Русский
Русский
English
Статистика
Реклама

Приложения

Безопасность мобильных устройств и приложений пять популярных сценариев атак и способы защиты

06.07.2020 16:22:04 | Автор: admin


Изображение: Unsplash

Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все от Wi-Fi и Bluetooth до динамика и микрофона.

Аналитики Positive Technologies опубликовали исследование распространенных сценариев атак на мобильные устройства и приложения. В
нашей статье главные тезисы этого документа.

Как атакуют мобильные устройства и приложения



Существует пять основных сценариев атаки. Среди них:

  • Физический доступ. Если телефон был украден или потерян, владелец отдал его в сервис или подключил к поддельному зарядному устройству по USB все это открывает возможность для атаки.
  • Вредоносное приложение на устройстве. Иногда такие приложения могут попасть на устройство даже из официальных источников, Google Play и App Store (для Android, для iOS).
  • Атакующий в канале связи. Подключившись к недоверенному Wi-Fi, прокси-серверу или VPN, мы становимся уязвимыми для атак в канале связи.
  • Удаленные атаки. Атакующий может действовать при этом удаленно, пользуясь серверами мобильных приложений или иными службами для доставки эксплойта.
  • Атаки на серверную часть. Отдельно от всего можно рассмотреть атаки на серверную часть мобильных приложений, поскольку в этом случае доступ к устройству злоумышленнику не требуется.

Поговорим подробнее о каждом из вариантов и обсудим возможные способы защиты от таких атак.

Атаки с физическим доступом


Есть несколько главных сценариев атак с физическим доступом. Как правило, они подразумевают доступ человека напрямую к смартфону: это происходит в том случае, если устройство украли, владелец его потерял или отнес в сервис. Однако есть и достаточно необычный способ атаки, для которого используется вредоносная зарядная станция. Рассмотрим именно его.

Зарядная станция, к которой вы подключаете свой смартфон по USB, вполне может оказаться не совсем безопасной. Для современных версий ОС Android и iOS при подключении с смартфона к ПК по USB требуется разрешение на доступ к устройству. Однако на Android 4.0 и ниже этого не требовалось. В итоге при подключении таких устройств к скомпрометированным или установленным хакерами зарядным станциям, открывается возможность для атаки. Ее сценарий может выглядеть так:

  • На вашем смартфоне с версией Android 4.0 или ниже доступна отладка по USB.
  • Вы подключаетесь к зарядной станции по USB-кабелю.
  • Вредоносная зарядная станция выполняет команду adb install malware.apk, чтобы установить вредонос на ваше устройство.
  • Вредоносная зарядная станция выполняет команду adb am start com.malware.app/.MainActivity для запуска этого вредоносного приложения.
  • Запущенный троян пробует различные техники повышения привилегий, получает права root и закрепляется в системе. Теперь ему доступны все хранимые данные, включая аутентификационные (логины, пароли, токены) от всех установленных приложений, а также неограниченный доступ к любому приложению во время исполнения.

Как защититься


В первую очередь, будьте внимательны и не оставляйте телефон и планшет без присмотра в общественных местах. Обязательно установите пароль для разблокировки устройства или включите биометрическую защиту, если это возможно. Не повышайте привилегии до административных (jailbreak или root), отключите отображение уведомлений на заблокированном экране.

Атаки с помощью вредоносных приложений


Есть несколько источников таких приложений:

  • Официальные магазины приложений Google Play и App Store. Редко, но даже в официальных маркетах можно найти вредоносное приложение, которое может нанести ущерб вам и вашим данным. Часто такие приложения стараются заполучить побольше установок с помощью кликбейтных названий типа Super Battery, Turbo Browser или Virus Cleaner 2019.
  • Неофициальные сайты и магазины приложений (third-party appstore). Для Android-устройств достаточно разрешить установку из недоверенных источников, а затем скачать apk-файл приложения с сайта. Для iOS-устройств достаточно перейти по ссылке в браузере Safari, подтвердить установку сертификата на устройство, после чего любое приложение в этом неофициальном магазине станет доступно для установки прямо из браузера.
  • Пользователь может установить скачанное из интернета приложение с помощью USB-подключения.
  • Для Android-устройств доступна возможность загрузки части приложения при переходе по ссылке механизм Google Play Instant.

