаю не газеты-журналы, а интернет-источники попроще. Ни вас, ни кого бы то ни было ни в чём не обвиняю. Мне лишь не понравилась очередная шумиха из ниоткуда в том время, когда есть реальные проблемы.
Михаил, мне ваша позиция понятна, но я с ней не согласен. Во-первых Строкин там же в камментах тут же подвердил, что никакая информация в сеть не ушла. Во-вторых лично я считаю, что это неважно, потому что уже привел выше соответствующую статью КРФ. На мой личный взгляд тот же скриншоттинг рабочего стола Windows — куда меньшая проблема, чем наличие где-то в потенциально общедоступном месте логов моих разговоров за большой промежуток времени. Мне кажется, что нервничать здесь есть абсолютно все причины, и я не вижу, как тот факт, что это вышло случайно, хоть как-то оправдывает Яндекс. Вы не согласны, я понял, но я считаю вот так.
Дмитрия, я понимаю ваше негодование, но давайте всё-таки отличать ошибку от преднамеренности. Хотя результат один, это не значит, что нужно обвинять компанию в том, что она не делала. Да, она сделала так, что телефон записывал звук. В этом её можно и нужно обвинять. Она уже забодала косячить на всю страну. Но не нужно обвинять её в шпионаже, пока это не доказали.
Я действительно не знаю, что сказал бы суд в случае моего примера, является ли это шпионажем в пользу третьих лиц или нет, но последствия были бы для меня, объекта, персональные данные которого вопреки всему, чему можно, попали бы благодаря пускай непреднамеренным действиям Яндекса в руки третьих лиц — совершенно катастрофическими. Меня подслушали и техническими средствами разболтали, намеренно или нет — с точки зрения последствий для меня совершенно не важно. Хорошо, что это лишь вымышленный сценарий, но если бы это произошло, я не вижу другого названия этим действиям.
Дмитрий, простите за аналогии. В iOS как-то нашли уязвимость, с помощью которой телефон можно было разблокировать без ввода пин-кода. Значит ли это, что Apple внаглую поспособствовала шпионажу за своими покупателями, и на неё нужно было идти подавать в суд?
Баги в SSL — это тоже шпионаж и суд?
Повторюсь, что я полностью поддерживаю, что результат в любом случае одинаковый.
На счет Apple вы передёргиваете — речь, что про Яндекс, что про ваш пример — не идёт про «внаглую». Они предоставили возможность получить такую информацию третьим лицам — да, это серьёзный кейс, ничем не отличающийся от учетчки номеров кредитных карт из PlayStation Network и тому подобного, да, можно идти в суд и добиваться компенсации, всё именно так и есть. На счет багов в SSL — это Свободное ПО, оно предоставляется AS IS и не даёт абсолютно никаких гарантий ни на что, прочитайте лицензию на OpenBSD/OpenSSL. Навигатор Яндекса распространяется под своей собственной лицензией, пункт 5.4 которой жестко нарушен сложившимся кейсом, никто их за язык не тянул — так что при желании — всё тот же суд, совершенно справедливо.
Дмитрий, погодите. Мы с вами по-разному смотрим на заметку. Вы смотрите на неё с практической точки зрения: видите серьёзную проблему безопасности. Я же смотрю на неё с точки зрения литературно-стилистической: проблема поднята в виде «ололо, мы под колпаком», что с улюлюканьем подхватила масса народа. Вы видите серьёзные последствия (и я теперь вижу), я — клевету. Не знаю… в среде айтишников не принято так себя вести. Можно назвать мудака мудаком, но нельзя распространять слух, что он гей. Извините…
Честно сказать, я сильно сомневаюсь что, это косяк Яндекса.
Ну не верю я, что подобный функционал можно тупо забыть выпилить из программы.
По факту это шпионаж и не важно, умышленный или нет.
Попади запись твоей лично жизни к какому-то Васи, сложно представить последствия.
Собственно, это одна из тех причин, почему я не пользуюсь и всячски избегаю Яндекс и Mail.ru программ.
> при наличии хорошего адвоката >доказать в суде, что случайный факап и >преднамеренный шпионаж юридически >отличаются призрачно.
Вот это, кстати, самая здравая мысль. Собраться пользователям навигатора и предъявить Яндексу коллективный иск. Даже учитывая несовершенство судебной системы и компания выиграет процесс — они там у себя в офисах побегают, поволнуются, понесут судебные издержки, засветятся в СМИ в отрицательном ключе. В общем получат по заслугам, а в следующий раз будут лучше работать и думать головой.
А то что мы собрались тут, бросили пару раз дерьма на вентилятор, это для компании комариный укус, который она даже во внимание не примет
Весьма вероятно, что данный файл действительно отладочная информация, случайно забытая разработчиком. Однако, «ор» тут поднимать нужно, так как целенаправленное создание процедур записи звуковой активности на устройстве, даже в dev-версии не может не наводить на подозрение. Хорошо бы ещё нашлись энтузиасты, которые проследили бы за дальнейшим развитием данного проекта Яндекса, с тем чтобы выяснить истинную цель этих отладочных действий.
