Андроид человек: Эффект зловещей долины: почему нас пугают роботы-андроиды

Андроиды

Андроиды  —  Роботы  

Роботы — андроиды. Отличаются высоким внешним сходством с человеком. Как правило, могут поддерживать несложные разговоры.

Примерная стоимость робота Geminoid Хироши Ишигуро — порядка $100 тысяч. 

Многие опасаются, что такие роботы уже через несколько лет смогут занять немалое число рабочих мест в сфере обслуживания, заменив работающих сейчас людей. 

В связи с этими роботам принято упоминать о таких эффектах социального взаимодействия с ними, как антропоморфизм (ожидании от роботов человеческого поведения) и эффекте «зловещей долины»,  т.е. о возможности негативного восприятия таких роботов со стороны людей, взаимодействующих с ними. Ожидается, что роботы такого типа смогут преодолеть «зловещую долину» после достижения еще большего уровня схожести с человеком. Также на улучшение восприятия будут вероятно влиять массовая культура, массовое распространение роботов, и полученный персональный позитивный опыт взаимодействия с такими роботами.

 

Российские

Алиса, Нейроботикс, Россия

источник фото: Ведомости 

19 сервоприводов в голове, обеспечивающих движение глаз и головы, а также отвечающих за эмоции — улыбки, удивление, грусть, серьезность, сердитость. 

 

Гагарин, Иннополис, Россия

Разрабатывается с 2016.10. 30 актуаторов, управляющих выражением эмоций. 

 

Пушкин, Нейроботикс, Россия

Полуторсовый антропоморфный робот, имитирующий поэта А.С.Пушкина. Проект компании Нейроботикс. Силиконовая кожа. Мимические мышцы, позволяющие демонстрировать эмоиции. За человеческую мимику отвечают 19 мимических сервоприводов. Голова выполнена художником и инженером-аниматронщиком Ларисой Чуркиной, исходя из набора картин современников, литературного описания, рисунков и посмертной маски поэта. В базе робота 600 стихотворений Пушкина. 

2017.06.03 Антропоморфный робот Пушкин выступит на Московском филиале современной российской литературы в Сокольниках 11 и 12 июня.  

 

Новости

2021.12.07 Команда Промобот пробует разобраться в подходах к роботизации мультимодальности. Начали с попытки определить понятие «Человекоподобный робот» и столкнулись с множественностью толкований смысла этого выражения. Составили план исследований из 4 этапов, который в идеале должен привести к созданию и тестированию парадигмы Человек-Робот-Человек. Составили любопытный Топ-10 популярных открытий HRI (human-robot-interaction), сделанных до сих пор. Сформулировали пару гипотез на проверку. Провели тестирование гипотез.

Сейчас идет этап сбора в единое целое всего собранного материала, что, как ожидается, позволит создать подход в разработке мультимодальности, отвечающий пользовательским требованиям, предъявляемым к современным человекоподобным роботам.
Стало ясно, что «пользовательские требования… не всегда имеют связь с реальностью». Так что будут дальше думать, как можно лучше удовлетворить запросы пользователя, как правильно собрать поведенческий модуль робота.
В общем, будут новые публикации. а пока что интересующиеся темой могут почитать эту: habr.com
В целом, темой конечно стоит заниматься, но пока что уровень развития технологий далек от того, чтобы можно было создать не вызывающего смеха, неприязни или раздражения человекоподобного робота. Поэтому любые попытки исследований на эту тему — похвальны, а попытки их внедрения, например, в МФЦ, не могут не огорчать.

 

Зарубежные 

Abraham Linkoln, Gamer Holt Production, Inc., США

 

Возможно этот робот (аниматронная фигура) созданная компанией Gamer Holt Production, Inc., США и не является точной копией Авраама Линкольна. Возможно тонкие ценители и заметят некоторое рассогласование движений глаз и других мышц на лице андроида. И все же это заметный шаг вперед в деле создания роботов-андроидов. Ясно, что никакие опасения проявления эффекта «зловещей долины», не остановят энтузиастов, проектирующих таких роботов. 

2017.08.08 Робот Авраам Линкольн пугает реалистичностью мимики.  

 

Aiko, Канада

Гаражная (подвальная) разработка одного автора. Андроид с «нервной системой» и «искуственным интеллектом», как характеризует свою разработку Le Trung. Проект начался в 2007 году, в 2009 году появилась Aiko V2. С 2013 года новостей по проекту не видно. 

2015.05.19 Aiko, проект канадского изобретателя Le Trung

 

Albert Einstein Hubo, Hanson Robotics, США

 

Дебютировал в ноябре 2005 года
 

Alice — Eve, Hanson Robotics, США

 

Asuna, Япония

фото: Ben A. Pruchnie / Getty Images for Japan Day Project

Разработана в Японии. 

2015.04.26 Робот Asuna. Почти как человек. На ощупь. #Asuna 

 

Bina48, Terasem Movement / Hanson Robotics, США

Прототип робота-андроида, являющегося «клоном разума» конкретного человека. Основана на использовании Deep Learning и нейронной сети. Как ожидается, более продвинутые версии роботов, схожих с Bina48, появятся на рынке в пределах следующих 10-20 лет, их цена составит от $25 до 30 тысяч.

 

Chihira Aico, Toshiba и другие, Япония

 

источник фото:  cnnexpansion.com 

Фото: China Daily 

Разработчики: Toshiba, Osaka Univercity, Shibaura Institute of Technology, aLab Inc., Shohan Institute of Technology 

43 пневматических актуатора для движения лица, рук и скелета. Говорит на японском языке жестов, японском, китайском, английском, корейском.  

Показывают с октября 2014 года, например: 2014.10 Toshiba Corp Develops Lifelike Communication Android (видео). 

 

Chichira Junko, Toshiba, Япония

2016. «Сестра» Chichira Aico, работает в клиентском сервисе в Aqua City Mall в Odaiba, Токио

 

Chihira Kanaе, Toshiba, Япония 

2016.03 «Сестра» Chichira Aico, выставлялась на ITB Travel expo

 

Diego-San, Hanson Robotics, США

 

Erica, Япония

Андроид, разработанный под руководством профессора Хироши Ишигуро и Кохей Огава, а также коллективом Japan Science and Technology Agency, Университетом Осаки, Advanced Telecommunications Research Institute (ATR), Университетом Киото. Подробнее. 

 

Geminoid DK, Хироши Ишигуро, Япония

Робот-андроид, копия коллеги проф. Ишигуро, д-ра Henrik Scharfe. 
 

Geminoid F, Хироши Ишигуро, Япония 

Geminoid F на выставке в Пекине в ноябре 2015 года. 

2015.11 Geminoid F способна смеяться, хмуриться, менять выражение лица, распознавать язык тела, петь. В 2015 году снялась в кино. 

2009 Появились сообщения о роботе Geminoid F

 

Geminoid HI-1, Хироши Ишигуро, Япония

2006 

 

Geminoid HI-2, Хироши Ишигуро, Япония

Робот-андроид, копирующий внешность своего создателя, профессора Хироши Ишигуро. 

2016.01.19 Во время церемонии открытия «Конгресса будущего» в Сантъяго, президент Чили продемонстрировала свой разговор с андроидом. 

 

Han, Hanson Robotics, США

Интерактивный робот-андроид. Разработка Hanson Robotics, США, специализирующейся в области андроидов с лицами, похожими на лица людей.

2015 год или ранее. 

 

HRP-4C, AIST, Япония

Разработанный в 2010 году общественной исследовательской организацией робот андроидного типа, копирующий ряд человеческих поведенческих особенностей. Предназначена для использования в индустрии развлечений и для стимулирования интереса к робототехнике у молодежи. 

 

Jia Jia, The University of Science and Technology of China, Китая

фото: China Daily 

2016.04.16 В Китае представлен новый андроид Jia Jia, способный поддерживать беседу. Это разработка студентов University of Science and Technology of China (USTC) в Hefei, провинция Anhui под руководством Chen Xiaoping. Вряд ли можно считать его вершиной технологического развития, вы уже могли видеть и более схожие с человеком варианты роботов-андроидов. Из ряда аналогов робот Jia Jia («Цзя-Цзя» выделяется набором «сексуально окрашенных» фраз. К мужчинам, в частности, девушка-робот обращается «Да, мой господин. Что я могу для вас сделать» и беспокоится, как она будет выглядеть на видеозаписи.

Используется технология Deep Learning. Мимика лица включает синхронизацию микродвижений с содержанием речи.  Используется третье поколение Ke Jia — языка интерактивных роботов (Interaction Robot language).  

 

Jules, Hanson Robotics Inc.    

Jules, антропоморфный робот с поддержкой возможности голосового общения с человеком, которого разработал и построил David Hanson в 2006 году. 

 

Joey Chaos, Hanson Robotics, США

 

Kaspar, Объединенное Королевство

Kaspar (Каспар) — человекоподобный робот размером с ребенка, разработанный исследовательской группой Adaptive Systems Research Group Университета Хартфордшир (University of Hertfordshire). Активное участие в разработке принимали профессор Kerstin Dautenhahn и д-р Ben Robins. Каспар помогает социализации детей с аутизмом. 

 

Kodomoroid, Osaka Univercity и ATR Laboratories, Япония

Андроид, первые показы — 2014 год, завершен в 2016 году.

Hiroshi Ishiguro Laboratories, ATR, Dentsu Inc. и Miraikan (National Musium of Emerging Science and Innovation). 

 

Kurokawa, Kokoro и AIST (National Institute of Advanced Industrial Science and Technology), Япония

Андроид, 2011 год. Развитие модели Actroid-F.  Видео. 

 

Min, Paradise Entertainment Ltd., Гонконг (Китай)

Робот-крупье для использования в казино. 

2016.01.01 Роботы-крупье из Гонконга обещают революцию в мире азартных игр. 

 

Nadine, Наньянский технологический институт, Сингапур

 

робот-андроид, предназначенный для заботы о людях с деменцией

2016.03.08 Человекоподобные роботы однажды смогут заботиться о людях с деменцией 

 

Philip K. Dick, Nova Science / Hanson Robotics, США

Андроид. Видео. 

