Сначала небольшая кулстори, пацаны!

Тусовался я как-то в одной группе в ВК, где, знаете, прорывные технологии, передовая, но не признанная косным сообществом наука, Эйнштейн - жидомасон, ученые все нам врут, а сами ничего не понимают ну и так далее. Думаю, вы понели. Ну, группа не очень фимозная, поэтому меня там еще не забанили, хотя я там постоянно топлю за всякие квантовые механики, теории относительности и общую алгебру. И зашла речь о пространство теории относительности и вообще о гравитации. Ну, местный контингент, конечно, начал говорить, что, дескать, кривые пространства - это бред сумасшедшего, вот же, посмотрите, кругом все прямое. А я решил, что неплохо бы показать этим товарищам, что кривизну не так-то легко заметить, а с чего начать? А надо как-то определить кривизну, чтобы получить какие-то объективные критерии.

И я подумал, а вот интересно, какой нужен минимальный набор аксиом на произвольном множестве, чтобы на этом множестве можно было определить кривизну, ну такую, чтобы была похожа на кривизну в ОТО? Желательно, не используя координат и понятия размерности, ну чтобы меньше можно было к чему докопаться, и чтобы было больше похоже на афинное, а не векторное пространство.

Первым делом, кроме самого множества, я решил, что перво-наперво надо ввести понятие "дистанции" между элементами. Это почти та же самая всем известная метрика на метрическом пространстве с одним исключением - я не использовал неравенство треугольника, вместо него просто постулировал неотрицательность дистанции. Вообще, когда я над этим над всем думал, я как-то и забыл про то, что есть метрические пространства, точнее про то, какие у них аксиомы. Ну я там еще аксиоматически навводил всякие ограничение на дистанцию, чтобы непрерывность получалась, к примеру, чтобы линии можно было определить. И вроде все получалось, пока я не вспомнил про метрические пространства и не полез смотреть у них аксиомы. А там - неравенство треугольника. А я в своих рассуждениях его не использовал, и вроде бы все было не плохо.

И теперь вот у меня ко всем к вам вопрос - а зачем нужно неравенство треугольника в определении метрического пространства? Какую роль оно играет? Это довольно сложное условие, нельзя ли его заменить на что-то более простое, чтобы оно выводилось как теорема?

Вот, для примера, возьмем евклидово пространство, но вместо обычной, стандартной метрики возьмем на нем квадрат от стандартной метрики. Это не будет метрика в смысле нормального определения метрики, так как в треугольнике со сторонами 3, 3, 5, например, неравенство треугольника нарушается. Но чем такая "типа метрика" хуже стандартной метрики, если существует даже дискретная метрика, где расстояние между всеми несовпадающими точками равно 1 и это ок?

UPD

Информация об угрозах: https://habr.com/company/roskomsvoboda/blog/417145/#comment_...

Всегда обновляемый оригинал статьи — в моём блоге.

Вступление

Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.

Как выяснилось — людям небезразличен шпионаж за ними.

Расследование понравилось и хакерам.

С момента публикации, на мой блог совершили десятки хакерских атак.

-------------------------------------

Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.

Для архивирования ссылок используется проверенный сервис archive.is.

Все оригинальные ссылки — в конце данной статьи.
-------------------------------------

Часть I. Ответы.

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.

Какой ответ мы получили?

I.I. Официальный ответ Burger King ВКонтакте.

Ну что же, давайте разбирать по пунктам.

-------------------------

Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.

Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.

Российский Burger King ему не подчиняется.

Burger King обязан следовать Федеральному закону “О персональных данных”, но он ему не следует.

-------------------------

Во-вторых — «мы не делаем запись».

В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.

В том числе — во время ввода реквизитов банковских карт.

-------------------------

В-третьих — «получаем обезличенную аналитику по работе приложения».

О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?

Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.

Пикабушникам он известен как @SergeyBurgerKing.

(Сергей Очеретин. Директор по digital-проектам Burger King. Фотография из открытых источников.)

Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.

(Скриншот с форума 4PDA)

-------------------------

В-четвёртых: «или об этом уже нельзя говорить?»

Burger King ни разу не отвечал на вопросы о слежке до этого комментария.

Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).

Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.

Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».

-------------------------

Запись экрана — доказана.

Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.

----------------------------

I.II. «Опровержение»

Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.

Они говорят, что (далее цитата):

- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.

- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.

- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app

- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.

Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy

- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

----------------------------

Давайте пройдемся по каждому из пунктов.

Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».

Скрытие личных данных не прописано в коде приложения.

Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».

Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.

(Комментарий пользователя на Habr.com)

Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.

-----------------

Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».

Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.

Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.

Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.

-----------------

Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».

Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.

Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.

Также, в Пользовательском Соглашении

Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.

-----------------

Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».

Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.

Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?

Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.

Никакого «улучшения работы приложения» нет.

-----------------

Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».

AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону “О персональных данных” он не подчиняется.

Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.

-----------------

Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».

Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.

Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.

(видео разработчиков приложения Burger King)

Скриншот из видео выше, «Cellular» — сотовые данные.

Из этого делаем вывод — очередная наглая ложь.

---------------------------------------

Часть II. Доказательство записи и передачи банковских данных.

Вступление

Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.

Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.

Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.

------------------------------------------------

Почему же я не показал сначала видео?

Все просто — я тоже человек 🙂
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. 🙂

------------------------------------------------

Часть II.I. Видеозапись, сделанная приложением.

Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).

Видео никоим образом не модифицировалось, трафик и код приложения не менялись.

Как Вы можете видеть, детали банковской карты — не скрываются.

Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.

Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.

Часть II.II. Техническая информация.

По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».

Видео от команды разработчиков:

-------------------------------------

Часть II.III. Почему моё видео — настоящее.

Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.

Сравните сами:

(Слева — моя запись, справа — официальный скриншот приложения)

Такое видео может записать только само приложение.

Почему?

На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).

На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.

Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.

Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.

Часть III. Заключение.

---------------------------------

Часть III.I. Итоги

Что имеем в итоге?

Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.

Здесь же — доказательства прямой лжи Burger King.

---------------------------------

Часть III.II. Проверка РосКомНадзором

Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.

И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.

---------------------------------

Часть III.III. А зачем мои карты Бургер Кингу?

Предвещая вопрос:

— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)

— отвечу:

Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.

Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.

Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.

А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.

Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».

И репутацию там портить ниже некуда.

---------------------------------

Часть III.IV. Сотрудники, которых нельзя пускать к людям.

Наглая ложь, угрозы, хамство, оскорбления. Это только начало.

Хотя чего ожидать от компании с такой рекламой:

И такими сотрудниками:

[UPD

Аккаунт - фейк]

Оригинальные ссылки:

Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.

Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.

Обращение РосКомНадзора ВКонтакте

Пост компании-разработчика приложения e-Legion

IT-директор Burger King сам говорит о собирании информации о пользователях

Информация о Сергее Очеретине — IT-директоре Burger King

Пользовательское соглашение приложения Burger King

Политика приватности AppSee (на английском)

Россиянин уличил приложение Burger King в слежке

Приложение сети быстрого питания Burger King записывает на видео все, происходящее на экране смартфона во время его использования, и даже в свернутом виде продолжает отсылать записи на сервер. Об этом написал изучивший код программы пользователь Pikabu fennikami.

Burger King использует приложение в информационных целях, для проведения промо-акций и приема заказов, есть версии для iOS (fennikami пишет именно о ней) и для Android. Как выяснилось, применяется программа не только для этого — iPhone автора поста с момента запуска приложения транслировал на удаленный сервер содержимое экрана.

Причем запись ведется даже тогда, когда пользователь вводит данные банковской карты. Отправляются ролики на сайт appsee.com — он принадлежит аналитической компании Appsee, которая помогает разработчикам приложений оптимизировать их, анализируя поведение пользователей при помощи такого, довольно неоднозначного метода.

В пользовательском соглашении Burger King (редакция от февраля 2018-го года, которая была опубликована на сайте на момент написания этой заметки) утверждается (пункт 3.3), что "передача данных банковской карты производится с соблюдением всех необходимых мер безопасности", "только на Авторизационный сервер по защищенному каналу" и "сохраняются только на специализированном сервере платежной системы", при этом самой компании Burger King данные банковской карты не сообщаются.

О записи содержимого экрана в пользовательском соглашении прямо ничего не говорится, с натяжкой такой метод исследования поведения пользователей можно подвести под пункт 5.2 ("компания имеет право контролировать и корректировать содержимое приложения"), а передачу данных на сервер Appsee — под пункт 5.6 ("компания вправе передать права и обязанности по настоящему Соглашению третьим лицам в целях исполнения настоящего соглашения, без дополнительного согласия пользователя").