В любом случае, запись разговоров человека без его ведома есть нарушение прав. Отмазываться можно сколько угодно, но SSL в iOS здесь не причем — не стоит путать баг с целенаправленно созданной скрытой от пользователя функцией приложения
миша, ви серьезно:»Я же смотрю на неё с точки зрения литературно-стилистической…»? идите ви нафиг, миша.
А Вы помните ОВД «Дальний» в Казани? Так вот если бы никто не поднял бы «Ор», то мала вероятность того, что какого-либо наказали тогда.
Прочитайте, пожалуйста, нашу с Дмитрием переписку. Я устал от этой темы. Если кратко: кричать, что программа подозрительно себя ведёт, можно. Кричать, что она сливает данные, и призывать удалять — нет.
А почему нельзя призывать удалять? Вот пусть следующий раз, при выпуске релиза, хорошенько следят за тем, что туда должно войти, а что не должно.
Почему это, мы, конечные пользователи не должны высказывать своё мнение? Почему мы не должны призывать к чему-либо? Если огромная компания, с кучей сотрудников, гонором и амбициями не в состоянии уследить за своими программистами, работу делает грязно и неаккуратно, почему об этом нельзя говорить?
Он призывает удалять не потому, что программа плохая, глючная, ведёт себя фиг знает как, и потому, что у Яндекса плохо с тестированием, а потому, что Навигатор за нами следит. Почувствуйте разницу.
Можно, если это пойдет на пользу обществу.
Михаил, когда немцы в 41м году собирали свои войска у наших границ, ситуация была точно такой-же.
Люди так-же поднимали «Ор» что, немцы собираются нападать, им никто не верил, а немцы отмазывались, говоря что, это тактический манёвр против британии.
Что было в итоге, думаю напоминать не стоит.
Сравните: «Какого хрена Яндекс пишет файл? Он что, следит за нами? Слышь, Яндекс, а ну живо перестал так делать, негодяй! Я тебе покажу, скотина, как файлы писать без моего ведома и, быть может, отправлять их в большому брату! Я проверил: данные никуда не отправляются. Тестируй своё ПО, Яндекс, как полагается, а то мы не будем в следующий раз слушать твои никчёмные оправдания!»
и
«Яндекс пишет файл! Какого хрена? Яндекс за нами следит! Мне лень сначала проверить, действительно ли это так, обратиться в Яндекс за разъяснениями, я лучше сразу напишу об этом в интернете, где люди, падкие на сенсации и теории заговора, подхватят и начнут разводить панику и приводить неуместные аналогии. За нами следят, ололо!»
Немцы — это никак не вариант номер 2. Это совсем другое.
В интернете (и не только в интернете) постоянно возникают мифы, которые создают вот такие люди, как Строкин. Никто не хочет ничего проверять. Всем нравится просто верить, что все вокруг уроды, которые только тем и занимаются, что портят друг другу жизнь.
В общем, я по кругу пишу одно и то же. Всем спасибо.
маленький нюанс — разве Вы не заметили, что слово «шпионит» в заголовки поста — в кавычках?
Если из-за этой ошибки разработчиков в сеть уйдет чья-то информация (а если она будет при том еще и очень важная), то пострадавшему будет уже не важно, баг это или умышленная кража.
И если учесть, что сейчас шпионят все, вся и за всеми — то скорее всего это не просто «ошибка разработчиков»…
Делать шпионам больше нечего, кроме как вот так по-глупому палиться в рекордно малые сроки. Даже если скосить под дурачка, мол, ой, оно случайно так получилось, много за такое малое время не нашпионишь. Так что в непреднамеренность верится легко.
А что касается тестирования, то увы, как специалист в этой области могу сказать, что никакое тестирование не сможет доказать отсутствие ошибок, если только рука заказчика внезапно не окажется безгранично щедрой.
Михаил, обратиться в яндекс за разъяснениями ?
Вы это серьёзно ?
Кто Вам правду скажет ?
Опять-же, аналогия..
Слышь, Германия ?
А чего это твои войска стоят у границы моей страны, а ?
Думаю, напоминать, какой был ответ, не стоит.
И Вы думаеие, вам там правду скажут ?
Вот странно..
А другие компании занимающиеся подобным шпионажем, никому об этом даже не сообщали.
И продолжали молчать даже после разоблачений.
А тут Яндекс внезапно, скажет правду.
Михаил, да и оффициальный ответ «Мы забыли», выглядит крайне не убедительно.
Это при том что, какой либо продукт контролируется на всех стадиях разработки далеко не одним человеком проводя различные тесты.
И тут ВНЕЗАПНО забыли, промаргали, выключили свет ?
Не не не..
Я готов поверить в какую угодно отмазку но, только не в эту.
А какую отмазку угодно, если не секрет? Ну так, интереса ради спрашиваю. Какая может быть убедительнее?
михаил сам либо засланный козачек , либо глупый поцреот!
типо если наши облажались , то это всего лишь ошибка , а вот apple или еще кто то иностранный 100% редиски
Складывается впечатление, что в Яндексе у нас работают криворукие имбицилы, если они умудрились проморгать такой «момент» в релизной версии… Халатность — должны ответить, «умысел» — тем более. Если спускать такие косяки с рук, никто ничему не научится. Моё мнение — карать анально и «ор» тут только на пользу. А с яблоками и прочими видами пусть разбираются у них на родине.