 

Sophia, Hanson Robotics, США

Фото: Harriet Taylor | CNBC.

Андроид, самый совершенный  из семейства андроидов Hanson Robotics на 19 апреля 2015 года. Способен поддерживать глазной контакт с тем, с кем разговаривает. 62 различных выражений лица, выражающих эмоции. Распознавание речи с использованием Alphabet Google Chrome API. Использованы также технологии IBM и Intel. 

 

Vyimmitra, Индия

«Веммитра», индийский робот «полугуманоидного» типа. Только верхняя часть туловища, без ног. Он, как ожидается, будет на борту индийского космического корабля во-время первого беспилотного полета. Робот будет «женщиной» и станет говорить на двух языках. Представлен в январе 2020 года. 

 

Yangyang, Shanghai Shenging, Китай

Разработка Shanghai Shenging, Китай. Лицевая мимика: 43 мимических движения. Четвертый по-счету андроид компании.  

2015.04.30 Yangyang из Китая. Конкурент продукции Hanson Robotics. 

 

Natsume Soseki, Япония

Разработчик редакции неизвестен. Преподаватель для университета. 

2016.12.16 В Японии появился робот-преподаватель. Он будет читать лекции по литературе и цитировать отрывки из произведений писателя в Nishogakusha University in Tokyo. Это робот-андроид с высоким сходством с человеком, его внешность имитирует внешность Нацумэ Сосэки. Видео. 

+ + 

Эффект зловещей долины: почему нас пугают роботы-андроиды

Когда «Алиса» выдает фразу в тему, это весело. Но если робот обретает «плоть и кровь», улыбается и общается почти как человек, нам становится не по себе. РБК Тренды разобрались, почему так происходит и как это исправить

В чем суть «эффекта зловещей долины»

«Эффект зловещей долины» — это гипотеза о том, что робот или любой другой объект, который выглядит или ведет себя как человек, вызывает неприязнь и отвращение у людей-наблюдателей. Пугает не само сходство, а любое отклонение от нормы в поведении — например, заторможенная мимика.

Китайские роботы, помогающие лечить больных коронавирусом

Впервые об «эффекте зловещей долины» заговорил японский ученый-робототехник Масахиро Мори. В 1970 году он написал эссе Bukimi No Tani, а через восемь лет название его работы перевели на английский как Uncanny Valley («Зловещая долина»). Мори выдвинул идею: чем сильнее мы будем стараться, чтобы роботы были похожи на людей, тем больше отторжения они будут вызывать. Это будет происходить, пока не удастся преодолеть гипотетический провал, обозначенный как «зловещая долина». Для наглядности ученый создал график того, как может выглядеть этот путь развития человекоподобных роботов.

Серым цветом обозначена зона «зловещей долины», когда робот выглядит настолько похожим на человека, что становится ему неприятен. Эффект исчезнет, если андроид станет абсолютно идентичен человеку. (Фото: wikipedia.org)

С момента выхода эссе Мори ученые неоднократно проводили исследования, чтобы подтвердить или опровергнуть гипотезу. Например, в Индианском университете опросили группу людей, предлагая оценить андроидов разной степени «человечности». Большинство исследователей сходились во мнении, что говорить об эффекте зловещей долины еще рано: нет достаточных доказательств. Но с 2018 года эффект стал подтверждаться все чаще. Например, в публикации Хельсинкского университета было обозначено, что явление стало более устойчивым. Перейти эту «долину» до сих пор не смог ни один робот.

Какие роботы вызывают «эффект зловещей долины»

Не каждый андроид способен довести до мурашек. Чтобы это произошло, мы должны подсознательно поверить, что перед нами человек. Тогда любая его оплошность — неестественная речь, дерганная улыбка или странное выражение эмоций — может привести к «эффекту зловещей долины».

Евгений Магид, профессор Казанского федерального университета, руководитель Лаборатории интеллектуальных робототехнических систем (ЛИРС), PhD:

«Набор винтиков, датчиков и программ не вызывает у нас страха и недоверия — такой робот не выглядит как человек. Мы не ожидаем от него сногсшибательных успехов или подвохов. Зато роботы, которые близко подошли к нам по внешнему виду и интеллектуальным способностям, например геминоиды (роботы, имитирующие человеческую внешность. — РБК Тренды) гения XX века профессора Хироси Исигуро или робот София вызывают ту самую смесь разочарования, страха и недоверия, опуская нас на самое дно «зловещей долины».

Одного из самых реалистичных роботов в мире Geminoid DK вполне можно перепутать с человеком, если увидеть его на фото. Но в движении его мимика может создать жутковатые ощущения.

Geminoid DK разработан профессором Университета Осаки Хироши Исигуро вместе с коллегами из Японского научно-исследовательского института международных телекоммуникаций

Кроме того, «эффект зловещей долины» могут вызывать:

• застывшее лицо: если андроид выглядит очень реалистично — вплоть до родинок и капель пота на лбу, но при этом закрыл глаза и не двигается, наша психика может решить, что перед нами труп;
• артикуляция речи: когда робот не проговаривает слова ртом, кажется, что они доносятся откуда-то извне;
• дерганные движения, нереалистичные эмоции;
• неестественная механическая речь.

Интеллектуальный робот BINA48 может поддержать разговор на сложные темы, почти как настоящий человек. При этом его речь звучит механически, что может отталкивать людей

Немецкие ученые нашли область мозга, которая отвечает за «эффект зловещей долины». Она находится в префронтальной коре — той зоне, благодаря которой человек может размышлять. Одна часть коры пытается отделить людей от не людей, а другая, исходя из этого, оценивает, приятен ли мозгу этот субъект. Это значит, что, если однажды ученые создадут робота, которого мозг не сможет отличить от человека, «эффект зловещей долины» не возникнет.

Почему нас пугают антропоморфные роботы

Ученые до сих пор расходятся во мнениях, почему мы испытываем смешанные чувства к человекоподобным роботам. Разберем основные причины.

Влияние теории восприятия угрозы. Люди подсознательно чувствуют угрозу от неизвестного им объекта. Историк Минсу Канг предположил, что из-за этого может возникать когнитивный диссонанс при виде андроида. С одной стороны, он выглядит и ведет себя как человек, с другой — сохраняет повадки машины. Непонятно, к какой категории относить такого реалистичного робота, — отсюда тревога и неприязнь.

Невозможность сопереживать. Люди привыкли проявлять эмпатию к живым существам. Для этого им нужно распознать их эмоции и сопоставить со своими. Но не все проявления в поведении и речи робота возможно идентифицировать. В результате люди испытывают тревогу: кажется, что рушится контроль над ситуацией. Такую гипотезу выдвинула исследовательница Катрин Миссельхорн. По ее мнению, из-за невозможности сопереживать роботу сильнее всего «эффект зловещей долины» чувствуется, когда андроид стоит совсем близко к нам.

Невозможность получить адекватную обратную реакцию. Ученая Анжела Тинвелл считает, что проблема не в том, что люди не могут сопереживать роботу, а в том, что он сам не может проявлять эмпатию. Если живое существо, похожее на человека, неспособно к обратному эмоциональному отклику — например, не может рассмеяться над вашей шуткой или кивнуть головой, когда вы рассказываете историю, — это пугает. Люди могут воспринять такого робота как психопата, который может сделать все что угодно, ведь эмоции ему чужды.

Евгений Магид:

«Во-первых, у пользователей слишком большие ожидания, которые роботы пока не в состоянии оправдать. Они общаются с роботом как с живым человеком. Но технологии еще далеки от успехов природы, поэтому первое чувство восторга постепенно сменяется разочарованием и отвращением. Все как в жизни, когда человек не оправдал доверия.

Во-вторых, подсознательно люди могут чувствовать страх. Они боятся, например, что робот опасен для их жизни и здоровья, может отнять работу и даже заменить их в семье. Страх подпитывается современным кинематографом, причем настолько активно, что образованные и вполне адекватные люди спрашивают меня как эксперта: «А скоро ты сделаешь Терминатора, который нас всех уничтожит? Может, не стоит? »

В-третьих, многие люди просто не доверяют роботам — из-за общего непонимания робототехнических технологий, процессов дизайна, конструирования, программирования и тестирования роботов. Мы стараемся пролить свет на эти вещи — в Казанском федеральном университете наши магистры программы «Интеллектуальная робототехника» изучают вопросы, связанные с «эффектом зловещей долины», и принципы дизайна робота, который должен взаимодействовать с человеком».

Как работают с «эффектом зловещей долины» в сфере робототехники

Магид выделяет два способа решения проблемы зловещей долины: избегание и преодоление.

Избегание. Этот подход требует от дизайнера остановиться на кривой графика Масахиро Мори до того, как наступит пик правдоподобности.

Для большинства роботов внешнее сходство с человеком не требуется, объясняет Магид. Главное — качественное выполнение заложенного функционала: «Например, нам не нужен человекоподобный робот-сварщик с двумя ногами и головой, потому что статический промышленный манипулятор для сварки и обойдется гораздо дешевле, и справится со своей специализированной задачей лучше».

Компании-производители хотят продавать функциональный и полезный продукт, а не отпугивать потенциальных пользователей своими экспериментальными разработками.

Сервисный робот Pepper — разработка японской компании SoftBank. Он может встречать гостей в отеле, рассказывать о гаджетах в магазине или просто развлекать людей (Фото: Pexels)

Преодоление. Этот способ сложнее: он бросает вызов «эффекту зловещей долины» и предлагает создать робота, максимального похожего на человека.

При разработке роботов-геминоидов требуется преодоление «эффекта зловещей долины», когда робот — как минимум по физиологическим характеристикам в статике и динамике — не будет отличаться от человека. Это сложный и трудоемкий подход: по мнению Магида, пройдет еще минимум 20-30 лет, прежде чем мы увидим первых антропоморфных роботов, которые способны поддерживать восхищение пользователя продолжительное время.

