Обнаружил тут в Андроид Маркете кучу малвари! Далее копипаста из моего поста в G+.

Мой сын учится в пятом классе, и он решил немного похалявить, поставив себе из Маркета программы для определения НОД и НОК (наибольший общий делитель, наименьшее общее кратное). Да, это разные программки, одна из них называется DivisorX, автор Georg Kiefer. У этого автора в маркете на данный момент 247 приложений, все примерно такие же (площадь трапеции, перемножение матриц, кидание костей и т.п. -- типичные одноразовые задачки для студентов или школьников).

Так вот. Во-первых, эти "калькуляторы" при установке запрашивают следующие разрешения:
Phone calls: read phone state and identity
Network communication: full internet access
Your personal information: read/write Browser's history and bookmarks
Your location: coarse (network-based)/fine (GPS) location

Спрашивается, нахрена козе баян, а калькулятору доступ в интернет, информация о вашем точном местоположении и возможность не только читать, но и писать закладки в вашем браузере? Понятно, что ничего хорошего от такого "калькулятора" ожидать не приходится. Однако, это ещё не всё.

Установленное приложение висит в памяти (в терминах Андроида -- "сервис") и время от времени выводит в строку статуса всякие уведомления. Например, о том, что вышло обновление для системы, или что вот тут можно скачать бесплатное кино. При нажатии на уведомлении открывается браузер, откуда или что-то сразу скачивается (ещё какое-то андроид-приложение), или предлагается куда-то нажать и т.п.

Сын мой заподозрил неладное далеко не сразу, а только когда он нажал на "для вашей системы доступно обновление" и в результате увидел окно инсталлятора андроид-приложений, где было написано, что требуется разрешение отправлять СМСки. Тогда он подошёл ко мне и спросил, действительно ли обновлению системы нужно разрешение отправлять СМС? Дело в том, что ранее он ставил из маркета какие-то приложения типа "скачать кино бесплатно", которые рассылали СМС на короткие платные номера (хорошо, что у него на детском тарифе эти номера отключены), поэтому он уже знает, что ставить такие приложения не стоит.

В общем, я раскрутил эту цепочку в обратную сторону, до "калькулятора", и ужаснулся. Самое неприятное то, что таких приложений в маркете могут быть тысячи, и то, что я несколько дней назад отправил в гугл жалобу на вредоносное сообщение, ничего не изменило -- *все эти "калькуляторы" до сих пор всё так же доступны. +Paul Komkoff может ты там пнёшь кого-нибудь?

Executive summary for Russian-challenged readers
An Android app from Market named "Greatest Common Divisor" by George Kiefer which my son has installed is malware. First, it asks for permissions to read/write bookmarks and getting you GPS location, among others -- already pretty suspicious. Second, is enables the service which shows notifications from time to time, ranging from "Android system update available" to "Get free movies" or something like that. When you touch such a notification, it opens a web page in browser. On "Android system update" the page opened tried to install some APK package which in turn wanted permission to send SMS messages. On "get free movies" it was a page offering free movies (I guess some sort of scam, too).


This author has more than 200 similar apps by the same author, I guess they are all malware. I definitely can't report each of those 200+ apps as malware, but I did it for one mentioned above a few days ago. Still there's no reaction, all the apps are still in Market.

I wonder how many of this crap is on Market, and in general what to do about it? I guess that any app can show notification and open a page in browser :(

Тут один человек написал пост про OpenVZ. Вроде бы надо пройти мимо и не тратить время, но меня зацепило, поэтому далее подробный разбор.

Если подумать, можно обнаружить, что довольно много софта, который мы используем, не является стабильным, не смотря на название конкретных версий.

Например, openvz.

Прочитав это, я обеспокоился. Подумал, у человека какой-то серьёзный баг, он полгода тщетно пишет нам в багзиллу, а мы игнорируем и не чиним. Так ведь бывает иногда -- то времени нет, то баг не воспроизводится, то у нас и у пользователя разные представления о его (бага) критичности.

Читаю дальше.

Я уже неоднократно писал про полное отсутствие суппорта со стороны что разработчиков, что комьюнити,

Хмм. Не баг. Сокрушается отсутствием саппорт со стороны разработчиков и комьюнити. Причём тут стабильность вообще? Какая-то внезапная подмена зелёного на квадратное произошла.

Про разработчиков могу сказать, что у нас примерно 10 кернель дивелоперов плюс я. Если мы начнём посвящать своё рабочее время саппорту пользователей, OpenVZ очень быстро загнётся. Как говорил проф. Ф.Ф. Преображенский, "если я, вместо того, чтобы оперировать, каждый вечер начну у себя в квартире петь хором, у меня настанет разруха".

Про комьюнити -- по сути, автор поста сам себя критикует, он и есть часть комьюнити.