При установке на смартфон в зависимости от полученных разрешений вредоносные приложения будут иметь доступ к некоторым хранимым данным, микрофону, камере, геопозиции, контактам и т. п. Также они получат возможность взаимодействия с другими установленными приложениями через механизмы межпроцессного взаимодействия (IPC/XPC). Если установленные приложения содержат уязвимости, которые можно проэксплуатировать через такое взаимодействие, вредоносное приложение сможет этим воспользоваться. Особенно актуально это для Android-устройств.

Помимо этого, вредоносное приложение может попытаться получить повышенные привилегии в системе, проэксплуатировав уязвимости, позволяющие получить root-права или jailbreak.

Как защититься


Для защиты от подобных атак рекомендуется в первую очередь избегать установок приложений из недоверенных источников. С осторожностью необходимо устанавливать и приложения с подозрительными названиями даже из официальных магазинов приложений, так как никакие проверки не работают идеально. Своевременно обновляйте ОС и приложения, чтобы исключить возможность атак через известные уязвимости.

Атаки в канале связи


Для того чтобы злоумышленник смог действовать из канала связи, ему необходимо выполнить атаку человек посередине, то есть чтобы весь трафик, передаваемый между клиентским мобильным приложением и серверной частью проходил через устройство злоумышленника. Иногда в приложениях встречаются уязвимости, позволяющие такие атаки.

К примеру, обычно при установке защищенного соединения клиентское приложение проверяет подлинность сертификата сервера и соответствие его параметров параметрам сервера. Однако иногда разработчики для удобства при работе над приложением отключают такие проверки, забывая включить их обратно в релизной версии. Как итог, приложение принимает любой сертификат сервера для установки защищенного соединения, в том числе и сертификат злоумышленника.

Даже если проверка сертификатов происходит корректно, у злоумышленника остается лазейка: под неким предлогом вынудить жертву установить на свое устройство сертификат злоумышленника как доверенный. Кроме того, если приложение само по себе безопасно работает с сервером, но содержит ссылки на сторонние ресурсы, загружаемые по HTTP, это все равно составляет возможность для проведения фишинговых атак.

Если злоумышленнику удастся получить контроль над трафиком между клиентским приложением и сервером, то это даст ему целый ряд возможностей:

  • подменять ответы сервера, например для подмены реквизитов банковских операций или фишинга;
  • подменять запросы клиентского приложения, например изменяя сумму перевода и счет получателя;
  • перехватывать данные, например логины, пароли, одноразовые пароли, данные банковских карт, историю операций.

В итоге он узнает логины и пароли жертвы от различных аккаунтов и сможет использовать их для похищения данных, кражи денег.

Как защититься


Не подключайтесь к сомнительным точкам доступа, не используйте прокси- и VPN-серверы, которым вы не доверяете свою личную и банковскую информацию. Не устанавливайте сторонние сертификаты на устройство.

Как правило, большинство популярных мессенджеров и приложений соцсетей хорошо защищены от подобных атак; если, например, вдруг какое-то из этих приложений отказывается работать через текущее Wi-Fi-подключение, это может означать, что данная точка доступа небезопасна и лучше от нее отключиться, чтобы не подвергать опасности остальные приложения, в том числе ваш мобильный банк.

Удаленные атаки


Некоторые уязвимости в мобильных приложениях можно проэксплуатировать удаленно, и для этого даже не требуется контролировать передачу данных между приложением и сервером. Многие приложения реализуют функциональность по обработке специальных ссылок, например myapp://. Такие ссылки называются deeplinks, и работают они как на Android, так и на iOS. Переход по такой ссылке в браузере, почтовом приложении или мессенджере может спровоцировать открытие того приложения, которое умеет такие ссылки обрабатывать. Вся ссылка целиком, включая параметры, будет передана приложению-обработчику. Если обработчик ссылки содержит уязвимости, то для их эксплуатации будет достаточно вынудить жертву перейти по вредоносной ссылке.

