Pull to refresh

Comments 17

Самые популярные мобильные приложения проходят регулярный статический анализ кода

А почему не все? Если я правильно понимаю, процесс можно легко унифицировать и распространить на все приложения.
На самом деле тут всё просто. Популярные приложения активно разрабатываются, кодовая база у них растет и меняется, поэтому следить за каждым коммитом вручную было бы тяжело. Поэтому важные части приложения анализируются вручную, но остальной код проверяется автоматически при сборке.
Что касается приложений с менее активной разработкой, то там можно руками без труда проверить каждое изменение и каждый новый релиз. Или опять же при желании собрать проект с Coverity.
Руками? Да вы шутите. Почему и вправду не унифицировать? Из тысяч приложений можно отслеживать изменившееся и перезапускать проверки.
Тут видимо небольшое недопонимание. Первая часть статьи про приложения, которые мы пишем сами. Их гораздо меньше тысячи.
Если говорить про сторонние приложения, то они все проходят через анализатор при загрузке.
не совсем понятно было, какой «выхлоп» будет от такого фактора, как размер входного файла или количество URL в переменных и ресурсах, но на первом этапе хотелось использовать все возможности

Не являюсь экспертом в машинном обучении, но вы не пробовали использовать бустинг? Теоретически он позволяет сделать из множества слабых классификаторов один сильный.
Вы в Яндексе конечно молодцы. С вашими ресурсами можно создать весьма большую ферму и анализировать много данных. Собственно Касперскому это и не хватает.

С другой стороны, Google уделяет этому пристальное внимание. Да и с нативным кодом вы конечно сильно запаздываете, этак на пару лет :)
Извините, промахнулся немного, отвечая на ваш комментарий. Мы все-таки стараемся избегать экстенсивных путей развития, потому что иногда лучше немного математики и оптимизации, чем установка еще десяти серверов.
Нативный код постараемся проверять уже в ближайшем будущем.
Google очень далеко ушел в динамическом анализе, но мы постараемся наверстать упущенное. В том числе и в том, что касается нативных частей приложений.
«стараемся использовать краудфаундинг при поиске уязвимостей» Вы тут неверно используете термин. Краудфаундинг — это коллективное финансирование какого-либо проекта. Поиск уязвимостей тут совсем не причем.
Жаль, что у вас программа поощрения стала работать много позже, чем мы поимели весь мейл.яндекс и имели доступ ко всем ящикам. Тогда нам разве что судом грозили и спецслужбами, а не поощрениями ) хотя информация не ушла далеко.

Ну и анализ кода даст профит, конечно, однако существует много уязвимостей не связанных с кодом. Порой не нужно настраивать https прокси, чтобы отследить общение с сервером. Достаточно унгзипить проект приложения и найти там git файлы или любой другой системы контроля версий (упс, опять спалил, скрипткидди, в атаку!) или, например, какие-нибудь json/xml/csv конфиги, где можно произвести injection.

Как там Вовка Воронцов, кстати? Всё ещё рабоатет на Яшу? Если да, у вас есть надежда. Если нет, ожидайте.
-5 это всё, что вы можете??? мухахаха, смеюсь над вами и вашими ляпами.
приношу извинения. я погорячился. -5 не всё, что вы можете. Уже -6. Снимаю шляпу
UFO just landed and posted this here
Передал ваши пожелания разработчикам Yandex Store.
Вот автор статьи тут рассказывал про разрешения для приложений, что вредоносные приложения можно определить по разрешениям, которые им требуются. Но в то же время Яндекс.Store нигде не публикует список разрешений, которые требуются приложению. Узнать всё можно только загрузив приложение. А есть ли смысл загружать игрушку в 50 мб, если потом выяснится, что она требует, к примеру, разрешение на отправку SMS или доступ к контактам и я всё равно её не буду устанавливать?
Также хочу заметить, что у Яндекс.Store тоже довольно таки значительный список разрешений, и некоторые меня откровенно смущают: аудиозапись, доступ к аккаунтам и т.д. К чему всё это маркету?
Ещё из пожеланий: сделать хоть даже грубый фильтр по разрешениям для приложений. К примеру иногда я ищу приложения, в которых нет разрешений доступ к сети, местоположению и т.д. Очень хотелось бы иметь маркет, в котором можно было бы иметь расширенный поиск набором фильтров по стоимости (платно/бесплатно), категории (игры: аркады, экшн, спортивные...., приложения: утилиты, здоровье, мельтимедиа...) и разрешениям (SMS, интернет, аккаунты, личная информация, местоположение, аудио-видеозапись...). Вот тогда этот маркет стал бы действительно очень полезным инструментом.
По поводу разрешений для Yandex.Store — их действительно много, но все имеют смысл. Например, запись аудио — это необходимое условие для работы распознавания речи от Yandex.SpeechKit. Доступ к аккаунтам кажется для социальной авторизации нужен. Просто когда в приложении много функций имплементировано, количество разрешений тоже растет неизбежно. Отзыв я передам разработчикам Yandex.Store.
Sign up to leave a comment.