27 октября 2020 в 11:59
SpiderAppNews #16: Snap за 50, слежка в Facebook Messenger, проблемы Apple и Google растут
Директор по коммуникациям
В номере:
- Snapchat бьёт рекорды
- Google указали на потерю контроля над Play Store
- Превью ссылок: шпионаж без ограничений от Facebook
- Epic снова подала в суд на Apple
- Коалиция за справедливость в приложениях выросла вдвое
Snapchat бьёт рекорды
Успехи своего главного проекта «Snapchat» вывели Snap на новую ступень капитализации — $50 миллиардов. Это случилось после публикации отчёта о работе в третьем квартале 2020 года, за который компания получила выручку в $679 миллионов, а это на 52% больше, чем за тот же период 2019 года.
Компания увеличила количество активных пользователей в день на 4% (11 миллионов) до 249 миллионов, что на 18% больше год к году. А чистый убыток Snap в размере $200 миллионов также вырос на 12%. Но этот убыток может быстро превратиться в прибыль, когда бизнес сможет на всю катушку использовать демографические достижения: в США, Великобритании и Франции Snapchat пользуются 90% поколения Z и 75% миллениалов. Более того, Snap только что запустила конкурента TikTok, функцию «Sounds on Snapchat», которая позволяет добавлять лицензионную музыку в истории.
Три ключевых направления развития Snapchat демонстрируют впечатляющие показатели:
- Snap Kit для интеграции функций Snapchat в сторонние приложения рапортует о 800 партнёрах по интеграции и 148 миллионах пользователей в месяц
- Камера с инструментами дополненной реальности — 135 миллионов пользователей в день
- Snapchat Discover, смесь историй от друзей с историями от брендов и профессиональных производителей контента, за год привлекла более 100 миллионов зрителей. Для сравнения, у Netflix — 70 миллионов подписчиков
На следующий день после публикации отчёта акции Snap на бирже выросли в стоимости почти на 30% и вывели компанию на $50 миллиардов капитализации.
Google указали на потерю контроля над Play Store
Исследователи Международного совета по цифровой отчётности (International Digital Accountability Council, IDAC), некоммерческой организации из Бостона, обратили внимание Google на три приложения для детей, которые собирали данные пользователей с нарушениями правил магазина Play: «Princess Salon», «Number Coloring» и «Cats & Cosplay». Google поспешила удалить некондиционный софт.
В совокупности у приложений было более 20 миллионов загрузок. Таким образом, потенциально, разработчики получили данные о более чем 20 миллионах детей (конечно, часть загрузок делали боты или взрослые, но счёт всё равно идёт на миллионы). Это произошло на фоне судебных исков от Министерства юстиции США и 11 штатов, которые на этой неделе обвинили дочку холдинга «Alphabet» в монополистическом и антиконкурентном поведении в поисковой рекламе.
Казалось бы, два случая не связаны друг с другом. Но прецедент обнажил проблему маленькой ошибки в большой монопольной корпорации: она может сказаться на огромном количестве людей, а компания даже не заметит этого без скандала. Тем временем, никому не известно, сколько ещё приложений проигнорировали требования Google к данным от пользователей.
IDAC выделила в качестве источника проблаем три SDK от Unity, Umeng и Appodeal. Дело в том, что данные, к которым приложения могли получить доступ через SDK, могли быть связаны с другими видами информации, такими как данные о геолокации. Если Android Advertising ID передавать вместе с Device ID, это, согласно заявлению организации, позволяет «обходить меры контроля конфиденциальности и отслеживать пользователей с течением времени и на разных устройствах». Пользователь может сбросить AAID, но если SDK также предоставляет ссылку на статичный пользовательский Android ID, это открывает «мост» для идентификации и отслеживания человека.
В Google отметили, что ведут работу над процедурами выявления злоумышленников.
Превью ссылок: шпионаж без ограничений от Facebook
В продолжение темы о безопасности мы хотим поделиться исследованием разработчиков Томми Миска (Tommy Mysk) и Талала Хадж Бакри (Talal Haj Bakry), которые изучили банальную, на первый взгляд, функцию создания предпросмотра ссылки при её вставке в мессенджеры.
На всякий случай, напомним, что именно Миск и Бакри сподвигли Apple предупреждать пользователей о запросе приложений к буферу обмена и вскрыли его постоянное чтение приложением TikTok, что добавило американцам причин угрожать сервису блокировкой.
Есть три способа создания превью, пишут исследователи:
- Создание на стороне пользователя — приложение скачивает то, что находится по ссылке. Принимающая сторона не должна открывать ссылку, чтобы увидеть предпросмотр. Это может уберечь от распространения вредоносных ссылок, если отправитель уверен в источнике данных. Таким образом работают iMessage, Signal (если включена опция превью), Viber и WhatsApp.
- Создание на стороне получателя — всякий раз, когда вы получаете ссылку от кого-то, ваше приложение автоматически откроет её для создания предпросмотра. Это произойдёт до того, как вы нажмёте на ссылку, вам нужно только увидеть сообщение, и это плохо. Приложение без вашего ведома отправляет GET-запрос с IP-адресом вашего смартфона на сервер по ссылке, и злоумышленник сможет отслеживать людей, просто раздавая ссылки в мессенджере. За таким замечен чат GitHub.
