YARLvarvar

Авито - охеревшая жадная тварь. На этом пост окончен.

В данном случае пословица не всё халява, что блестит, очень подходит.
Жена мне вчера показывает - смотри, что у меня есть? Не то, что твои терминалы и линуксы! Вот она настоящая польза! И показывает мне на экране кучу карт лояльности и штрихкод одной из них.
Я говорю, а ну покажи, откуда это?
Тушит приложение, запускает - скромный логотип unity, потом какой то логотипчик котика и ползунок загрузки. Стартует экран с картами. В свойствах приложения разработчик не указан. Без интернета приложение не запустилось.
Я и говорю - типичное, зловредное приложение. Дай Бог, ещё не успело корни пустить. И дай бог не троянцами.
Куча возгласов, крики - ты не понимаешь, это очень удобно!
Еле переубедил. Привёл кучу аргументов, вроде поняла.
Пришлось пояснить :
Кража данных карт лояльности и личной информации:
Плитки хранят штрих-коды, QR, номера карт, иногда привязанные к email/телефону. Без интернета оно не работает, значит, все данные уходят на удалённые серверы при каждом запуске. Мошенники могут использовать их для подмены покупок, вывода бонусов или продажи данных в даркнете. Риск: утечка возможна почти 100%.
Фишинг и вредоносный трафик:
Unity (игровой движок) часто маскирует трояны или spyware. Котик и ползунок — отвлекающий интерфейс, чтобы скрыть загрузку malware. Оно может запрашивать разрешения на камеру, контакты, уведомления, крадя SMS-коды, пароли или сканируя банковские карты через камеру. Без названия пакета (обычно com.example.app) — признак подделки из сторонних APK, не из Google Play.
Что можно потерять?
Такие приложения часто навязывают платные подписки (типа "премиум-карты за 99 руб/мес"), которые сложно отменить. Или крадут деньги через SMS-подписку. Unity-интерфейс — красный флаг: легитимные приложения (Магнит, Пятёрочка) используют нативный Android/iOS, без игр.Уязвимости безопасности:
Нет оффлайн-режима = нет локального хранения. Если сервер взломан (а они часто в РФ/СНГ на слабом хостинге), все карты жене под угрозой. Плюс, риски вируса: устройство может майнить крипту в фоне или показывать рекламу.
Ну, насобирал всего, что знаю, впихнул вам для - берегите себя.
Мини тэг - не нейросети.

Всем наидобрейшего утра.
С давнего времени пользуюсь генераторами одноразовых кодов или по ITшному TOTP

Сначала я доверял это Google Auentyphicator
Потом я стал доверять это Яндекс Ключу. Замечал, что приложению Яндекс Ключ, нужен интернет. Но, подкупаясь технологией хранения копии в том же Яндекс облаке, не сильно парился. «удобноже»

В связи с многочисленными утечками, встал вопрос и в плане доверия этим приложениям, имеется в виду сами по себе приложения для ТОТР созданные техногигантами, делающими эти приложения с закрытым кодом, с разрешением выхода в интернет и....
В связи с последним заявлением Яндекса на странице их приложения в Русторе
«Что нового
Яндекс Ключ стал приложением Яндекс ID.
—Вход в сервисы Яндекса стал быстрее: код или картинка показываются сразу после открытия приложения. Не нужно вспоминать пароль или ждать смс.
—Появилось удобное управление аккаунтами: данными, устройствами, доступами, оплатой, подписками и семейной группой.
—При обновлении с Яндекс Ключа все аккаунты и данные сохраняются автоматически — приложение сразу готово к работе.»

Что имеем по факту .
В приложении особо ничего не изменилось. Тем не менее в разделе настройки, появилась кнопка входа в аккаунт Яндекс на выбор и один из них оказался даже мой рабочий аккаунт привязанный к месту работы.
О чем это говорит. Это говорит о постепенном и безотвратном собирании к главному.
Пока залогинивание не обязательно, но раз теперь это официально Я ID, 100% эта кнопка и функция станет обчзательно в одном из объявлений.
Что это даёт Яндексу?
Вы будете постоянно в облаке. 100% времени. Вы и так уже (и я) бэкапы всех ваших токенов, а теперь они будут официально в Яндексе. Утечки ваших данных не миновать. Это вопрос времени.
Токенов? А это что такое? Не, не слышал!
Тогда, для тебя немного теории.

Конечно же всё шифруется и факт передачи токенов и их хранение в облаке, скажет любой ITшник.
Шифрование защищает ваши данные от хакеров и самих провайдеров в повседневной работе. Но, оно не защищает от законного требования в той юрисдикции, где находится провайдер. Ключи у провайдера есть, и он может (и должен) их использовать по решению суда.
Что такое токен и что именно он делает в технологии ТОТР?
Зачем нужен токен?

Без токена система TOTP работать не может. Именно в нём хранится уникальный секретный ключ, который вы получили при настройке двухфакторной аутентификации (обычно отсканировав QR-код). На основе этого ключа и точного времени токен каждые 30 секунд создаёт новый временный пароль.

Проще говоря: токен = ваш личный генератор кодов, привязанный к вашему аккаунту. Сервис (например, банк или соцсеть) знает ваш секретный ключ и синхронно генерирует такой же код на своей стороне для проверки.

И вот теперь встаёт самый главный вопрос. И сразу ответ.
Приложениям для генерации кодов не нужен интернет. Приложение генерирует коды без интернета.
Вот в чем вся соль.
А, ещё же соль. Да.

Что такое "соль" (salt)? Это криптографическая случайная строка, которая добавляется к данным (например, паролю) перед хешированием. Её цель — предотвратить атаки по радужным таблицам. Каждому пользователю или элементу данных генерируется своя уникальная соль.
2. Где хранится соль? В абсолютном большинстве архитектур для корректной работы системы (проверки пароля, шифрования/расшифровки данных) соль должна храниться вместе с зашифрованными данными или в связанной служебной базе данных. Она не является секретом в том же смысле, что и ключ шифрования. Её функция — уникальность, а не секретность.
3. Может ли провайдер её использовать? Конечно. Если провайдер по решению суда извлекает ключ шифрования из HSM, то соль, хранящаяся в его же базе данных, будет ему доступна. Она лишь упрощает и делает целевым процесс расшифровки.
Вот мы и подобрались к глобальной жопе с приложениями для генерации того, что никто не должен знать, но хочет и прилагает для этого невероятные усилия.
Что делать? Как избежать слива и компрометации ваших данных?
Ну, не всё так плохо.
Нужно сделать бэкап данных ваших сервисов. Пока есть такая возможность в самом Яндекс Ключе.
Потом скачать хорошее приложение для ТОТР, из тех, что свободные и им не нужен интернет. В том смысле, что если ему запретить выход в интернет, то оно продолжит работать. И импортировать в него данные, которые вы только что сохранили из Яндекс ключа.
Названия приложений я не буду давать никакие, по причине...Да просто не хочу. Нужно, сами найдете.
Надеюсь, этот пост вас порадовал прочтением и одновременно огорчил осознанием угрозы.
Берегите себя. В процессе создания поста не были использованы нейросети.
Тут понаехало комментаторов - мол нужен интернет
Отвечаю - только при первой настройке при сканировании QR кода.
Первая «синхронизация» — это безопасная офлайн-передача общего секрета (ключа) от сервиса к вашему приложению через QR-код. После этого оба конца независимо, но одинаково вычисляют коды на основе этого ключа и текущего времени. Интернет больше не нужен.