Массовое производство таких роботов ученый ожидает не ранее конца XXI века. Однако, учитывая религиозные и нравственные нормы общества, которые нередко становятся преградой на пути развития науки и технологий, возможно, что роботы, которые могли бы перепрыгнуть «Марианскую впадину» «зловещей долины», так и останутся единичными лабораторными экземплярами.

Сможем ли мы преодолеть эффект зловещей долины: мнение эксперта

Евгений Магид:

«Я считаю, что технически «эффект зловещей долины» — явление временное. Когда мы сможем создать геминоида, который будет постоянно поддерживать в пользователе чувство восхищения, мы победим первичные признаки этого эффекта. Но есть и более глубокие подсознательные причины: страх и недоверие. Чтобы побороть их, нужно постепенно внедрять роботов во все сферы жизни и обучать детей так, чтобы они еще в детсаду понимали базовые принципы робототехники и учились программировать роботов.

Чем больше роботов появится вокруг нас — промышленных, сервисных, домашних, — тем более привычными предметами они станут для нас.

Представьте себе страх неандертальцев перед огнем или луддитов перед станками — и вы поймете, что я имею в виду. Когда роботы станут привычным элементом жизни, а принципы их работы будут понятны каждому, страх неизведанного уйдет. И роботы сделают нас лучше».

Визит Евгения Магида в лабораторию профессора Хироси Исигуро, Advanced Telecommunications Research Institute International в японском Киото. Евгений держит Telenoid R1 — робот создан как большой мобильный телефон, чтобы при голосовом общении получать дополнительные тактильные ощущения (Фото: из личного архива)

Страница не найдена

Бакалавриат и специалитет Бакалавриат и специалитет в МАИ: Подача заявления на программы высшего образования. Объявления Направления Направления подготовки по программам бакалавриата и специалитета. Экзамены и баллы Подача документов Информация о приёме документов: подача документов, список документов, заявление о приёме, справка (086), аттестат, медосмотр, паспорт, копия, адрес, контакты, график, сроки, личный кабинет, подача онлайн, электронный абитуриент Сроки приёма Особые права Преимущественное право зачисления без экзаменов (льготы) для призёров и победителей олимпиад, инвалидов, сирот, ветеранов боевых действий, подвергшихся радиации, дети погибших госслужащих: военнослужащих (терроризм), прокурорских, нацгвардии, противопожарной, таможенной службы, героев, сотрудников ОВД на войне в Чеченской республике (чечня и северный-кавказ), в т.ч. ниже прожиточного минимума, в пределах квоты. Индивидуальные достижения Целевой приём Целевое обучение в МАИ Приём граждан с ОВЗ Условия для проведения экзаменов для инвалидов, слепых, глухих, ограниченных по здоровью. Обеспечение лифтами и аудиториями без использования дистанционных технологий. Стоимость обучения Платная основа обучения в МАИ Магистратура Магистратура в МАИ: образовательные программы, подача заявления, а также IT-магистратура с экспертами из ведущих компаний. Объявления Направления Экзамены и консультации Документы Информация о приёме документов: подача документов, список документов, заявление о приёме, справка (086), аттестат, медосмотр, паспорт, копия, адрес, контакты, график, сроки, личный кабинет, подача онлайн, электронный абитуриент Сроки приёма Приём граждан с ОВЗ Условия для проведения экзаменов для инвалидов, слепых, глухих, ограниченных по здоровью. Обеспечение лифтами и аудиториями без использования дистанционных технологий. Индивидуальные достижения Стоимость обучения Платная основа обучения по программам магистратуры IT-магистратура Все образовательные программы IT-магистратуры МАИ. Московский авиационный институт входит в тройку лидеров ВУЗов, выпускающих на рынок труда самых востребованных специалистов в сфере информационных технологий согласно рейтингу HeadHunter. Среднее профессиональное образование Филиал РКТ (Ракетно-космическая техника) или техникум МАИ (колледж) проводит выпускает программистов, бухгалтеров, электромонтажников, техников и технологов. Обучение проводится в городе Химки, Московской области Направления Экзамены Документы Информация о приёме документов: подача документов, список документов, заявление о приёме, справка (086), аттестат, медосмотр, паспорт, копия, адрес, контакты, график, сроки. Стоимость обучения Иностранным гражданам Приём иностранных граждан, в т.ч. СНГ со статусом соотечественника на бюджетную основу, т.е. бесплатно Объявления Приказы о зачислении Списки поступающих Календарь День открытых дверей, сроки приёма, мастер-классы, университетские субботы

Контакты Контакты, почта, телефон, адрес и схема проезда приёмной комиссии. Основной кампус Контакты, почта, телефон, адрес и схема проезда приёмной комиссии. Официальная группа вконтакте vk «поступи в маи». Филиалы МАИ Контакты, почта, телефоны, адреса и сайты филиалов МАИ в городе Байконур (Казахстан), Ахтубинск (Астраханская область), Химки, Ступино, Жуковский (Московская область) Приём документов online Подача заявления онлайн через личный кабинет или госуслуги. Приём документов по почте Подача заявления по почтовому адресу МАИ. Личный кабинет Меганаправления Официальные документы Дни открытых дверей Школьникам Предуниверсарий ПУМ — средняя школа для учеников 8–11 классов. Как подготовиться к поступлению в предуниверсарий. Онлайн-тур по МАИ

Скотт Картер — Андроид, человек, андроид читать онлайн

Скотт Уильям Картер

Андроид, человек, андроид

Иллюстрация Евгения Капустянского

Когда мы с Джинджи виделись в последний раз, она щеголяла тремя грудями вместо двух. По мне, так и пара — идеал, но ведь на белом свете полно ребят, для которых хорошего не бывает слишком много.

Выйдя из душа, я обнаружил в своем номере незваную гостью. Она сидела на краю койки, облаченная в нечто розово-шелковое: внизу сбоку вырез, позволяющий вдоволь налюбоваться длиннющими ногами, а сверху глубочайшее декольте, демонстрирующее то, чего много не бывает.

Сам-то я был голым, если не считать полотенца вокруг бедер. Из ванной и от моей кожи шел парок. За широченным, во всю стену, тонированным стеклом жужжали и гудели версатийские воздушные гондолы, все куда-то спешили, будто им был назначен срочный сбор в определенной точке планеты.

— Мне твоя помощь нужна, — услышал я.

Ни тебе «здрасьте». Ни «как поживаешь». Ни «прости, что разбила сердце, заодно опустошив твой банковский счет, угнав корабль и прихватив всю коллекцию голографических дисков за двадцатый век».

В последний раз я ее видел аккурат перед тем, как пошел под душ. И вот выхожу — а она снова здесь.

— Своеобразное у тебя чувство юмора.

— Ты о чем?

— Не важно. Как ты сюда проникла?

Она пожала плечами.

— Внизу дала на лапу администратору. Он меня, конечно, принял за проститутку.

— Но ты же и есть проститутка.

Она укоризненно поцокала языком.

— Это в прошлой жизни. Сейчас я добропорядочная дама, жена богатейшего строителя нуль-порталов в освоенной человечеством части Вселенной. И сделай милость, прекрати таращиться на мои сиськи. Не такая уж это диковина по нынешним-то временам.

— Ну, извини. Я вообще-то здесь работаю. И тебя не звал.

— Ты? Работаешь? В этакой дыре?

— Проверяю гостиничную систему охраны.

Она пренебрежительно помахала рукой.

— Подумать только, до чего может опуститься человек. И с каких же это пор наш Декстер не брезгует черной работой?

— Видишь ли, Джинджи, после того как ты от меня сбежала, очень многое изменилось.

Она сделала обиженное лицо — нижняя губа оттопырена, глаза слегка округлены. В старые добрые времена на меня это действовало безотказно, а сейчас показалось наивным… Впрочем, в ней всегда было что-то детское.

— Ах, миленький, — проворковала Джинджи, — уж не горечь ли я слышу в твоем голосе? Надеюсь, это пройдет, ведь время — лучший пекарь.

— Лекарь, — машинально поправил я.

— Да как скажешь… Вот что: если хочешь затащить меня в койку, не тушуйся. Нам бы не мешало разрядить атмосферу.

— Ты ведь замужем! Сама только что сказала.

— Вряд ли это его встревожит, — пожала плечами она. — Он теперь вообще не способен ни о чем беспокоиться. В том-то и заключается моя проблема… отчасти.

— Ах, какие мы жалостливые! Хочешь, дам репсайтерскую арфу и отведу на ближайшую станцию, там напоешь себе на проездной жетон.

Она тяжко вздохнула и встала, разглаживая ладонями платье.

— Ну так что, ты надумал или нет?

— Да я скорее лягу с парочкой морнальских древесных червей-кровососов! У тех, по крайней мере, эмоции есть, пусть их всего лишь две: страх и безбоязненность. О тебе и этого не скажешь.

— Спорим, если оно вдруг упадет, — указала Джинджи на мое полотенце, — окажется, что ты думаешь совсем по-другому. Кое-что мужчина никогда не скроет от женщины.

Я возмущенно фыркнул и направился к встроенному шкафу, при моем приближении дверцы ушли в стену. Плитки пола студили мне босые ноги. Одевался я быстро — если честно, побаивался, как бы тело не пошло наперекор благим намерениям рассудка. Но прежде чем успел надеть брюки, проклятое полотенце соскользнуло, показав Джинджи все, что я мог бы ей предложить.

Мог бы, но не предложил.

— Ой, откуда это?

Я не сразу сообразил, что она имеет в виду шрамы.

— Джинджи, ты ведь в курсе, какая у меня профессия.

— Да, но раньше-то ничего такого не было.

Я натянул через голову рубашку и поправил воротник.

— Раньше я был моложе. А теперь не всегда успеваю.

— Может, пора менять профессию? — спросила она.

— Может, тебе заползти обратно в нору под камнем, или где ты все это время отсиживалась? — вонзил я в нее испепеляющий взгляд.