Аналогичный образом в мобильных устройствах могут обрабатываться более привычные ссылки http:// и https:// они могут быть переданы приложению вместо браузера, в некоторых случаях это может происходить без подтверждения со стороны пользователя.

Для Android-устройств переход по ссылке может спровоцировать загрузку Instant App, что делает возможным удаленную эксплуатацию уязвимостей, связанных с установкой вредоносного приложения.

Как защититься


Своевременная установка обновлений приложений и ОС в данном случае единственный способ защититься. Если у вас нет возможности установить обновление или оно еще не вышло, можно временно прекратить использование уязвимого приложения: удалить его с устройства или просто разлогиниться.

Атаки на серверную часть


Для атаки на сервер мобильного приложения злоумышленнику, как правило, достаточно изучить, как происходит взаимодействие клиентского приложения с сервером, и уже исходя из собранной информации о точках входа попытаться видоизменять запросы с целью обнаружить и проэксплуатировать уязвимости.

Зачастую устройство серверной части мобильного приложения ничем не отличается от веб-приложения. Как правило, устроены серверы мобильных приложений еще проще и часто представляют из себя json- или xml-api, редко работают с HTML-разметкой и JavaScript, как это часто делают веб-сайты.

Если сравнивать уязвимости веб-приложений и серверных частей мобильных приложений, то мы видим, что следующие уязвимости преобладают в мобильных приложениях:

  • недостаточная защита от подбора учетных данных: 24% веб-приложений и 58% серверов мобильных приложений содержат такие уязвимости,
  • ошибки бизнес-логики: 2% веб-приложений и 33% серверов мобильных приложений.

Наши исследований показывают, что зачастую пользователи приложений могут получать доступ к данным других пользователей: к номерам карт, имени и фамилии, номерам телефонов и т. п. Причем, доступ может ошибочно предоставляться как от имени другого пользователя так и вовсе без аутентификации, что обусловлено наличием недостатков аутентификации и авторизации.

Как защититься


В данном случае обычный пользователь мало что может сделать. Однако можно снизить риски пострадать от атак на сервер, если использовать сложный пароль, а также настроить двухфакторную аутентификацию с помощью одноразовых паролей во всех критически важных приложениях, которые это позволяют сделать.

Чтобы минимизировать вероятность успешной атаки на мобильное приложение, его разработчики должны проверять возможность реализации каждого из описанных сценариев. При разработке нужно учитывать различные модели нарушителей, а некоторые меры защиты необходимо предпринять еще на стадии проектирования.

Хорошей рекомендацией для разработчиков будет внедрение практики безопасной разработки (security development lifecycle, SDL) и регулярный анализ защищенности приложения. Такие меры не только помогут своевременно выявить потенциальные угрозы, но и повысят уровень знаний разработчиков в вопросах безопасности, что повысит уровень защищенности разрабатываемых приложений в долгосрочной перспективе.

Автор: Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies
Подробнее..

Как захватить новую страну за 3 недели

11.09.2020 12:04:11 | Автор: admin
Представим сферическую сеть пиццерий в вакууме, которая хочет захватить мир (никогда такого не было и вот опять). Она уже открыла пиццерии в 13 странах мира и планирует увеличивать эту цифру. Всего год назад запуск (сайта, приложения и информационной системы) был редким 1 страна за год, а сейчас срок сократился до 3 недель. Что мешало сделать это раньше и как получилось ускориться, расскажем в статье.



Dodo Pizza международная компания. Мы работаем в 13 странах и не планируем останавливаться. Большая часть пиццерий расположена в регионе Евразия: Россия, Казахстан, Беларусь, Кыргызстан, Узбекистан. Это уже большой действующий бизнес, мы лидеры по количеству пиццерий. Этот бизнес надо только поддерживать и развивать вглубь, потому что здесь бизнес и IT работают вместе над понятными фичами.

  • Основная часть разработчиков сосредоточена на развитии бизнеса в Евразии.
  • Разработчики работают в командах.
  • Команды разделены по продуктам.
  • Внутри каждого продукта несколько команд.
  • Каждый продукт прокачивает свои метрики: ресторан ускоряет обслуживание клиентов в зале, доставка увеличивает LTV и средний чек в приложении и на сайте.

