сервис bugshaker что это
8 приложений для Android, которые нужно удалить. Они опасны
Кто бы что ни говорил, но Google Play – это помойка. Не даром её признали самым популярным источником вредоносного софта для Android. Просто пользователи в большинстве своём доверяют официальном магазину приложений Google и скачивают оттуда любое ПО без разбору. А какой ещё у них есть выбор? Ведь их всегда учили, что скачивать APK из интернета куда опаснее. В общем, это действительно так. Но остерегаться опасных приложений в Google Play нужно всегда. По крайней мере, постфактум.
Есть как минимум 8 приложений, которые нужно удалить
Google добавила в Google Play функцию разгона загрузки приложений
Исследователи кибербезопасности из антивирусной компании McAfee обнаружили в Google Play 8 вредоносных приложений с многомиллионными загрузками. Попадая на устройства своих жертв, они скачивают получают доступ к сообщениям, а потом совершают от их имени покупки в интернете, подтверждая транзакции кодами верификации, которые приходят в виде SMS.
Вредоносные приложения для Android
Нашли вирус? Удалите его
В основном это приложения, которые потенциально высоко востребованы пользователями. Среди них есть скины для клавиатуры, фоторедакторы, приложения для создания рингтонов и др.:
Это названия пакетов приложений, то есть что-то вроде их идентификаторов. Поскольку всё это вредоносные приложения, их создатели знают, что их будут искать и бороться с ними. Поэтому они вполне могут быть готовы к тому, чтобы менять пользовательские названия приложений, которые видим мы с вами. Но это мы не можем этого отследить. Поэтому куда надёжнее с этой точки зрения отслеживать именно идентификаторы и удалять вредоносный софт по ним.
Как найти вирус на Android
Но ведь, скажете вы, на смартфоны софт устанавливается с пользовательскими названиями. Да, это так. Поэтому вам понадобится небольшая утилита, которая позволит вам эффективно выявить весь шлаковый софт, который вы себе установили, определив название их пакетов.
В красном квадрате приведен пример названия пакета
Package Name Viewer удобен тем, что позволяет не просто найти нужное приложение по названию его пакета, но и при необходимости перейти в настройки для его удаления. Для этого достаточно просто нажать на иконку приложения, как вы попадёте в соответствующий раздел системы, где сможете остановить, отключить, удалить накопленные данные, отозвать привилегии или просто стереть нежелательную программу.
Как отменить подписку на Андроиде
Лучше всего приложение именно удалить. Это наиболее действенный способ защитить себя от его активности. Однако не исключено, что оно могло подписать вас на платные абонементы, поэтому для начала проверьте свою карту на предмет неизвестных списаний, а потом просмотрите список действующих подписок в Google Play:
Если подписка оформлена через Google Play, отменить её ничего не стоит
В принципе, если подписка была оформлена через Google Play и оплата уже прошла, вы можете потребовать у Google вернуть уплаченные деньги. О том, как это делается, мы описывали в отдельной статье. Но поскольку разработчики таких приложений обычно тщательно продумывают способы воровства денег, как правило, они не используют встроенный в Google Play инструмент проведения платежей, чтобы их в случае чего не могли отозвать.
В смартфонах Android найдена опасная функция. Ее стоит отключить
Если вы хоть раз совершали платежи в интернете, используя для этого свой смартфон, наверняка вы знаете, что данные ваших платежных карт можно сохранять с помощью функции автозаполнения от Google, который гарантирует нам, что все данные надежно зашифрованы и хранятся на безопасных серверах.
С одной стороны, это очень удобно. Не нужно каждый раз вводить номер карты при покупке. С другой стороны, есть риск, что в любой момент ваши платежные данные также окажутся в руках злоумышленников и такие прецеденты уже случались.
Доверять ли свои «кровные» сторонним сайтам или нет, безусловно, каждый решит для себя сам. Наша задача — рассказать как можно запретить сохранять и передавать такую платежную информацию сторонним сайтам.
Как отключить функцию автосохранения в браузере
Запустите браузер Google Chrome на своем смартфоне и перейдите в меню управления (три точки в верхнем правом углу), откройте пункт «Настройки» → «Способы оплаты». Рядом с пунктом «Сохранять и автоматически подставлять платежные данные» отключите связанный переключатель, чтобы запретить браузеру автоматически подставлять данные ваших карт на страницах сайтов.
Теперь перейдите назад в «Настройки» и откройте пункт «Конфиденциальность и безопасность» → «Доступ к способам оплаты». Этот пункт дает разрешение сайтам проверять наличие сохраненных способов оплаты в вашем телефоне. Поэтому мы также отключаем его.