Она смотрела в ответ с наигранной безмятежностью, с мягким весельем, как на малое и несмышленое дитя. Я же, не сводя с нее злых глаз, приложил ладонь к сканеру прикроватного сейфа, достал лазерный пистолет и проверил заряд. Как и положено, на максимуме. Снова повернулся к Джинджи — не переменилась ли она в лице, увидев ствол? Нет, смотрит, точно на двухлетнего. Я надел плечевую кобуру, поместил в нее оружие, затем облачился в кожаную куртку и сунул ноги в ботинки. И лишь когда направился к выходу, гостья нарушила молчание.

— Так и быть объясню, почему я здесь.

Я остановился, но не повернулся:

— Но только учти: что бы ты ни сказала, помогать я не собираюсь.

— Даже если заплачу?

— Если заплатишь — тем более.

— А если я предложу огромные деньжищи?

— Даже… даже в этом случае.

Я замялся на долю секунды, но успел за это время подумать о плачевном состоянии своего банковского счета, о сушено-мороженых пищевых кубиках, которыми перебивался уже несколько месяцев… Всего лишь мгновение слабости, но от Джинджи оно не укрылось — так паук чувствует любой рывок сплетенной им паутины.

— Миленький! — Ее каблучки зацокали по плиткам пола, и в следующий момент голос зазвучал рядом. — Ты ж пойми, я теперь очень богатый человек. И могу выплатить десять твоих обычных гонораров.

— Не соглашусь и за двадцать.

— Тогда предлагаю двадцать пять.

Я не имел ни малейшего представления о том, чего она потребует от меня, но вряд ли заказ способен мне понравиться. Однако, как известно, даже пустяковая работа подчас приносит большой куш. Чем черт не шутит. Сколько раз я уже пытался поправить свои дела, но почему-то всегда неудачно. Почти всегда с неимоверным трудом добытые деньги уходили на лечение «производственных травм». В плане оплаты предложение Джинджи выглядело крайне заманчивым. Шутка ли — двадцатипятикратный гонорар. Можно наконец обзавестись кораблем и даже парочкой роботов для мелких поручений.

Джинджи дотронулась до моего плеча, и я напрягся.

— Дафф, — прошептала она, — неужто и вправду тебе было так плохо?

— Да, Джинджи. Ничего хорошего.

— Совсем-совсем ничего?

Я поворошил воспоминания. После Джинджи у меня были женщины, некоторые из них тоже ухитрились разбить сердце — ну, везет мне на это дело, уж не знаю почему. Только ведь она нанесла удар самой первой, и с тех пор я всегда был настороже.

Читать дальше

Почти человек: реалистичность этого робота озадачивает

11 мая 2018

Автор фото, Getty Images

Инженеры британской компании Engineered Arts работают над человекоподобным роботом: его зовут Фред, и не только скелет, но и его почти человеческие черты лица механикам вполне удались.

У робота — седые волосы и потрёпанный вид: Фред всем похож на мужчину средних лет с максимально невзрачной манерой одеваться.

Но он всё же андроид — продукт компании Engineered Arts, базирующейся в английском Корнуолле.

Компания уже производила роботов для парков разлечений и роботов-информаторов, например, в киосках.

Фред же — нечто совсем иное: настоящий андроид из свежайшей линейки конструктора под названием Mesmer, которого изготовили по заказу создателей сериала «Мир Дикого запада» (Westworld) для нового сезона фантастической саги.

Автор фото, Getty Images

Подпись к фото,

Таким был скелет Фреда

Автор фото, Getty Images

Подпись к фото,

Отлитые формы лиц для роботов Mesmer

Эксперты Engineered Arts дали Фреду возможность говорить о возможных преимуществах андроидов перед людьми. Среди прочего, робот может невзначай спросить: «Не кажется ли вам, что лучшие дни человечества уже позади?»

Автор фото, Getty Images

Подпись к фото,

Если не смотреть на затылок Фреда, можно не сразу осознать его принадлежность к роботам

Ранее компания изготовила ряд роботов в виде исторических личностей для музея Мадам Тюссо в Лондоне, Шанхае и Нью-Йорке.

Автор фото, Getty Images

Подпись к фото,

Фред — один из сложнейших роботов компании

Фред умеет моргать, зевать и болтать без умолку.

Автор фото, Getty Images

Подпись к фото,

Фреду даже можно подстричь излишне кустистые брови — для пущей выразительности

В апреле Фреда выпустили пообщаться с посетителями паба в Лондоне, и некоторых людей этот диалог даже напугал.

Автор фото, PA

Подпись к фото,

Скальп Фреда можно снять безболезненно

На создание Фреда ушло 12 недель: помимо тысяч строчек кода программирования, инженеры за это время собрали его металлический скелет, вставили акриловые глаза и натянули силиконовую кожу, чтобы сделать его максимально похожим на человека — 55-летнего лондонского актёра Тедроя Ньюэлла, чьё лицо подверглось тщательному 3D-сканированию.

Автор фото, PA

Подпись к фото,

Где актёр, а где — робот?

Судя по всему, доброволец Ньюэлл оказался очень доволен своим андроидным аватаром.

Автор фото, PA

Подпись к фото,

Последние штрихи — и Фред совсем как живой!

польза и проблемы антропоморфных механизмов / Хабр

Идея сделать робота максимально похожим на человека появилась раньше, чем сами роботы, — в пьесе Карела Чапека R. U.R. (термин тоже придумал Чапек) роботы были полностью похожи на людей. Но нужны ли человекоподобные роботы на самом деле? Где используются андроиды и почему они так скупы на эмоции? Рассказываем в новой статье.

Специализированные роботы при сборке автомобилей, переносе грузов и выполнении других программ справляются со своими задачами значительно лучше людей, но кроме выполнения своего узкого круга обязанностей такие роботы ни для чего иного не годятся. Если нам нужен максимально универсальный робот, он должен комфортно чувствовать себя в человеческой среде и инфраструктуре, а значит, ему необходимо быть похожим на человека — в конце концов, робот-пылесос не сможет достать чашку с полки, а робот-сварщик не расскажет, как пройти в библиотеку.

Яркие исторические робоперсонажи

В 1927 году, спустя семь лет после написания

пьесы

R.U.R., американская Westinghouse Electric Company представила Мистера Герберта Телевокса — робота, принимавшего через телефон сигналы, которые активировали заложенную в нём программу. По утверждению создателя, Телевокс мог включить плиту или проверить, работает ли свет в доме. В некотором роде, Телевокс был не просто роботом, а составляющей «умного» дома. Антропоморфность в Телевоксе была лишь беcполезной декорацией.

Один из Телевоксов со своим создателем Роем Уэнсли. Источник: Acme Telepictures/NEA

Появившийся спустя 10 лет в США робот Elektro был ростом с человека и мог выполнять 26 различных действий, в том числе ходить. Он управлялся при помощи голоса, но реагировал не на слова, а на их число — два отдельных услышанных слова включали движение, три значили остановку, четыре любых сказанных слова возвращали Elektro в начальное положение. Отдельный мотор во рту помогал роботу надувать воздушные шары и… курить. Именно с тех пор человекоподобные роботы в основном сохраняют развлекательную направленность.

Робот Elektro и его робопёс Sparko. Источник: Daderot / Wikimedia

Лишь в 1970 году в Японии был представлен созданный Университетом Васэда первый человекоподобный робот, способный переносить грузы, — WABOT-1. Он умел общаться на японском языке, вычислял расстояния, выбирал направление движения и переносил в руках предметы.

WABOT-1 — первый человекоподобный робот, способный приносить пользу. Источник: Waseda University

Современные роботы и что с ними не так

Со дня появления Мистера Телевокса прошло 90 лет. Технологии за это время совершили колоссальный рывок, а человекоподобные роботы как были, так и остались развлекательным или информационным устройством с очень ограниченной сферой применения.

Одним из самых прославившихся в последние годы роботов стала Sophia от Hanson Robotics. Она умеет выражать до 60 эмоций, распознавать речь и генерировать ответы на основании собственного опыта и данных из интернета. София представляет собой лишь демонстрационную разработку, приносящую пользу как промо-проект, — по признанию экспертов, пока робот является обычным чат-ботом с весьма специфической мимикой, ничего по-настоящему полезного София не умеет.

Sophia — очень эмоциональный робот, но прозрачная крышка на затылке немного пугает. Источник: International Telecommunication Union

Другой робот-консультант, Айко Чихира (Aiko Chihira), созданный Toshiba, имеет более традиционную внешность и меньший, но более реалистичный набор мимики. Айко была представлена в 2014 году и сразу произвела фурор, а полгода спустя даже поработала пару дней консультантом в торговом центре в Токио. Чихира двигает глазами, головой и руками, в ней задействованы 43 двигательных механизма, робот распознает голос и отвечает репликами на хорошо поставленном японском или английском.

Робот Айко Чихира от Toshiba рассказывает о себе на выставке CEATEC 2014

В Toshiba Айко называют роботом для взаимодействия с людьми (communication robot). Разработчики рассчитывают использовать таких робоконсультантов в сфере услуг, а также в медицине для наблюдения за пациентами и общения с ними, однако все это случится в не самом ближайшем будущем. Айко не умеет ходить и сейчас может выполнять только функцию стационарного справочного бюро.

Айко Чихира на своём временном рабочем месте в торговом центре. Источник: Toshiba

Есть множество других человекоподобных роботов, менее известных, но не менее интересных: Actroid-SIT во время разговора смотрит в глаза и может прикасаться к собеседнику, а Harmony стала первым роботом для интима, способной поддержать разговор на пикантные темы. Но при текущем уровне развития технологий все они — дорогие стационарные собеседники и не больше. Учёные же мечтают о роботах-спасателях, разгребающих завалы, роботах-исследователях, работающих с инструментами в экстремальных условиях, роботах-помощниках, повторяющих ручной труд людей.

Универсальный антропоморфный робот — это очень сложная совокупность опорно-двигательного аппарата, механических конечностей, системы распознавания голоса, пространства и нейросетей, способных обрабатывать и понимать окружающую обстановку и голосовые команды. По отдельности в этих областях достигнуты определенные успехи.