И тут (внезапно) приходит бизнес и говорит: Хотим запускаться в Нигерии (та самая 13-я страна, в которой работают уже 2 пиццерии) До 2019 года запуск был редким 1 страна в год. Команда разработки, которая сопровождала запуск, постоянно менялась. Фокуса на ускорении при таком подходе не было.

При этом выстрелит или нет новая страна непонятно. Кто будет запускать страну? Из какого продукта придётся взять команду? Команде-счастливчику придется отвлекаться от своей киллер фичи, вспоминать как разворачивать систему и столкнуться с определенными сложностями. Разберемся, с какими именно.

Трудности запуска для бизнеса


Открытие новой страны сюрприз (может быть). Иногда в предпринимательстве появляются возможности, которые просто нельзя упускать, даже если не готов. Например:

  • появился сильный партнёр, который готов взять на себя риски;
  • из региона уходит сильный локальный игрок;
  • партнёр искал, искал, искал и вдруг нашёл помещение мечты;
  • после международной командировки поняли, что больше нельзя откладывать и надо срочно запускать страну.

Мы стараемся планировать открытия заранее, но иногда жизнь вносит свои коррективы.

Единичные запуски. Раньше запуск стран был нерегулярным одна страна в год. В этом случае нет смысла держать выделенную команду и команда разработки, которая запускала прошлую страну, уходила пилить другую киллер-фичу.

Когда приходит очередь открывать новую страну, все чек-листы устарели, а команда, которая запускала прошлую страну, может помогать только урывками. Фокуса на ускорении запуска системы при таком подходе не было. Запустили и ладно через год вернёмся :)

Расфокус. Из-за единичных запусков команде разработки, которая будет заниматься новой страной придётся отрываться от киллер-фич для Евразии ради сомнительной выгоды в Европе или Африке. Новая страна, первая пиццерия, инвестиции окупятся через 1-2 года многое может пойти не так.

Много компонентов, огромная система и много связей нет выстроенной системы запуска и экспертов. Запуск новой страны, с точки зрения Dodo IS, это не просто копипаст кода или нажатие одной волшебной кнопки. Это отдельный проект со своими локальными особенностями. Это 3-4 месяца на запуск (иногда и дольше).

В каждой стране нужна своя экспертиза, например, по системе фискализации чеков. Чтобы интегрироваться с локальными системами, нужно знать особенности в адресных системах. Например, в Словении фамилия клиента часть адреса, что нужно учитывать в клиентских сервисах.

Подобных особенностей много, а у нас в команде точно нет всех знаний по ним. Значит, будем отвлекать людей из другой команды, которые владеют экспертизой зависимости, долго.

Технические трудности


Dodo Pizza появилась в апреле 2011 года. В июне 2011 началась разработка Dodo IS. В то время никто даже не думал, что скоро мы будем запускать пиццерии в других странах, потому что нужно было быстро (очень-очень быстро) поддерживать растущий бизнес в России. Например, первая касса ресторана появилась в системе за 2 недели разработки, так как без неё нельзя было открывать ресторан в первой пиццерии.

Не было времени всё хорошенько продумать и заложить масштабируемость и country-agnostic компоненты в архитектуру системы. Меньше всего мы думали, что код, который сейчас пишем, будет использоваться где-нибудь в Словении или США. Поэтому за годы бурного роста накопилось много технического долга, который сейчас замедляет запуск.

Развернуть сайт и бэк-офис Dodo IS это долго. Нельзя просто так взять и прописать в конфигах Nginx домен для новой страны и развернуть систему по кнопке. А жаль.

Кроме того, у каждой страны своя специфика. Нужно дать партнёру продукт, который будет подходить к конкретной стране, а не просто общую Dodo IS. Начиная с адаптации форматов адресов, телефонов, типов улиц и населённых пунктов, организаций, заканчивая более глобальными адаптациями. Добавим к этому много ручных операций и копипаста по коду: enumы, конфиги, скрипты.

Переводы на язык страны. Мы все любим Excel: строить таблицы, красить строки, писать сложные формулы, ссылаться на данные из другого документа. Это то, для чего он придуман.