- Превью генерирует сервер — когда вы отправляете ссылку, приложение сначала отправляет ссылку на внешний сервер и просит его создать предварительный просмотр, а затем сервер отправляет предпросмотр обратно как отправителю, так и получателю. На первый взгляд это кажется разумным. Ни отправитель, ни получатель не должны открывать ссылку. Но если вы отправляете ссылку на конфиденциальные данные (например, на свой облачный диск), для создания превью сервер должен открыть и скопировать содержимое. Что будет с ним дальше — большой вопрос. За этим замечены Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter и Zoom.
Вы могли заметить, что последний метод подразумевает работу сервиса передачи сообщения с вашими данными, а в списке много известных приложений. Они различаются по подходам к обработке данных. Почти все загружают любые типы файлов объёмом от 15 до 50 мегабайт. И только Facebook Messenger загружает любые файлы, включая видео, вообще без ограничений по объёму.
Исследователи обратились в Facebook за разъяснениями. В компании ответили, что всё работает должным образом. Но даже 15 мегабайт больше почти любого документа в Сети. Поэтому серверы с этими данными становятся вожделенными объектами хакерской охоты.
Подробности исследования читайте в первоисточнике.
Epic снова подала в суд на Apple
В новом судебном иске к Apple компания Epic Games заявляет, что производитель iPhone «не имеет прав на плоды труда Epic». Это очередной выстрел в войне разработчиков против хозяйки App Store, которая требует 30-процентный налог на покупки внутри приложений. Google делает то же самое, но для создания прецедента отмены или снижения налога одной Apple будет достаточно.
Ещё в августе Epic представила новую систему прямых платежей в популярной игре Fortnite, чтобы обойти 30-процентную комиссию. За это нарушение правил App Store Apple удалила Fortnite из магазина, и Epic ответила гражданским иском, утверждая, что Apple нарушает антимонопольное законодательство. Epic также сообщила, что Apple пригрозила закрыть учётную запись разработчика, которая использовалась для поддержки платформы Unreal Engine, что помешает разрабатывать новые проекты для iOS или Mac.
В октябре окружной судья США Ивонн Гонсалес Роджерс (Yvonne Gonzalez Rogers) вынесла судебный запрет на принятие Apple ответных мер против Unreal Engine, но восстановления Fortnite не потребовала.
Apple заявила, что будет бороться за возмещение убытков от Epic за якобы имевшее место нарушение контракта с App Store. В Купертино утверждают, что у их действий были законные коммерческие причины, и «откровенное пренебрежение Epic своими договорными обязательствами и другие неправомерные действия нанесли Apple значительный ущерб».
В минувшую пятницу Epic заявила, что её действия «далеки от злонамеренного — и даже предположительно преступного — поведения». Проще говоря, Epic не «крала» ничего, что принадлежало Apple: компания не могла «воровать» выручку от продаж плодов собственных творческих усилий и не «препятствовала каким-либо потенциальным экономическим преимуществам, которые Apple стремилась получить от пользователей Fortnite независимо от их интереса к Fortnite».
Судья Роджерс постановила, что дело должно быть передано присяжным, сославшись на важность мнения в данном вопросе общественности, и предложила провести заседание летом 2021 года.
Коалиция за справедливость в приложениях выросла вдвое
Коалиция за справедливость приложений (The Coalition for App Fairness, CAF), недавно сформированная ассоциация компаний, выступающая за усиление регулирования магазинов приложений, увеличилась более чем в два раза с объявлением о 20 новых партнёрах — всего через месяц после запуска.
К первым 13 членам CAF, среди которых такие компании, как Epic Games, Deezer, Basecamp, Tile и Spotify, присоединились проекты и компании Beonex, Breath Ball, Challenge, Cladwell, Down Dog Yoga, Gift Card Offerwall, Green Heart Games, Imagine BC, Passbase, Qobuz, QuackQuack, Qustodio, Safari Forever, Schibsted, Snappy Mob, SpanishDict, Sygic, Vertical Motion, YARXI и Mobile Marketing Association.
Коалиция утверждает, что Apple и Google ведут антиконкурентную политику, поскольку требуют от издателей использовать платёжные механизмы платформ и принудительно взимают 30% комиссионных за покупки в приложениях. В некоторых случаях комиссии взимаются с приложений, для которых Apple и Google являются прямыми конкурентами. Например, со Spotify, который конкурирует с YouTube Music и Apple Music.
Группа также призывает Apple разрешить обращения к базе пользователей iOS не только через App Store. Google позволяет загружать софт через сторонние магазины, поэтому к ней таких претензий нет.
Понравился дайджест? Поделись с ссылкой с друзьями! Хочешь узнать, какие приложения заказывает реальный бизнес России и Европы? Смотри свежайшее портфолио Spider Group.
В Spider Group на вас работает более чем двадцатилетний опыт в разработке мобильных приложений, веб-разработке сайтов, серверных проектов, дополненной реальности, искусственного интеллекта и Интернета вещей.