Так, современные роботы могут поддержать разговор на уровне голосовых ассистентов типа Siri, однако пока разговор между машиной и человеком далек от диалога двух людей.

Прямохождение на двух ногах также совершило большой рывок за последние тридцать лет — стоит сравнить хотя бы неторопливые движения Honda E0 и пробежку Atlas. Правда, для обеспечения такой подвижности Atlas получил оборудования на 80 кг и рост около 180 см. Что же умеет этот, пожалуй, самый впечатляющий робот современности? Пока, только переносить пятикилограммовые коробки. Кстати, присмотритесь к голове робота — там вращается лидар, сканирующий окружающее пространство и составляющий объемную карту мира вокруг. Это позволяет роботу максимально точно реагировать на препятствия, а именно обходить или перешагивать их. О работе лидаров мы рассказывали в нашем материале о беспилотных автомобилях.

Так SpotMini видит мир с помощью компактного лидара Velodyne VLP-16 Источник: кадр из видеоролика Boston Dynamics

Самой большой сложностью является мозг робота. Машины могут адекватно реагировать на людей и мебель, избегать опасности, разговаривать и более-менее понимать, чего от них хотят. Но уровень самостоятельности у современных человекоподобных роботов где-то на уровне двухлетнего ребенка — он сообразит взять кубик или открыть дверь, но на более сложные вещи, не предусмотренные чёткой программой, робот не способен. Пройдут многие годы, прежде чем робот сможет взять в руки обычный строительный инструмент и без какой-либо помощи со стороны построить простейший сарайчик.

Если объединить самые современные компоненты для создания антропоморфного робота, то в результате получится не очень ловкое, не очень сообразительное и не очень полезное создание с космической ценой. Например, каждый Honda Asimo — маленький робот, умеющий ходить по лестницам и пинать мяч, — обходится в миллион долларов, а в лизинг его можно взять за $150 тысяч в месяц. Вывод, к сожалению, очень прозаичный: современные человекоподобные роботы остаются специализированными машинами (а-ля робот-консультант). Создать по-настоящему универсального робота не позволяют технологии и финансовый аспект.

«Зловещая долина» роботов

Элементы человеческой внешности, то есть кожа, глаза, волосы, не являются необходимыми для робота, они — не более чем украшение для повышения привлекательности механизма. Большинство антропоморфных роботов представляют собой голый «скелет» (см. случаи российского Фёдора, Atlas от Boston Dynamics, Honda Asimo). Каркасная конструкция без кожи упрощает доступ к компонентам, облегчает разработку благодаря отказу от лицевой мимики и избавляет робота от потенциальной проблемы

«зловещей долины»

.

Этим термином обозначается эффект, при котором объекты, выглядящие и действующие как люди, вызывают у наблюдателей отвращение — так как недостаточно на них похожи. Название эффекта произошло от провала на графике, представленном в исследовании японского учёного Масахиро Мори. Тот в 1978 году провёл опрос, показавший, что в определённый момент похожесть робота на человека уже не привлекает, а отталкивает. Общепринятого объяснения этому психологическому механизму до сих пор не существует. Предполагается, что человек неосознанно замечает внешние отклонения других людей от некой привычной нормальности.

График из исследования Масахиро Мори, отражающий симпатию человека к рукотворным объектам в зависимости от их похожести на людей. Источник: Wikimedia

При определённом уровне реалистичности объекта человеческий мозг думает, что перед ним находится живой человек. Но затем мы видим неестественные движения рук, «мёртвую» мимику и нечеловеческий голос, из-за чего наступает когнитивный диссонанс, выраженный в испуге и неприязни. Робот создаёт иллюзию человека, а мы подсознательно перестаём понимать, что находится перед нами, и чувствуем в этом угрозу.

Антропоморфные роботы существуют уже давно, и сейчас они как никогда похожи на людей. Внешне. Функционально любой андроид проигрывает любому специализированному роботу и человеку — несмотря на немалую историю робототехники мечта об универсальном помощнике так и остается мечтой.

Ну и напоследок, минутка юмора — свидание Уилла Смита с роботом Софией. С роботами «метод Хитча» работает так себе.

Google анонсировала Android 12 Go — облегченной версией ОС уже пользуется 200 млн человек ежедневно

Количество ежедневных активных пользователей Android Go Это специальная версия ОС Google для бюджетных смартфонов с объемом ОЗУ 2 ГБ и меньше достигло отметки в 200 млн.

Android Go (или Go Edition) — специальная, облегченная версия операционной системы Android для недорогих смартфонов со слабой аппаратной начинкой с прицелом на развивающиеся рынки. Инициатива была запущена в 2017 году, после чего вышли Android 8 Oreo (Go Edition), Android 9 Pie (Go edition), Android 10 (Go edition) и Android 11 Go. И вот сейчас Google анонсировала следующее обновление облегченной версии Android 12 Go. Обновление добавляет множество функций из обычной версии Android 12, которая вышла в октябре, большему числу устройств.

Пожалуй, самое заметное и полезное улучшение — телефоны с Android 12 (Go edition) позволят запускать приложения до 30% быстрее и с более плавной анимацией. По словам Google, обновление устраняет пустой экран, который раньше появлялся на короткое время при запуске приложений —  теперь они открываются без задержки.

Разработчики обещают, что Android 12 Go ускорит запуск приложений на 30% по сравнению с Android 11 Go

Многие ключевые особенности Android 12 перекочевали в облегченную Go edition, в том числе и новая панель конфиденциальности, которая объединяет в одном месте все настройки приватности, позволяет управлять разрешениями приложений и предупреждает о любых обращениях в буфер обмена. Также можно рассчитывать на встроенную функцию перевода, автоматический режим спящих приложений, который помогает экономить заряд аккумулятора, и удобную функцию с предоставлением временного доступа к тому или иному приложению устройствам поблизости без необходимости расходовать трафик на его загрузку.

Пока неясно, какие устройства получат обновление Android 12 (Go edition) и когда именно оно станет доступно. Google указывает только 2022 год в качестве сроков доступности апдейта.

В мае количество активных устройств Android в мире превысило 3 миллиарда, а Android 12 (Go edition) стала третьим изданием актуальной версии Android 12 — в начале месяца вышла первая бета-версия Android 12L для планшетов и складных смартфонов.

Как использовать Man Down на Android-смартфонах

Man Down — новейшая функция для одиноких рабочих, предоставленная Ok Alone. Наше приложение Man Down представляет автоматическое обнаружение в функции безопасности на основе движения для телефонов Android, доступной для любой учетной записи с последней версией приложения для смартфонов Ok Alone.

Что такое Man Down для одиноких работников?

Системы приложений Man down (рабочий упал) откалиброваны с помощью алгоритмов обнаружения для автоматического обнаружения движения или отсутствия движения.Используя собственный телефон рабочего (iPhone или Android), функция Man Down может быть установлена ​​работником на период времени (1 минута-1 час), и если в течение этого времени не было никакого движения, звучит сигнал тревоги. Этот сигнал тревоги позволяет работнику зарегистрироваться и убедиться, что с ним все в порядке. Если работник не реагирует на сигнал тревоги, то его начальнику отправляется предупреждение о том, что движения не было.

Как использовать Man Down на Android-смартфоне

Man down настраивается работником на его смартфоне.Чтобы включить его и выбрать время движения, зайдите в меню и выберите настройки.

Настройки Man Down теперь доступны для Android-смартфонов

В настройках одинокий работник может включить функцию Man Down и выбрать время между движениями. Например, этот одинокий работник выбрал 5 минут. После включения, если они не двигаются в течение 5 минут, приложение отправит уведомления, чтобы проверить, все ли в порядке.

У этого одинокого рабочего есть человек. Телефон отслеживает их местоположение, и если они не двигаются в течение 5 минут, приложение попытается предупредить работника.

Если телефон не может обнаружить какое-либо движение, он попытается предупредить работника и попросить его подтвердить, что с ним все в порядке. Проверка с работником перед тем, как предупредить руководителей, устранит ложные тревоги.

Этот рабочий не двигался в течение 5 минут, поэтому приложение «человек упал» хочет проверить, все ли с ним в порядке. Если рабочий продолжает двигаться, то никакое оповещение никогда не сработает. Однако, если они не могут двигаться, возможно, из-за потери сознания, и не отвечают на уведомления, их монитор будет предупрежден.Эта функция позволяет одиноким рабочим устройствам давать сотрудникам уверенность в том, что если что-то пойдет не так, супервайзер будет предупрежден в режиме реального времени.

Man-in-the-Disk: новый способ взломать Android

Android — хорошая операционная система, разработчики которой действительно заботятся о безопасности, но с таким количеством версий ОС и приложений следить за всеми из них — сложная задача. Поэтому довольно часто появляются новые способы обхода встроенных механизмов безопасности. Последний способ взломать Android называется «Человек-в-диске», и именно о нем мы и поговорим.

«Песочницы», основа безопасности Android

Ключевой принцип Android заключается в том, что все приложения должны быть изолированы друг от друга. Это достигается за счет использования так называемых песочниц. Каждое приложение вместе со своими личными файлами живет в «песочнице», к которой другие приложения не могут получить доступ.

Идея состоит в том, чтобы удержать вредоносное приложение, даже если оно проникнет на ваше устройство Android, от кражи данных, хранящихся в других хороших приложениях, таких как имя пользователя и пароль вашего приложения для онлайн-банкинга или история ваших сообщений. Неудивительно, что хакеры усердно работают над поиском новых способов обхода механизма, преследуя то, что называется «побегом из песочницы». Им тоже время от времени это удается.

Например, выступление Славы Маккавеева на DEF CON 26 было посвящено тому, как приложение без особо опасных или подозрительных разрешений может выйти из песочницы. Он назвал метод «Человек-в-диске» в честь известного типа атаки «Человек посередине».