В Excel мы выгружали партнёру строки с терминами, он переводил (без контекста и картинок), мы загружали Excel с переводами обратно и повторяли упражнение. Это не то, для чего создан Excel. Да, и в ресурсах, к сожалению, были не все проекты и строки код приходилось править.


Пример файла с переводами.

Кроме того, после запуска страны появляются новые фичи в системе команды для Евразии не перестают писать фичи, пока мы страну раскатываем. Для этих фич нужны переводы и снова в Excel. Долго, дорого, неудобно. Без разработчиков не справиться.

Кассы и налоги. Касса ресторана и касса доставки это компоненты Dodo IS. Без них ничего нельзя продать ни в ресторане, ни на доставку. Кассы необходимо адаптировать для новой страны, а код в монолите и он тянет за собой множество зависимостей. Получается, кроме бизнес-проработки (налоги, ставки, требования к чеку), необходимо аккуратно написать логику для новой страны, так, чтобы не сломалась печать чеков в России.

Мобильное приложение. Мы не умели запускать его сразу с открытием страны: не хватало экспертизы, времени, всего. Партнёру приходилось ждать иногда по полгода (иногда дольше), чтобы мы запустили приложение уже после открытия страны. Неприятно.

Примечание. На все страны одно приложение ситуация как с кассами. Запуская приложение в Румынии, важно не зацепить другие страны.

Запуск это ещё и поддержка. Лендинги, звуки для оповещений на кухне, ошибки в переводах все эти маленькие неприятности обычно проявляются в первые пару месяцев. Поэтому после запуска страны важна ещё и поддержка.

Как решили бизнес-проблемы


В такой ситуации мы были в мае 2019 года. А 2020 год обещал быть жарким мы хотели запустить сразу 4 страны. Надо было что-то делать, чтобы не облажаться.

Мы выделили новый независимый продукт запуск новых стран и поставили амбициозную цель запуск страны по кнопке. С кнопкой мы могли бы:

  • разворачивать систему как есть;
  • проверять, что все сценарии работают: заказы принимаются и готовятся, чеки печатаются, отчёты строятся;
  • отдавать систему партнёрам, бизнес-девелоперам, маркетологам и всем остальным для донастройки под конкретную страну.

Команда. Цель невозможно достичь без команды. Поэтому в мае 2019 года команда MyLittleCoders согласилась стать командой открытия стран на 100% времени. Мы выделили открытие в новый продукт: метрика скорость запуска есть, команда есть, бэклог по ускорению полон задачами через край. Всё сошлось пора действовать.


Логотип команды MyLittleCoders (MLC)

Story Map. Долгосрочная стратегия понятна: ускоряться, искать людей, перенимать компетенции. Нужно было научиться запускать страну под ключ самостоятельно, не отвлекая другие команды.

Мы начали с запуска Нигерии, за 3 месяца до открытия. Нигерия стала тестовой страной, с которой начали системно выстраивать четкий процесс запуска. И вот как мы это делали.

Помимо основной цели запустить пиццерию в октябре, мы записывали вещи, которые отнимают больше всего времени, чтобы вернуться к ним после запуска. После запуска построили story map и по наблюдениям отметили вещи, которые занимают больше всего времени.


Фрагмент story map запуска новой страны.

Как решили технические проблемы


Мастер начальной настройки страны. Анализ story map показал, что часть этапов можно автоматизировать, что значительно ускорит запуск. Поэтому первым существенным улучшением стал мастер начальной настройки страны или Country Wizard.

После покупки нового iPhone настройки со старого телефона переносятся за пару кликов 3 экрана и новый телефон готов к работе. Мы хотели сделать для Dodo IS что-то похожее.

  • Запускаешь мастер начальной настройки страны.
  • Говоришь: Запускаю Нигерию.
  • Выбираешь язык, валюту, вводишь маску телефона, типы улиц и типы населенных пунктов.
  • Вводишь логин и пароль для временного пользователя (для первого входа в систему).
  • Next, next, next и готово заходишь в свежеразвёртную копию системы для Нигерии и создаёшь маркетологам и бизнес-девелоперам их персональные учётки.