Как запретить функцию автозаполнения через скрытое меню «Флаги»
Чтобы дополнительно обезопасить платежную информацию, воспользуемся скрытым меню «Флаги» от Google Chrome. Возвращаемся на страницу нашего браузера и вводим в адресной строке значение chrome://flags, чтобы попасть в меню с экспериментальными функциями от Google.
Здесь необходимо найти параметр «Credit card autofill ablation experiment». Чтобы запретить сайтам предлагать нам использовать функцию автозаполнения, переключаем его значение на «Enabled».
Затем находим пункт «Enable offering upload of Autofilled credit cards», который позволяет синхронизировать данные об отключении платежных данных на всех устройствах с данным аккаунтом и также активируем его с помощью встроенного переключателя на «Enabled». Затем нажимаем на кнопку «Relaunch» в нижней правой части экрана, чтобы изменения вступили в силу.
Как включить улучшенную защиту в браузере
Последний пункт, который мы рекомендуем проверить в меню chrome://flags — «Safety Check on Android». Он отвечает за улучшенную защиту сайтов и безопасный просмотр веб-страниц, а также сообщает о раскрытых паролях и других данных в случае их утечки.
У некоторых пользователей функция «Проверка безопасности» уже активирована автоматически после обновления Google Chrome, но по-прежнему является тестовой, поэтому стоит проверить ее наличие и при необходимости включить ее самостоятельно.
Для этого возвращаемся в меню управления браузером Google Chrome и ищем здесь пункт «Проверка безопасности» Если после пункта «Конфиденциальность и безопасность» этот пункт меню отсутствует, его можно включить вручную.
Для этого на вкладке chrome://flags наберите в поиске «Safety» и активируйте параметр «Safety Check on Android», переключив его состояние на «Enabled», а затем перезапустите браузер.
Затем вернитесь в настройки браузера и убедитесь, что пункт «Проверка безопасности» появился в меню. После этого перейдите в пункт «Безопасный просмотр» и активируйте «Улучшенную защиту».
Как отключить синхронизацию платежных данных
Не лишним будет также отключить и синхронизацию в настройках браузера. Для этого снова возвращаемся в настройки и переходим в в пункт «Синхронизация сервисов Google»→ «Настройки синхронизации».
Затем снимаем переключатель с пункта «Синхронизировать все», если он активирован и деактивируем пункт «Кредитные карты и адреса из Google», чтобы отключить синхронизацию платежных данных подключенного аккаунта между различными устройствами.
Заключение
Несмотря на то, что в безопасности платежных операций сегодня заинтересованы все участники банковской системы, ведь банки и платежные системы, помимо всего прочего, рискуют и своей репутацией, поэтому каждый день работают над безопасностью ваших данных. Но какими бы надежными не были современные системы платежей, помните, что безопасность ваших средств находится только в ваших руках.
Напоследок, повторим несколько простых правил личной «гигиены» в сети:
Пишем сервис на GO. Backend для апплета
Теперь я постараюсь показать, как этот пакет можно использовать на примере простейшего бэкенда для апплета “Труд всем”. Немного поясню идею этого апплета. Допустим у нас есть любой сайт — от хомяка до новостной ленты, а в любом свободном углу при обновлении страницы показана случайная вакансия. Код апплета будет отправлять запрос на сервер и получать в качестве результата HTML код (уже готовый рендер) для вставки на страницу сайта.
Правда интригующе? Где же получать информацию о вакансиях? Где хранить эту информацию? Какие критерии отбора вакансий использовать? Для того, чтобы узнать ответы на эти вопросы, прошу заглянуть под кат!
Определимся с требованиями к нашему бэкэнду:
Из этих требований становится ясно, что нам нужен кеш. Мы не можем выполнять поиск вакансии “налету”, поскольку не уверены, что получим ответ за такое короткое время. Сам я, когда пробовал выполнять запросы к публичному АПИ поиска вакансий, получал среднее время ответа около 200 мс, что не соответствует нашим требованиям. Кроме того, сервис поиска вакансий не дает возможности рандомизировать ответ. Ну и последний довод, самый весомый: всегда кешируйте ответ сторонних сервисов, потому что это экономит ресурсы вашего сервера, сервера стороннего АПИ и драгоценное время пользователя, который ждет ваш ответ, а в случае когда сервис платный, вы сэкономите деньги.