Как работает атака Man-in-the-Disk

Помимо областей песочницы, в которых хранятся файлы приложений, Android имеет общее внешнее хранилище с соответствующим названием «Внешнее хранилище».Приложение должно запрашивать у пользователя разрешение на доступ к хранилищу: «Доступ к фотографиям, мультимедиа и файлам на вашем устройстве» (фактически это два разрешения — READ_EXTERNAL_STORAGE и WRITE_EXTERNAL_STORAGE). Эти привилегии обычно не считаются опасными, и почти каждое приложение запрашивает их, поэтому в этом запросе нет ничего подозрительного.

Приложения используют внешнее хранилище для множества полезных вещей, например для обмена файлами или передачи файлов между смартфоном и компьютером.Однако внешнее хранилище также часто используется для временного хранения данных, загруженных из Интернета: сначала данные записываются в общую часть диска, а уже потом переносятся в изолированную область, к которой имеет доступ только это конкретное приложение.

Например, приложение может временно использовать эту область для хранения дополнительных модулей, которые оно устанавливает для расширения своей функциональности, дополнительного содержимого, такого как словари или обновления. Проблема в том, что любое приложение с доступом на чтение/запись к внешнему хранилищу может получить доступ к файлам и модифицировать их, добавляя что-то вредоносное.

В реальной жизни вы можете установить, казалось бы, безобидное приложение, например игру, которая, тем не менее, может заразить ваш смартфон чем-то по-настоящему неприятным.

Создатели Android действительно понимают, что использование внешнего хранилища может быть опасным, и на сайте разработчиков Android даже есть несколько полезных советов для разработчиков приложений.

Проблема в том, что не все разработчики приложений, даже сотрудники Google или некоторые производители смартфонов следуют этому совету.Примеры, представленные Славой Маккавеевым, включают эксплуатацию уязвимости в Google Translate, Яндекс.Переводчик, Google Voice Typing и Google Text-to-Speech, а также в системных приложениях LG и браузере Xiaomi.

Кстати, исследователи Google недавно обнаружили, что та же самая атака Man-in-the-Disk может быть применена к Android-версии очень популярной игры Fortnite. Чтобы загрузить игру, пользователям необходимо сначала установить вспомогательное приложение, и предполагается, что оно загружает файлы игры.Оказывается, используя атаку Man-in-the-Disk, кто-то может обманом заставить помощника установить вредоносное приложение. Разработчики Fortnite — Epic Games — знают об этой уязвимости и уже выпустили новую версию установщика. Так что, если вам нравится Fortnite, используйте версию 2.1.0, чтобы оставаться в безопасности. Если у вас уже установлен Fortnite, удалите, а затем переустановите его с нуля, используя вышеупомянутую версию.

Как защитить Android от атаки «Человек-в-диске»

Маккавеев выделил всего несколько действительно популярных приложений, чтобы продемонстрировать, насколько все плохо, но уязвимых приложений, вероятно, много.

Как защитить себя? У нас есть несколько советов, которым легко следовать:

• Устанавливайте приложения только из официальных магазинов, таких как Google Play. Вредоносное ПО проникает, но гораздо реже и регулярно удаляется.
• Отключить установку приложений из сторонних источников в настройках смартфона или планшета; это самые опасные источники. Для этого выберите Настройки -> Безопасность и снимите флажок Неизвестные источники .

• Выбирайте приложения проверенных разработчиков. Проверьте рейтинг приложения и прочитайте отзывы. Не устанавливайте ничего, что выглядит подозрительно.
• Не устанавливайте ничего, что вам не нужно. Чем меньше приложений у вас на смартфоне, тем лучше.
• Не забудьте удалить приложения, которые вам больше не нужны.
• Используйте надежное мобильное антивирусное приложение, которое своевременно уведомит вас, если вредоносное приложение попытается проникнуть на ваше устройство.

Должен ли ваш бизнес создавать приложение для Android или iOS? |

Мобильный маркетинг, особенно в виде приложений, которые можно использовать для эффективного общения с вашими клиентами, стал деловым явлением, которое большинство компаний просто не может позволить себе игнорировать на современном конкурентном рынке. Хотя важно, не менее важно определить, на каких пользователей вы хотите ориентироваться. Собираетесь ли вы разрабатывать приложение для систем, работающих с iOS от Apple, или у вас больше шансов выбрать Разработка приложений для Android ? Правильный ответ на этот вопрос поможет обеспечить наилучший результат вашей кампании мобильного маркетинга. Итак, давайте рассмотрим, что мы можем об этих двух очень разных операционных системах.

Что такое мобильный маркетинг и зачем разрабатывать приложение?

Мобильный маркетинг уже некоторое время находится на подъеме, и в настоящее время тех, кто ищет услуги с помощью мобильных телефонов, больше, чем тех, кто использует ПК, Mac и ноутбуки. С постоянно растущей популярностью разработки приложений целевая аудитория может загрузить приложение прямо на свой телефон, чтобы обеспечить постоянный контакт между ними и маркетологами.Их можно использовать для повышения узнаваемости бренда, повышения вовлеченности клиентов или для создания платформы в режиме реального времени для двусторонней связи, систем вознаграждений, отзывов об услугах и продуктах, а также рекламных акций. Хотя единого идеального подхода к разработке приложений не существует. Существуют различные платформы, каждая из которых создает свои собственные проблемы и преимущества, и подход каждого менеджера по маркетингу к разработке приложений будет различаться в зависимости от их целей, ресурсов и потребностей.

Разработка для iOS

iOS была разработана Apple Incorporated и представляет собой операционную систему, совместимую исключительно с устройствами Apple, такими как iPhone и планшеты.Эта эксклюзивность зависит от функциональности и возможностей оборудования, а это означает, что приложения, разработанные для iOS, могут использовать только клиенты, использующие продукты Apple. В начале этого года iOS пользовалась большой популярностью, поскольку iPhone 7, 7 Plus и 6s занимали большую долю рынка, чем устройства Android, такие как Samsung Galaxy S7 и S7 Edge, с долей рынка около 31%.

Разработка для Android

Прежде чем отказаться от необходимости разработки приложений для Android , вы должны принять к сведению, что устройства Android в то же время занимали около 29% доли рынка, что означало бы потерю огромной части целевой аудитории для вас, если вы это сделаете. .Android — это система с открытым исходным кодом, используемая для мобильных устройств, что означает, что ее исходный код и комплекты для разработки можно использовать бесплатно. Это привело к тому, что он стал довольно популярным выбором для разработчиков. Он также был разработан Google и имеет около 2 миллиардов пользователей по всему миру; это часть рынка, которую вы не можете позволить себе игнорировать.

Свяжитесь с Applord сегодня

Если вам нужна дополнительная информация о разработке приложения для iOS или Android для вашей компании, поговорите с консультантом из Applord сегодня или посетите наш веб-сайт для получения дополнительной информации о наших услугах.

Человек, который создал Android, только что выпустил новый смартфон

Создатель Android наконец представил новый смартфон, над которым он работал.

Во вторник Энди Рубин представил первый смартфон от Essential, его новой компании, после нескольких месяцев насмешек.

PH-1 — это Android-устройство, обладающее некоторыми интересными функциями и явно предназначенное для того, чтобы конкурировать с лучшими смартфонами Apple и Samsung.

Первое, что бросается в глаза на фотографиях топового устройства, — это экран: он занимает почти всю переднюю панель, подходя так близко к краю, что огибает селфи-камеру.

Еще одна примечательная особенность: модульность. Он имеет магнитные разъемы на задней панели устройства, которые позволяют подключать аксессуары, в том числе 360-градусную камеру, которую можно заказать вместе с телефоном.

Говоря о заказе, стоит 749 долларов, чтобы зарезервировать его, разблокированный и со 128 ГБ встроенной памяти, а также с камерой на 360 градусов.Только для телефона это будет стоить 699 долларов. Но, к сожалению, для международных клиентов, для начала он доступен только в США.

Essential

Наряду с 128 ГБ встроенной памяти он оснащен 4 ГБ оперативной памяти и процессором Qualcomm Snapdragon 835.

Корпус выполнен из титана и керамики и представлен в четырех цветах: Black Moon (глянцево-черный), Stellar Grey (матовый темно-серый), Pure White (глянцево-белый) и Ocean Depths (глянцево-зеленый с бронзовыми боками). .

Экран имеет внушительные 5,7 дюйма — даже больше, чем 5,5-дюймовый экран iPhone 7 Plus, — но относительное отсутствие рамок на нем означает, что он занимает меньше места, чем можно было бы ожидать. Основная камера имеет разрешение 13 мегапикселей, а фронтальная — 8 мегапикселей. Оба снимают видео в формате 4K.

Essential

В целом, это устройство премиум-класса, и при этом интересное, предназначенное для клиентов высокого класса, которые обычно покупают устройства Samsung и Apple.(Он даже сравнивает себя с ними напрямую, когда показывает, как его титановый корпус выдерживает испытание на падение.) Большой вопрос заключается в том, сможет ли он с этим справиться.

Первоначально этот пост появился в Business Insider.

Как MitM атаковать API Android-приложения

В предыдущей статье мы видели, как выполнить атаку MitM для кражи ключа API, но этот подход требовал установки прокси-сертификата на устройство Android через хранилище доверенных сертификатов пользователя.

Существует более простой способ, и в этой статье я покажу, как использовать эмулятор Android с файловой системой, доступной для записи, что позволит нам установить прокси-сертификат непосредственно в доверенное хранилище системы, без необходимости рутировать эмулятор или вносить изменения. в мобильном приложении.

Что отличается от предыдущего подхода?

Вкратце, предыдущий подход выполнялся с реальным мобильным устройством и требовал переупаковки мобильного приложения, а этот подход использует эмулятор и не требует переупаковки мобильного приложения.

Начиная с Android API 24, ОС Android (операционная система) требует, чтобы мобильные приложения явно соглашались доверять предоставленным пользователем сертификатам, как вы можете прочитать в этом объявлении. Это было важным улучшением безопасности ОС Android, чтобы предотвратить установку сертификатов обычными пользователями, которые затем позволили бы злоумышленнику использовать MitM для каждого исходящего HTTP-запроса. К сожалению, это не мешает решительным злоумышленникам обойти его на устройстве, которое они контролируют.