В ходе работы концепция поменялась. Изначально мы хотели добавить все-все настройки системы в Country wizard (РО продукта хотел и грезил, команда была сдержанно-оптимистична). Но у нас уже была внутренняя админка, дублировать которую в мастере настройки оказалось бессмысленно. Тогда мы оставили в нём только тот минимум настроек, без которых система просто не могла запуститься. Продукты, меню, цены поставщиков и тару можно донастроить уже потом.

Почему система не может запуститься без такого количества параметров? Исторически сложилось, что такие параметры необходимы для разработки Dodo IS. Развязать такие зависимости и сделать их опциональными для запуска отдельная задача для команды.

В итоге, всё получилось прекрасно. Вместо множества мест, где надо что-то править мы:

  • проходим 1 мастер начальной настройки;
  • получаем свежий дамп системы;
  • отдаем его ребятам из инфраструктуры для раскатки.

Два дня (а не месяц как раньше) и система готова к работе.


Пример настройки параметров доставки через мастер начальной настройки.

Чек-листы запуска. Не всегда ускорения можно достичь только за счёт разработки и автоматизации. Чек-листы запуска тому пример. Иногда достаточно по порядку описать что и за чем надо сделать, куда нажать, кого пнуть, какой скрипт накатить.

Поэтому связка аналитик-разработчик скрупулезно описала весь процесс. В результате у нас есть большой документ с цифрами и пунктами: что сделать до запуска, что во время, а что после.


Фрагмент чек-листа запуска.

Переработка старых чек-листов увлекательный процесс. Разработчики по очереди проходили руками по чек-листам, открывали и настраивали тестовые страны, собирали боли и улучшали чек-листы. И так несколько раз. Бонус такого подхода глубокое погружение ребят в саму систему.

Настройки страны из одной точки. Собрать все настройки из Country wizard недостаточно. Важно, чтобы система и её компоненты также читали эти настройки из одного хранилища. Иначе получаются забавные ситуации. Например, когда менеджер офиса показывает правильную валюту (для Нигерии найра), а витрина кусочков предательски показывает рубли. Каждый сервис считал своим долгом завести собственные настройки. Приходилось проходить 7-8 мест в системе, чтобы все наконец показывали правильную валюту.

Хотелось править настройки в одном месте и дальше применять уже по всей системе. В реальности мы столкнулись с тем, что нужно вносить изменения практически в каждый компонент в системе. Изменения небольшие, но компонентов очень много.

Через титанические усилия команды, 100500 строк удалённого копипаста и щепотки магии программирования теперь система берёт настройки из единого хранилища. Хвосты ещё остались, но бОльшую часть настроек удалось централизовать. Теперь можно задавать маску телефона или формат адреса или другие настройки для целой страны в одном месте.

Примечание. История о том, как мы долго выпиливали копипаст и переводили систему на использование сервиса справочников, заслуживает отдельной технической статьи. Если интересно, напишите в комментариях.

Переводы. Вместо Excel хотелось простой и понятной системы для локализации, чтобы:

  • не надо было ничего выгружать в сторонние файлы;
  • получать оповещения, что добавилась новая строка для переводов;
  • было видно какие строки и в каком языке ещё не переведены.

Мы поискали сервисы для локализации, пообщались с поддержкой и остановились на сервисе Crowdin. Простой, с разграничением ролей подошёл как влитой. Особенно понравилась фича in-context. Когда открываем сайт или бэк-офис на специальном окружении и правим строки прямо в интерфейсе. Так сразу видно где и что конкретно исправляем удобно.


Crowdin in-context редактирование.

Crowdin мы подключили сначала в бэк-офис, постепенно подключая сначала монолит, потом отпиленные сервисы, а потом на сайт. Не всё сразу заработало, но сейчас достаточно добавить новые строки для перевода, партнёры их увидят и сами переведут.

Больше никакого Excel.

Вся локализация упростилась: партнёр теперь может делать переводы заранее и без помощи разработчиков. Так что когда мы готовы разворачивать Dodo IS и сайт, переводы обычно готовы.

