В этом выпуске: баг Android, открывающий возможность выполнить СМС-фишинг, блокировка сторонних камер для доступа из других приложений в Android 11, новые API Java в старых версиях Android, отзывы о приложении внутри приложения, опасность оператора Elvis, удобный способ отследить открытие клавиатуры и рецепт ускорения повторных сборок на 40%. А также: новые инструменты пентестера и библиотеки для разработчиков. Почитать SMS-фишинг по-новому Smear phishing: a new Android vulnerability — заметка об интересном (и неисправленном) баге Android, позволяющем выполнить спуфинг отправителя SMS-сообщения. Небольшая предыстория. SMS-сообщения могут не только быть отправлены с какого-то номера телефона, но и иметь в качестве отправителя так называемый Sender ID. Это поле, которое состоит из букв и цифр и по факту никем не регулируется. Любой желающий может воспользоваться SMS-шлюзом (например, ClickSend) и отправить тебе сообщение, в котором в качестве Sender ID будет указан Google или даже BillGates. Сам по себе такой вид фишинга известен давно, но в своем дефолтовом варианте он может ввести в заблуждение только твою маму. Дело в том, что если у тебя в контактах уже есть телефон Билла Гейтса, то сообщение с номера BillGates будет выглядеть крайне подозрительно: оно попадет в отдельную ветку разговора; оно не будет привязано к существующему контакту; поле «Отправитель» (BillGates вместо номера) будет выглядеть крайне странно. Обойти эту проблему можно было бы, указав в Sender ID реальный телефон Билла Гейтса. В этом случае ОС посчитала бы такое сообщение настоящим сообщением от этого человека, добавила бы сообщение к существующему диалогу и привязала к контакту. Но у тебя вряд ли получится так сделать, потому что SMS-шлюзы блокируют исключительно цифровые Sender ID.