и вот ещё один пример - я несколько дней написал вопрос на форуме - vzmigrate without ssh or any encryption. 1160 просмотров темы и ни одного ответа за 5 дней. Что я могу сказать, всем на это просто положить.

Я посмотрел, у него 78 сообщений на forum.openvz.org, и это топики, начатые им, с его вопросами. Я не просмотрел все 78 постов, конечно, но я не смог найти ни одного, где бы он сам помогал другому пользователю. Зато увидел какое-то количество ответов наших дивелоперов -- и теперь мне жалко их времени, оно явно могло быть потрачено с бОльшим толком.

Опенсорс -- это симбиоз разработчиков и сообщества, где все друг другу помогают. А это -- паразит, нахлебник. Это и по его высказыванию видно, и по виду активности в форуме.

Что делать, в принципе ясно. Перестать всё это использовать.

Вот тут я полностью согласен и горячо подддерживаю! Я не вижу смысла в таком вот пользователе, который не желает читать документацию, думать, смотреть в шелл-скрипты и учиться, а вместо этого отнимает время у разработчиков, потом критикуя как их, так и сам продукт.

К счастью, не всё комьюнити состоит из таких неприятных людей, что доказывают хотя бы комменты coolcold к тому посту.

Начало тут, а вот небольшое продолжение.

1. Приглашение от американской компании им не понравилось сначала, потому что без печати.
2. Потом оно им не понравилось с печатью, потому что не по факсу.
3. Потом оно им не понравилось, потому что от американской компании, а не от чешской.

Ещё, один товарищ скоро улетает в отпуск за границу, потом возвращается и сразу на LinuxCon. Так он пришёл сегодня (4 октября) в посольство, собираясь заплатить двойную цену (70 евро) за ускоренный процесс. Ему обещали выдать 10 числа, и это ускоренный процесс! А до этого он (по ошибке) забрёл в болгарский визовый центр, спросил "а можете мне в пятницу сделать" -- "да мы тебе в четверг сделаем!". К сожалению, позже оказалось, что это не та страна.

Как вот так? Почему так не хотят чехи пускать людей (по бизнесу, не туризм даже) в свою страну?

Here is the example of how not to build packages. All I need is 'convert' utility from ImageMagick, and this is a server system. Now let's try...

=======================================================================================================
 Package                       Arch              Version                      Repository          Size
=======================================================================================================
Installing:
 ImageMagick                   i686              6.5.4.7-5.el6                base               1.7 M
Installing for dependencies:
 ConsoleKit                    i686              0.4.1-3.el6                  base                80 k
 ConsoleKit-libs               i686              0.4.1-3.el6                  base                17 k
 GConf2                        i686              2.28.0-6.el6                 base               961 k
 ORBit2                        i686              2.14.17-3.1.el6              base               162 k
 atk                           i686              1.28.0-2.el6                 base               190 k
 dbus                          i686              1:1.2.24-4.el6_0             updates            211 k
 dbus-glib                     i686              0.86-5.el6                   base               170 k
 eggdbus                       i686              0.6-3.el6                    base                91 k
 gtk2                          i686              2.18.9-4.el6                 base               3.2 M
 hicolor-icon-theme            noarch            0.11-1.1.el6                 base                40 k
 libIDL                        i686              0.8.13-2.1.el6               base                81 k
 libXcomposite                 i686              0.4.1-2.el6                  base                17 k
 libXcursor                    i686              1.1.10-2.el6                 base                32 k
 libXdamage                    i686              1.1.2-1.el6                  base                16 k
 libXfixes                     i686              4.0.4-1.el6                  base                19 k
 libXft                        i686              2.1.13-4.1.el6               base                48 k
 libXi                         i686              1.3-3.el6                    base                32 k
 libXinerama                   i686              1.1-1.el6                    base                15 k
 libXrandr                     i686              1.3.0-4.el6                  base                29 k
 libcroco                      i686              0.6.2-5.el6                  base                99 k
 libgomp                       i686              4.4.4-13.el6                 base               110 k
 libgsf                        i686              1.14.15-5.el6                base               119 k
 librsvg2                      i686              2.26.0-5.el6                 base               138 k
 libthai                       i686              0.1.12-3.el6                 base               183 k
 libtool-ltdl                  i686              2.2.6-15.5.el6               base                45 k
 libwmf-lite                   i686              0.2.8.4-22.el6               base                52 k
 pango                         i686              1.28.1-3.el6_0.5             updates            350 k
 polkit                        i686              0.96-2.el6_0.1               updates            157 k
 sgml-common                   noarch            0.6.3-32.el6                 base                43 k

Transaction Summary
=======================================================================================================
Install      30 Package(s)
Upgrade       0 Package(s)

Oh shit.