Раньше переводы были в коде и бизнес-процесс перевода были вынужденно связаны с разработкой и релизами. За счет сервиса Crowdin получилось сделать независимыми эти 2 процесса. Сейчас мы стараемся все новые сервисы, лендинги и везде, где есть что-то для переводов, подключать сразу к Crowdin.Это сильно упрощает жизнь и даёт партнёру возможность делать переводы в своём темпе, а нам разворачивать систему в своём.

Бонусом поставили язык системы английским по умолчанию. Раньше система по умолчанию использовала русский язык, что не подходит международным партнёрам и их сотрудникам. Теперь, если какие-то переводы отсутствуют в системе, партнёр увидит английские тексты. Так обычно бывает сразу после разворачивания системы.

Что в итоге


С июля 2019 проделали огромную работу выстроили систему запуска и добавили структурности всему процессу. Мы настраиваем систему через мастер, партнёр самостоятельно переводит интерфейсы и не зависит ото разработчиков.

Весь путь раскатки новой страны детально описан. Сейчас путь занимает 2-3 недели, вместо 3 месяцев раньше. Через неделю после старта работает сайт и бэк-офис. Они пока не заполнены данными, но уже могут принимать заказы.

Планы


Добавить ещё примерно столько же всё, что выше даже не половина работы. Теперь нас ждёт новый вызов постепенно шаг за шагом, страна за страной улучшать эту систему. Например:

  • постепенно расширить пакет запуска, добавляя туда новые фичи, например, Сайт работа в Додо или Сайт для тайных покупателей;
  • добавить поддержку мультиязычности на сайте и в приложении;
  • ещё больше упростить мастер начальной настройки страны;
  • дописать систему плагинов для касс, чтобы привлекать местных аутсорсеров для разработки модуля печати чеков под конкретную страну.

Приложение. С января 2020 года к нам присоединилась мобильная команда Легионеры (3 человека). Теперь нам надо раздать долги запустить приложение во всех странах, и научиться запускать новые страны сразу с приложением.

Кассовая интеграция. Теперь это самый долгий этап запуска страны. Планируем его ускорять. Кассы (логику печати чеков) планируем отпилить от монолита, вынести в отдельный сервис и сделать там плагинную архитектуру. Так мы сможем привлекать сторонние команды для разработки плагина под конкретную страну. Например, аутсорсинговая компания в Польше сделает кассовую интеграцию для Польши, написав соответствующий плагин. Это позволит ещё больше ускориться.

Напоследок


Запустить страну это полдела теперь нужно ещё и поддерживать существующих партнёров (которых только что стало +1):

  • писать трекинг заказа в UK;
  • адаптировать адресную систему;
  • допиливать систему напильником под региональные особенности;
  • помогать выходить на азиатский рынок.

Кроме того, есть много гипотез, запросов на разработку от уже действующих международных партнёров. Эти запросы могут быть неинтересными для Евразии, где рынок уже сформировался, но актуальными для Европы, где мы ещё только начинаем расти.

Именно поэтому мы собираем новую команду под регион ЕМЕА. Эта команда будет адаптировать систему под локальные рынки, создавая ту самую уникальность, отличающую бизнес в UK от бизнеса в Нигерии. Мы ищем в команду опытных разработчиков. Если интересно открывать мир, запускать новые пиццерии на карте и решать не рутинные задачи ждем вас в команду. Напишите мне на d.pavlov@dodopizza.com буду рад пообщаться:)

Примечание. В посте Катя Ландырева подробнее описала, что вас ждет чуть и почему круто работать в нашем продукте.
Подробнее..

Из песочницы Дайджест главных новостей мобайла и ASO за месяц

05.10.2020 12:23:18 | Автор: admin

Каждый месяц готовлю подборку основных новостей мобайла для Hackernoon. Решила, что стоит поделиться русскоязычной версией с Habr. В этом выпуске: iOS 14 привел в негодование разработчиков и помог Pinterest побить дневной рекорд загрузок, измененные правила App Store, попытки Facebook манипулировать Apple, грядущее обновится Google Play Console и другие нашумевшие истории.