Из кеширующих инструментов я не могу вам сегодня предложить такие замечательные вещи, как супербыстрые key-value базы данных наподобие Redis или memcached, просто потому, что это уведет нас от темы. И прошу меня простить за реализацию кеша в ОЗУ нашего приложения, все-таки у нас не такие сложные требования для того, чтобы собрать какую-то приличную систему, которая бы имела базу данных, очереди сообщений, деплоилась в кубернетес и автоматически масштабировалась. Однако, не огорчайтесь, те, кто подпишется на мой канал, наверняка дождутся и таких статей.
А сейчас GO пилить то, что есть…
Труд всем
Для начала разберемся, откуда будем получать информацию о вакансиях. Конечно, мы не будем генерировать ее рандомайзерами, это будут реальные данные с официального бесплатного портала. Работа России — федеральная государственная информационная система, проект Федеральной службы по труду и занятости. Этот портал помогает гражданам найти работу, а работодателям — сотрудников. Все услуги портала предоставляются бесплатно, и поэтому мы просто берем их апи и прикручиваем к своему бэкэнду в качестве ресурса.
Как сервис
Итак. Проштудировав документацию открытого АПИ сервиса “Работа России” я собрал структуры, необходимые для маппинга Json данных. Возможно будет немного избыточно, и некоторые поля мы вообще не задействуем в дальнейшем, но я подумал, что лучше будет удалить потом, чем постоянно сверяться с документацией и добавлять какие-то поля в процессе разработки. Кроме того, как ни крути, количество данных в сети мы изменить не сможем — чужой АПИ нам все равно будет присылать все что знает независимо от того, есть ли у нас под эти данные соответствующие поля в наших структурах или нет.
Обновление вакансий
Теперь посмотрим, как выполняется загрузка вакансий, комментарии по коду четко отделяют три этапа этой функции: создание запроса, передача его по сети, парсинг ответа. Если какой-то из этапов вернет ошибку, мы просто пробросим ее в качестве ответа для вызывающей функции.
Давайте посмотрим, как выполняется создание HTTP-запроса:
Парсинг ответа от сервиса вакансий будет состоять из демаршалинга тела http.Response в нашу структуру с помощью базового json.Decoder и минимальной проверки на валидность этих данных. Ничего такого о чем бы я хотел сказать отдельно.
Итак, вот наш первый checkpoint — готов единственный ресурс нашего бэкэнда. Готов сервис бесплатных вакансий. На уровне кода он плоский с единственной внешней связью в виде вызова стороннего АПИ через HTTP и никаких кешей и прочих премудростей. На верхнем уровне мы считаем, что у него все-таки есть кеш, потому что для выполнения своих функций, ему не требуется выполнять вызов стороннего апи.
Пишем бэкэнд с использованием полученного опыта
В предыдущей статье я описал код runtime-контроллера, а в главе выше описал код сервиса вакансий, который будет являться единственным ресурсом нашего бэкэнда. Теперь пора аккумулировать полученный опыт и построить работающее приложение. Вероятно, из предыдущей статьи не становится понятным, как использовать runtime-контроллер так, чтобы изнутри кода с бизнес-логикой были доступны ресурсы приложения. Но давайте сейчас посмотрим на код main :
Запуск HTTP сервера и контроль его Graceful Shutdown
Я бы описал логику главной функции в такой последовательности: создаем сервер, запускаем на нем обработку запросов, ожидаем сигнала через halt канал и вызываем мягкое завершение работы. В действительности же вышла не очень простая функция с горутиной внутри и каналом для конкурентной передачи возникающей в процессе ошибки.
Теперь у нас есть еще один checkpoint — реализация мягкого завершения полностью самодостаточна, все функции, вызываемые ниже по коду уже не должны заботиться о корректной работе сервера в целом, им достаточно будет убедиться, что их работа выполнена корректно.
Обработка HTTP-запроса
Принимая во внимание то, что выглядит это не очень, я сделаю небольшое отступление от основной темы. У меня вышла довольно сложная для восприятия функция renderVacancy к тому же, скорее-всего, она будет в большей степени влиять на производительность. А еще код бизнес-логики вшит прямо в обработчик запросов, хотя, нам для примера сойдет. В конце-концов, чтобы немного упростить код, мы могли бы сделать следующее:
И изменить нашу логику примерно вот так:
Да, выглядит получше, но такой рендер снизит скорость обработки запроса в два раза. Правда-правда, я проверял. Это вполне рабочий вариант, но без шаблона с одними только w.WriteString(fmt.Sprintf на моем компьютере я получаю около 220к RPS, а с шаблонизатором чуть больше 100к (нагрузочное тестирование будет дальше).