Таким образом, если атакуемое мобильное приложение работает на Android API 23 и ниже, предыдущий подход может работать без необходимости переупаковывать мобильное приложение, поскольку сертификаты, предоставленные пользователем, будут доверенными, если закрепление сертификата не было реализовано с помощью библиотеки или пользовательского кода. .

Подход, описанный в этой статье, использует эмулятор, позволяющий запускать операционную систему Android в режиме записи, чтобы мы могли внедрить пользовательский сертификат mitmproxy в доверенное хранилище системы. Это избавляет от необходимости добавлять сертификат в доверенное хранилище пользователя и переупаковывать мобильное приложение, чтобы оно доверяло предоставленным пользователем сертификатам, как это требуется начиная с Android API 24. Преимущество подхода, описанного в этой статье, заключается в использовании того же метод, позволяющий сделать пользовательский сертификат доверенным для системы в любой версии Android API, где можно запустить эмулятор с доступной для записи файловой системой.

Кроме того, использование эмулятора с файловой системой с возможностью записи дает злоумышленнику большие возможности для обхода мер безопасности, действующих в мобильном приложении, и это не ограничивается внедрением пользовательских сертификатов; этот подход также можно использовать для установки и запуска дополнительных инструментов. В следующей статье мы рассмотрим, как установить инструментальную среду, чтобы иметь возможность подключаться к коду во время выполнения и изменять его поведение.

Контекст атаки MitM

Злоумышленник может захотеть перехватить обмен данными между вашим мобильным приложением и вашим API-сервером, чтобы собрать достаточно информации для автоматизации атак на него или просто изменить или перенаправить ваши данные на лету.

Законные пользователи, желающие обойти ограничения, налагаемые пользовательским интерфейсом мобильного приложения, для доступа к определенным службам, если эти службы доступны через API. Лишь одним из многих возможных примеров может быть случай, когда законный пользователь мобильного приложения может захотеть геймифицировать или получить доступ к функциям/ресурсам, недоступным в его/ее текущем плане подписки, или потому что он хочет получить/использовать больше бонусных баллов или скидок. ваучеры, на которые им разрешено или которые они имеют право.

Атака MitM подходит для всех?

Существует множество инструментов с открытым исходным кодом, чтобы помочь нам с тем, что кажется сложной задачей, с которой справляются только хакеры, пентестеры и исследователи безопасности.

Хорошей новостью является то, что вам не нужно быть одним из них, чтобы иметь возможность выполнять MitM-атаку, вам просто нужно быть кем-то, кто чувствует себя комфортно, используя компьютеры, и немного разбирается в технологиях, чтобы следовать шаг за шагом руководство.

Каковы ограничения этого подхода к атаке MitM?

Подход, который мы собираемся увидеть, будет ограничен успехом в мобильных приложениях, которые не используют механизмы закрепления сертификата и/или самозащиты во время выполнения.

Чтобы обойти закрепление сертификата в мобильном приложении, вам следует обратиться к следующей статье, в которой используется текущий подход и добавляется инструментальная структура, чтобы перехватывать код во время выполнения, чтобы проверка закрепления всегда была успешной.

Настройка, необходимая для выполнения инструкций

Это руководство будет пошаговым, и мы предполагаем, что вы будете следовать ему на компьютере под управлением Linux и что у вас уже установлена ​​и настроена Android Studio. Это специальное руководство было выполнено на настольном компьютере с Ubuntu 20.04, поэтому, если вы работаете на другой платформе, вы можете попробовать использовать виртуальную машину Ubuntu 20.04, чтобы следовать или адаптировать шаги к вашей текущей платформе. Другие дистрибутивы Linux, вероятно, будут работать без каких-либо проблем с этим руководством, но они не проверялись.

Необходимые инструменты

• Android Studio — мы не будем использовать его напрямую, но воспользуемся некоторыми из его установленных инструментов.
• Эмулятор Android. Чтобы запустить приложение с помощью AVD с возможностью записи, установите сертификат mitmproxy и сервер Frida. Его можно найти в установке Android Studio.
• Mitmproxy — прокси-сервер для перехвата http-запросов от эмулятора Android.

Чтобы подготовить свою систему к выполнению этого руководства, вам необходимо выполнить следующие шаги Github:

1. Настройка MitmProxy
2. Настройка эмулятора Android 29
3. Добавление сертификата mitmproxy в эмулятор Android

Как атаковать MitM с помощью mitmproxy

Теперь, когда мы закончили настройку всех дополнительных требований, мы можем начать с самого интересного.

Чтобы показать, как провести MitM-атаку на мобильное приложение, мы будем использовать вариант выпуска мобильного приложения ShipFast для этапа демонстрации ключа API. Мобильное приложение ShipFast является частью этой серии статей о практической безопасности API для мобильных приложений, и его можно найти в этом репозитории Github.

Краткое изложение плана действий

Сначала мы будем использовать приложение ShipFast в эмуляторе как обычный пользователь. Это означает, что мы не будем пытаться проводить какие-либо атаки на него. Цель — просто показать, как мобильное приложение работает в обычных условиях.

Далее мы запустим ShipFast в эмуляторе, который был модифицирован для включения сертификата mitmproxy в доверенное хранилище системы, и посмотрим, насколько легко перехватывать запросы к серверной части API, проксируя их через mitmproxy.

Запустить эмулятор AVD

Выполнив ранее рекомендованные шаги по настройке эмулятора с Android 29, у вас уже должен быть экземпляр эмулятора с завершенным процессом загрузки, и он находится на этом экране:

Теперь перейдите к следующему разделу, чтобы установить мобильное приложение ShipFast.

Установите мобильное приложение Shipfast

Сначала загрузите мобильное приложение ShipFast с:

 curl-LO https://github.com/approov/shipfast-api-protection/releases/download/2.2.0/app-api_key-release.apk 

Далее устанавливаем на эмулятор:

 adb установить приложение-api_key-release. apk 

Затем запустите приложение через adb с помощью:

 adb shell am start -n com.criticalblue.shipfast.api_key/com.criticalblue.shipfast.ЛогинАктивити 

После запуска мобильного приложения вы должны увидеть этот экран:

Теперь войдите в систему с Auth0, используя любой из методов входа:

После успешного завершения всех шагов входа вы должны увидеть следующее:

Разрешите приложению доступ к местоположению вашего устройства, после чего вы должны увидеть этот экран:

Теперь нажмите на переключатель Я доступен в правом нижнем углу, и вы сможете перейти к следующему экрану:

Вы можете продолжать взаимодействовать с мобильным приложением ShipFast, и все должно работать без проблем, а окончательный экран должен быть похож на этот:

Затем мы запустим атаку MitM, чтобы иметь возможность проверять HTTP-трафик между мобильным приложением и его серверной частью API.

Атака MitM в действии

Следуя инструкциям по настройке mitmproxy, у вас уже должен быть открыт терминал с интерфейсом командной строки mitmproxy:

Прокси прослушивает порт 8080 в поисках IP-адреса вашей сети Wi-Fi.

Запустите эмулятор с доступной для записи файловой системой и включенным прокси-сервером

Закройте текущий открытый эмулятор и запустите его снова, но на этот раз в режиме записи и с прокси-сервером, установленным на ваш IP-адрес Wi-Fi на порту 8080:

. Эмулятор

 -avd pixel-android-api-29-writable-system-http-proxy http:// 192.168.0.08  :8080 &> /dev/null & 

После завершения загрузки устройства вы можете перейти к следующему шагу.

Повторный запуск приложения ShipFast

Во-первых, нам нужно остановить текущий запущенный экземпляр:

 adb shell am принудительная остановка com.criticalblue.shipfast.api_key 

Теперь снова запустите приложение ShipFast через adb с:

 adb shell am start -n com. criticalblue.shipfast.api_key/com.criticalblue.shipfast.Логин Активити 

Теперь войдите в систему с помощью Auth0, и когда у вас появится главный экран, нажмите кнопку переключения в правом нижнем углу, и вы сможете продолжать взаимодействовать с мобильным приложением, не видя сообщения об ошибке. Однако, если вы посмотрите на интерфейс командной строки mitmproxy, вы увидите, что запросы, сделанные к серверной части API, теперь видны:

Итак, мы можем увидеть полную последовательность запросов, сделанных во время потока аутентификации пользователя с помощью Auth0, и запросов, сделанных к серверной части API ShipFast.

Выберем запрос, сделанный на /v1/shipments/nearest_shipment , и посмотрим его детали:

Глядя на раздел заголовков запроса, мы видим, что заголовки «Авторизация» и «Api-Key» доступны для захвата, чтобы их можно было повторно использовать вне мобильного приложения, например, в автоматизированных скриптах. Такие скрипты теперь смогут олицетворять трафик мобильного приложения, потому что с точки зрения серверной части API эти скриптовые запросы будут выглядеть идентично законным запросам.

Давайте также посмотрим на ответ:

Эта информация очень ценна для злоумышленника, пытающегося автоматизировать атаки на серверную часть API, поскольку теперь он имеет полное представление о жизненном цикле каждого запроса. Например, именно этот подход позволил хакеру ShipRaider построить свое веб-приложение на базе серверной части API ShipFast:

.

Узнайте больше об истории ShipFast и ShipRaider в этой записи блога.

Поняв, как мобильное приложение ShipFast взаимодействует со своим бэкэндом, хакер ShipRaider смог создать веб-приложение, которое позволяет водителям ShipFast выбирать груз с наилучшим вознаграждением.Это то, чего они не могут сделать в мобильном приложении, потому что оно противоречит бизнес-модели компании ShipFast. Игнорирование подлинного мобильного приложения наносит ущерб репутации компании за ее очень быструю и эффективную службу доставки. Эта репутация основана на том, что водителей всегда направляют к ближайшей посылке для доставки, независимо от предлагаемого вознаграждения, и эта концепция нарушается ShipRaider, что приводит к более длительным срокам доставки и более низкому уровню обслуживания.