Неожиданная iOS 14, кастомизация экрана, виджеты бустят Pinterest


Внезапно (!) вышла новая iOS 14 многие разработчики не успели подготовиться к релизу и были возмущены. Из важного для маркетинга и ASO: мини-приложения, автоисправления в поиске, фичер-карточки (можно почитать про плюсы и минусы здесь). Из неожиданного: виджеты главного экрана стали большой новостью. После выхода iOS 14 приложения для кастомизации главного экрана за несколько дней установили около 5,7 миллионов пользователей. Лидером стал Pinterest, который за день побил дневной рекорд загрузок 616 000 установок.


Коалиция против Apple, коды предложений и зеленый свет игровым стримингам


Кажется, недовольство Apple становится трендом. 13 издателей приложений, включая Epic Games, Deezer, Basecamp, Tile и Spotify создали лигу справедливости Coalition for App Fairness, чтобы призвать Apple пересмотреть политику стора. Apple действительно идет на некоторые уступки. Например, вводит другие варианты офферов коды предложений, которые, например, дают скидки на автоматически возобновляемые подписки. Еще Apple фактически разрешила игровые стриминговые сервисы. Правда, там всё довольно запутано.


Facebook VS Apple: давление и манипуляции двух гигантов


Facebook не отстает и тоже давит на Apple. Возможно, вы слышали об инициативе Facebook запускать платные онлайн-мероприятия, чтобы помочь бизнесу после пандемии. Apple решил до конца года отказывается от 30% комиссии. Все платежи будут обрабатываться через Facebook Pay. Также Facebook собирается продавливать и вопрос с Messenger. Если теперь пользователи iPhone могут по умолчанию выбирать приложения для почты и просмотра веб-страниц, то почему должны довольствоваться единственным инструментом для отправки сообщений? Тем более в мессенджер появилась фича с совместным просмотром видео.


Swift для Windows, AR от Pokmon Go в масштабах планеты, уведомления о заражении COVID-19


Раньше приложения для iOS можно было создавать только на устройствах Apple. Но сейчас границы дозволенного стерлись язык Swift перенесли на Windows. Про другие границы (личные!): Великобритания все же запустила приложение, отслеживающее социальные контакты. Благодаря Bluetooth оно может оповещать о потенциальном заражении COVID-19. У Checkaso есть обзор подобных приложений. А вот создатели Pokmon Go обещают не только обнаружение покоменов (а какую бы вы сделали подводку от ковида к покемонам?). Разработчик предоставит мобильным операторам контент дополненной реальности с поддержкой 5G и будет работать над стандартами этой инновации. Вот такой Planet-Scale AR Alliance намечается.


Эпопея с TikTok: решения суда, солидарность Instagram, альтернатива от YouTube


Последние вести с полей: федеральный суд США заявил, что запрет на TikTok пока не вступит в силу. Пока суд рассматривает законность запрета и решает, представляет ли приложение риск для национальной безопасности. Instagram, несмотря на их Reels, выступает против запрета TikTok. А вот YouTube подсуетился и анонсировал конкурентный формат Shorts. Пока работает только в Индии и на Android, но планы масштабные.


Коротко про ASO: названия конкурентов в метаданных, разная выдача и новая AppGallery


Теперь в метаданных своего приложения в App Store нельзя использовать названия конкурентов, в том числе и в ключевых словах. Еще оказалось, что у поисковых запросов разная выдача в зависимости от iOS, возможная причина пока не все сервисы перешли на парс iOS 14. Бонусом: обновился AppGallery. Если коротко: они продолжает гордиться созданием экосистемы и говорят, что к ней присоединилось уже больше 1,8 миллионов разработчиков. Есть разные размышления о том, может ли AppGallery стать альтернативой известных сторов.


P.S.


Закончу дайджест анонсом 2 ноября ожидается выход обновленной Google Play Concole. Обещают свежий интерфейс и удобную навигацию. И, кстати, про Google: они запретят разработчикам приложений принимать платежи в обход Google Play. В течение года они должны будут перейти на платежную систему компании.

Подробнее..

Категории

Последние комментарии

© 2006-2020, personeltest.ru