Нагрузочное тестирование
224k RPS. И среднее время ответа в 68 микросекунд, а максимальное в 20 миллисекунд, что явно удовлетворяет нашим требованиям. Вот детализированные результаты тестирования:
Ну что ж, отлично! Двойной резерв по производительности, это то, что нам нужно. А среднее время ответа даже меньше миллисекунды. Но нужно ли на этом останавливаться? Кажется, я там пропустил одну функцию, реализация которой была не самым удачным примером кода. Да, были какие то мысли, как можно ее переделать, но они строились на предположениях, а не на фактах. Что-то придется с этим делать.
Рефакторинг
Пакет net/http/pprof при подключении сам настраивает роутинг по умолчанию, поэтому сразу имею доступ ко всем полезным функциям профилировщика. Когда мы снимаем профили, обязательно нужно, чтобы приложение было нагружено, иначе мы будем видеть метрики “холостого хода”, поэтому я запускаю нагрузочный тест, увеличив время его выполнения до 20 секунд, и одновременно с этим запускаю команду на снятие профиля:
Для тех, кто не пользуется go tool pprof или не знает об этом инструменте, очень рекомендую изменить свое мнение и нагуглить хорошие инструкции по работе с этим профилировщиком. А пока покажу немногое из того, что он умеет.
Конечно, первое, на что я хочу взглянуть — это диаграмма, которая доступна из профилировщика с помощью команды web — откроется страница браузера с вот такой картинкой. Неправда ли, очень наглядно. Тут показано, какое количество процессорного времени было уделено той или иной функции.
Т.е. львиная доля Latency, который мы видим в нагрузочных тестах, уходит на рендер вакансии в HTML формат, что дает мне повод заняться оптимизацией в этом месте. И, конечно же, я пошел самым простым путем: решил выполнить рендер прямо в сервисе, который хранит вакансии, ведь данные вакансий не изменяются, а поэтому нам не нужно выполнять рендер “налету”.
Провел нагрузочное тестирование еще раз и получил прирост производительности аж на 30%. Теперь вижу следующие результаты:
Заключение
Начиная первую из двух статей “Пишем сервис на GO”, я задался целью: показать, как можно построить простое но полноценное веб-приложение на GO. Какие нюансы нужно учитывать при разработке веб-сервиса и на что нужно обращать внимание — это все я постарался разобрать. Да, согласен, в своей статье я описал весьма простое приложение, которое можно было уместить в 100-200 строчек кода, но мне кажется, что даже в решении такой мелкой задачи мне удалось найти и обратить внимание на определенные нюансы разработки веб-сервисов на GO.
Конечно, писать плоский и неструктурный код не задумываясь, что у приложения есть жизненный цикл — это довольно легко. И на самом деле даже может что-то получиться, но чем больше разрастается функциями наше приложение, тем сложнее нам понять, где та самая ниточка, дернув за которую мы заставим наше приложение правильно закрыться. Может для кого-то эта проблема выглядит, как из пальца высосаная, ведь есть же теперь всякие кубернетесы — все, что упало поднимут заново, ну а если наше приложение перед завершением наплодит 500-ых респонзов, то на балансировщике можно выкрутиться ретраями. Но я встречал в своей практике веб-приложение, которое закладывалось, как приложение могущее в перспективе HighLoad, но фактически не поддерживающее не только Graceful Shutdown, но и банальных ContextTimeout. Поэтому постарался вложить между строк правильное понимание структуры go-приложений — такие штучки, как каналы для синхронизации при конкурентности или мьютексы, которые могут блокировать запись и при этом разрешать одновременное чтение. А в некоторых местах попробовал спорить сам с собой, чтобы показать, что в разработке не все так однозначно — где-то нам нужен быстрый код, а где-то мы можем написать код не очень производительный, но зато более стабильный. Все-таки разработка — это процесс непрерывного появления на свет какой-то истины в форме имплементации поставленной задачи на определенном языке программирования, а что помогает рождать истину? Конечно дискуссии и споры.
Чего мы достигли в процессе разработки кода, описанного в этих статьях:
Что ж, я считаю достижение этих целей достойной наградой за потраченное время. Если кому-то статья показалась полезной, можете поставить лайк. Если есть такие, для кого эта статья разрушила последний барьер на пути к большому плаванию под эгидой “пишу микросервисы на golang с нуля”, то я более чем доволен. Прошу ознакомиться с полным кодом на моем github.
Ну а я уже полон новых идей и хочу незамедлительно приступить к следующей статье.