В пункте 7.4 также сказано, что "компания не несет ответственности за возможный ущерб или убытки, вызванные использованием приложения". То есть если записанное для Appsee видео с данными банковской карты попадет к киберпреступникам, и они обчистят банковский счет пользователя, привлечь за это к ответственности Burger King будет практически невозможно.

Есть в соглашении и раздел о конфиденциальности пользовательских данных, где устанавливающий приложение (и, как правило, просто ставящий галочку на стартовом экране, не читая многостраничный текст) пользователь дает согласие на их хранение и обработку, в том числе "третьими лицами для исполнения обязанностей Компании". В список передаваемых данных включены "иные технические данные, необходимые для улучшения функционала и работоспособности приложения" — вероятно, под это определение можно подвести фиксацию действий пользователя в программе. Правда, квалифицировать так данные банковской карты вряд ли получится.

Источник

Сегодня в горячем пролетел пост про то, какой же страшный бургеркинг и как он шпионит за людьми (https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6021526).

Если кратко, то некий юный пикабушник обнаружил в приложении для iOS (а может и андроид) сервисы Яндекс.Метрика и AppSee, который способны фиксировать происходящее на экране и сохранять это на удаленном сервисе.

Учитывая то обилие одобрительного гула, которое разразилось в комментариях, хотелось бы внести немного ясности:

1. Запись экрана происходит только во время работы приложения. Если тот факт, что бургеркинг видит как вы листаете меню бургеркинга в официальном приложении бургеркинга вас смущает, то по-моему это нефигово отдает паранойей!

2. Касательно "информация как и видео доступна целой куче людей" - какой куче? Все данные передаются по зашифрованному протоколу HTTPS, что видно даже из приведенных автором оригинального поста скриншотов. Соответственно, "куча людей" - это:

а) Бургеркинг;

б) Администрация серверов AppSee;

в) Вы;

...

г) Надмозгу, который чисто случайно умудрился угадать полный УРЛ видеоролика, состоящий из длиннющего хэш-кода (но в таком случае ему уж проще угадать ваш логин/пароль от интернет-банкинга, а потом угадать комбинацию из отправленного СМС).

3. Про Яндекс.Метрику, от которой, по словам автора "Глаза на лоб лезут": данный сервис записывает информацию о перемещении курсора по экрану, скроллах страницы и некоторую информацию об устройстве пользователя (разрешение экрана, версию ОС и прочую информацию, которую ваше устройство ИТАК СООБЩАЕТ КАЖДОМУ САЙТУ ПРИ ПОСЕЩЕНИИ). Если же и вы считаете, что Яндекс.Метрика - это ужас, способный поработать человечество, то у меня для вас плохие новости:

Вы уже давно "под колпаком".

Там еще был момент про то, что приложение записывает видео и в момент ввода данных кредитной карты. Но:

1. Кроме слов никакого доказательства этого факта, ВНЕЗАПНО, нет (а ведь это была бы самая мякотка);

2. С учетом приведенного на скриншоте качества картинки, за сохранность данных можно вообще не беспокоиться, а догадка, что "кто-то может удаленно включить HD" - это всего лишь догадка.

Помните, что у любого автора приложений есть куда больше способов нагрести о вас конфиденциальной информации (а может они ее и нагребают), используя куда менее "палевные" методы. Ну и не стоит видеть заговоры там, где их нет - авторы апплетов просто хотят видеть, как оные ведут себя на устройствах их клиентов. Как правило, это делается с одной целью - обнаружить недоработки и исправить их, так что тут я полностью на стороне разрабов бургеркинговского приложения.

Напоследок хочется сказать, что за три месяца своего существования, автор оригинального поста уже предпринимал несколько попыток кого-нибудь "разоблачить", начиная от псевдоДурова, заканчивая излиянием на тему какой плохой Сбербанк, и какой при этом хороший Тинькоф. Ну и немного подозрительный на этом фоне заминусованный пост про яндекс/убер был... Вряд ли это засланный казачок, но определенное мнение складывается...

P.S. Что касается меня, то я вообще из провинциального казахстанского городка - о бургеркинге я могу сказать то же, что и о макдональдсе - видел в кино :) Соответственно, никак с оным не связан и в глаза никогда не видел.

P.P.S. Пардон за сумбур, просто как-то резко бомбануло от того, как много народу купилось на паранойю - старался писать быстро, пока стул не дотлел.