 

Резюме

Выполнение атаки MitM не слишком сложно, просто немного утомительно, и позволяет злоумышленнику детально понять, как мобильное приложение взаимодействует со своим API, а затем использовать эти же знания для автоматизации атак или создания других служб вокруг него.

Еще один вывод заключается в том, что серверная часть API не может доверять тому, что запрос действительно исходит от , а не от ожидаемого , подлинной и немодифицированной версии мобильного приложения, загруженной из официальных магазинов Android и iOS, даже если в запросе используется комбинация Ключ API и аутентификация пользователя для аутентификации себя в API.

Прочтите этот пост в блоге, чтобы узнать, как ShipFast заблокировал веб-приложению ShipRaider доступ к API ShipFast, который теперь заблокирован и принимает запросы только от подлинных и немодифицированных экземпляров мобильного приложения ShipFast.

Увидимся в моей следующей статье Как обойти закрепление сертификата с помощью Frida в приложении для Android.

Фото на обложке Золтана Таси на Unsplash

 

Google I/O 2017 Android Man-In-The-Middle ≈ Packet Storm

[Оригинал размещен здесь:
https://wwws.nightwatchcybersecurity.com/2017/05/17/advisory-google-io-2017- android-app/]

SUMMARY

Приложение Google I/O 2017 для Android не использует SSL для
, извлекая некоторую информацию для заполнения приложения.Это позволит злоумышленнику
MITM внедрить в приложение свой собственный контент. Поставщик
(Google) устранил проблему в версии 5.1.4 приложения.

ПОДРОБНОСТИ

Приложение Google I/O 2017 для Android — это сопутствующее приложение
, созданное Google для их ежегодной конференции I/O, которая состоится в мае
года. Эта конкретная версия была подготовлена ​​для конференции I/O в мае 2017 года.
Это позволит злоумышленнику MITM внедрить свой собственный контент в приложение
, используя такой метод, как спуфинг ARP, захват DNS и т. д.

Чтобы повторить проблему в v5.03:
1. Установите приложение прокси без SSL-сертификата и направьте на него устройство Android
.
3. Зайдите в приложение и выберите опцию «канал» (средний значок на
внизу).
4. Вернитесь к прокси и наблюдайте за перехваченным трафиком.

[Скриншоты есть в сообщении в блоге]

Конкретный URL был
«http://storage.googleapis.com/io2017-festivus/manifest_v1.json», который
затем заставляет устройство загружать дополнительные URL-адреса. Загружаются следующие URL-адреса
:
— http://storage.googleapis.com/io2017-festivus/manifest_v1.json
– http://storage.googleapis.com/io2017-festivus/blocks_v4.json
– http://storage.googleapis.com/io2017-festivus/map_v4.json
– http://storage.googleapis.com/io2017 -festivus/session_v1.70.json

Это также можно увидеть в исходном коде приложения I/O 2016
на Github здесь (строки 42-43):
https://github.com/google/iosched/blob/master/gradle. properties

—-
# URL-адреса манифеста API. Эти URL-адреса предоставляют файлы данных для загрузки в
данных загрузки для приложения.
# Когда данные необходимо изменить, базовый файл данных публикуется как новая версия
, а манифест
# обновляется новым именем файла.
staging_api_manifest_endpoint =
https://storage.googleapis.com/io2016-bucket-dev/manifest_v1.json
production_api_manifest_endpoint =
http://storage.googleapis.com/io2016-festivus/manifest_v1.json
—-

Все тесты проводились на Android 7, Google I/O версии 5.03. Захваты сети
выполнялись с использованием прокси-сервера на устройстве (PacketCapture)
без доверенного сертификата SSL.

ПОДТВЕРЖДЕНИЕ КОНЦЕПЦИИ

Все тесты проводились на Ubuntu v17.04 и Android 7:
1. Установите nginx — «sudo apt-get install nginx».
2. Установить dnsmasq — «sudo apt-get install dnsmasq»
3. Узнать IP-адрес вашего компьютера через ifconfig.
4. Добавьте сопоставление IP-адресов в файл hosts: «192.168.1.x
storage.googleapis.com»
5. Создайте и загрузите файлы из Google в каталог NGINX:
— cd /var/www/html
— mkdir io2017-festivus
— cd io2017-festivus
— wget http://storage.googleapis.com/io2017-festivus/manifest_v1.json
— wget http://storage.googleapis.com/io2017-festivus/blocks_v4 .json
— wget http://storage.googleapis.com/io2017-festivus/map_v4.json
— wget http://storage.googleapis.com/io2017-festivus/session_v1.70.json
6. Измените «blocks_v4.json», чтобы добавить свой контент.
7. Установите версию 5.03 приложения на Android-устройство.
8. Измените DNS на устройстве, чтобы оно указывало на машину с Ubuntu.
9. Откройте приложение, пропустите вход и на главном экране выберите значок канала.
10. Вернитесь к первому разделу и посмотрите на добавленный контент
(скриншоты в блоге).

ОТВЕТ ПОСТАВЩИКА

Об этой проблеме ответственно сообщили поставщику, и она была исправлена ​​в версии 5. 14.

ССЫЛКИ

CVE ID: CVE-2017-9045
Исходный код Google I/O 2016: https://github.com/google/iosched Консультация написана Яковом Шафрановичем.

ВРЕМЕННАЯ ЛИНИЯ

11 мая 2017 г.: первоначальный отчет поставщику
11 мая 2017 г.: отчет рассмотрен поставщиком и зарегистрирована ошибка
13 мая 2017 г.: исправленная версия выпущена поставщиком
16 мая 2017 г. : Черновик рекомендации отправлен поставщику для комментариев
17 мая 2017 г.: Публичное раскрытие

Вредоносное ПО для Android создает пары «человек посередине» с удаленно управляемым банковским трояном

Судя по вредоносному ПО для Android, которое мы видели до сих пор, одним из основных мотивов разработки и распространения вредоносного ПО для Android является получение финансовой прибыли.Мы часто видим мошеннические приложения, которые отправляют SMS-сообщения на номера с повышенным тарифом без согласия пользователя или которые запускают атаки «человек посередине» для пересылки SMS-сообщений злоумышленнику с mTAN (номера мобильных транзакций) пользователя. В последнем случае злоумышленник использует информацию для обхода схемы безопасности двухфакторной аутентификации, используемой несколькими банками и финансовыми организациями по всему миру. Примерами этого последнего типа угроз являются известные банковские трояны Zeus и SpyEye, которые включают в последние версии своей вредоносной программы для ПК новый модуль, нацеленный на Android.В целом эти вредоносные приложения не являются сложными по сравнению с более изощренными угрозами. Однако ситуация могла измениться: с недавним обнаружением новой вредоносной программы для Android, которая имеет функцию «человек посередине», но, в отличие от Zeus и SpyEye, также может управляться удаленно и может получить начальный пароль с мобильного устройства. без заражения ПК пользователя.

Вредоносное приложение нацелено на определенные известные финансовые организации, выдающие себя за приложение Token Generator.На самом деле, когда приложение установлено, вредоносное ПО использует логотип и цвета банка в иконке приложения, что делает его более убедительным для пользователя:

Когда приложение выполняется, оно показывает компонент WebView, который отображает веб-страницу HTML/JavaScript, которая притворяется генератором токенов. Веб-страница также выглядит из целевого банка (тот же вариант вредоносного ПО, но с другой полезной нагрузкой):

.

Чтобы получить поддельный токен, пользователь должен ввести первый фактор аутентификации (используется для получения первоначального доступа к банковскому счету).Если это действие не выполняется, приложение показывает ошибку. Когда пользователь нажимает «Генерировать» (Generate), вредоносное ПО показывает поддельный токен (который на самом деле является случайным числом) и отправляет пароль на определенный номер мобильного телефона вместе с идентификаторами устройства (IMEI и IMSI). Та же информация также отправляется на один из серверов управления вместе с дополнительными данными, такими как номер телефона устройства. Вредоносная программа находит список серверов управления из XML-файла внутри оригинального APK. Эта информация вместе с другими параметрами вредоносного ПО загружается и сохраняется в другом XML-файле внутри устройства:

.

Первые два списка используются для запуска атаки «человек посередине», потому что они фильтруют входящие SMS-сообщения, чтобы получить только те, у которых есть mTAN. Если исходный адрес и тело сообщения найдены в списке «поймать», содержимое отправляется на управляющий сервер по умолчанию. SMS также может быть перенаправлено на номер, указанный в XML, если он настроен в списке «поймать» с атрибутом «toSms».

Как только первоначальная регистрация выполнена, вредоносное приложение создает запланированное системное событие, чтобы запрограммировать выполнение самого себя в какой-то момент в будущем. Время возникновения этого события зависит от значений «timeConnection» и «period», которые определены в файле конфигурации.Когда это происходит, запускается фоновая служба, которая создает и выполняет поток, который прослушивает команды, отправленные с управляющих серверов. Эти команды обновляют большинство параметров конфигурации — список серверов, список перехвата/удаления и номер телефона, используемый для получения украденных mTAN, а также первоначальный пароль. Однако есть и другие интересные команды, добавляющие вредоносным программам возможность самообновления или шпионского ПО:

.

1. sendContactList: получает список контактов, хранящихся на устройстве (имя и номер), и использует платформу с открытым исходным кодом для сериализации списка контактов для отправки их на управляющий сервер.
2. updateUrl: содержит URL-адрес, используемый для загрузки файла APK в папку загрузки на SD-карте. APK может быть обновлением той же вредоносной программы или другого вредоносного приложения. После загрузки APK загружается настраиваемый пользовательский интерфейс с текстом и заголовком, отправленным управляющим сервером, чтобы заставить пользователя установить новое приложение.

 

Вредоносное ПО

для Android, нацеленное на финансовые организации, находится в постоянном развитии: от атак «человек посередине» мы теперь видим более сложные банковские трояны с дистанционным управлением, которые могут получать более одного фактора аутентификации и обновлять себя, например, для изменения фишинговая атака для получения других необходимых учетных данных, таких как имя или идентификационный номер пользователя, для совершения электронного мошенничества.