Мошенники активировали схему хищений с онлайн-покупками и ложными курьерскими службами
Мошенники этой весной активировали схему хищения денег и данных пользователей с использованием поддельного сервиса курьерской доставки, говорится в исследовании Центра реагирования на киберинциденты CERT-GIB компании Group-IB, которая занимается информационной безопасностью. Первые случаи применения этой схемы были выявлены еще до пандемии (об этом сообщали СДЭК и Boxberry), но в последние полгода число регистраций фишинговых доменов под видом служб доставки выросло в семь раз. О фейковых доставках предупреждала в апреле и «Лаборатория Касперского».
Как работает схема
Первый шаг. На популярных сервисах объявлений злоумышленники размещают лоты-приманки с намеренно заниженными ценами. Это могут быть бензопилы, звуковые системы для автомобилей, швейные машинки, коллекционные вещи, товары для рыбалки, спортивное питание, советские инструменты, фотоаппараты или игровые приставки, перечисляет Group-IB.
Второй шаг. Пользователи связываются с продавцом во внутреннем чате сервиса, но продавец тут же предлагает перенести обсуждение в популярный мессенджер — якобы для удобства клиента. На самом деле это делается для того, чтобы служба безопасности площадки не могла отследить «продавца» и помешать «сделке», поясняет Group-IB.
Третий шаг. В стороннем мессенджере злоумышленник запрашивает контактные данные жертвы — ФИО, адрес и номер телефона под предлогом оформления доставки через курьерскую службу. После этого жертве присылают ссылку на один из сайтов популярных курьерских служб. На самом деле это фишинговая страница, полностью копирующая дизайн оригинала и с похожим доменным именем. На поддельной странице заказа злоумышленники сами заполняют полученные от жертвы данные и предлагают покупателю только проверить сведения и оплатить товар банковской картой. Если покупатель соглашается и проводит трансакцию, деньги уходят мошенникам. Средний чек одной такой покупки составляет примерно 15 000 — 30 000 рублей.
На этом схема обмана может быть закончена, но некоторые мошенники идут дальше и обманывают еще раз — уже на возврате денег.
Четвертый шаг. Через несколько дней покупателю приходит письмо, что на «почте» произошло ЧП. Легенда может быть разной: например, сотрудник почты пойман на краже, и заказанный товар конфисковала полиция, пишет Group-IB. Для компенсации уплаченной суммы покупателю предлагают оформить «возврат средств». На самом деле с карты списывают ту же сумму еще раз.
Что говорят сервисы
Сайты для продажи товаров по объявлению борются с подобными типами мошенничества, но лжепродавцы создают способы обхода блокировок своих сообщений, пишет Group-IB. «Мы блокируем возможность вставлять ссылки на внешние ресурсы в мессенджере «Авито» во избежание мошеннических схем с фишингом. Компания технически контролирует все процессы на платформе, однако если пользователь уходит в сторонние мессенджеры для совершения сделки, мы уже не можем отследить его действия», — сообщил директор отдела доверия и безопасности (Trust&Safety) «Авито» Андрей Рыбинцев. «Авито» советует не переходить по баннерной рекламе, ссылкам из электронных писем, из сообщений в чатах и соцсетях от незнакомых людей.
«Если не обратить внимание на сам адрес, можно не заметить подлога и отправить деньги мошенникам. Чтобы ликвидировать сайты мошенников, мы начали сотрудничество с компаний Group-IB, взаимодействуем с правоохранительными органами, площадками интернет-торговли и другими логистическими компаниями», — отметил IT-директор службы доставки СДЭК Станислав Горбатовский.
Кто занимается мошенничеством
Одна из преступных групп называет себя Dreamer Money Gang (DMG), ее ежедневный оборот превышает 200 000 рублей, сообщила Group-IB. Выручка другой преступной группы стремительно росла в последние месяцы: от 784 600 рублей в январе до 8,9 млн рублей в апреле.
20 самых дорогих компаний Рунета. Рейтинг Forbes
20 самых дорогих компаний Рунета. Рейтинг Forbes
Что такое кэшбэк сервис, как это работает и как пользоваться
Вы уже слышали про кэшбэк сервисы, но не знаете что это такое и как они работают? Об этом пора знать, так как миллионы людей уже экономят с их помощью. Мы подробно расскажем, что такое кэшбэк сервисы и как ими надо пользоваться.
Что такое кэшбэк сервис?
Сегодня мы рассмотрим:
Я сам уже давно пользуюсь различными сервисами. Даже успел составить рейтинг популярных кэшбэк сервисов. В этой статье я постараюсь подробно рассказать, как они работают и как правильно возвращать через них часть денег. Если вы еще не знаете какой выбрать, то сначала хочу назвать ТОП-5 самых надежных, по моему мнению, кэшбэк сервисов:
