Comments 436
This publication could cause conflicting feelings. Be critical of any posted information. Remember the Community Guidelines before posting your comment.
How to write and what to do?
- Don`t write offensive comments or get personal.
- Refrain from obscene language and toxic behavior, even in a veiled form.
- o report comments that violate the rules of the site, click the "Complain" button or fill out the feedback form.
What to do if: karma goes down, the account is blocked.
1. Список приложений -- бывает нужен для отладки. Если у ряда пользователей не работает клиент и при этом у всех них стоит приложение Х, значит это Х плохое приложение.
это нельзя отключить, да и в том же тг такого нет, в любом случае это просто страшно - гоусдарство знает какие у вас скачаны аппы, в америке во время сноудена был шок всех граждан, а у нас "ну пусть шлют, что мне скрывать"
2. Детекция ВПН по последним законам везде есть. Но вот только условный Озон у меня вообще с ВПН не запускается, а Макс вот работает, не знаю, что он там детектирует, но жить не мешает. А на тему отправки, вот ровно каждое приложение может это делать.
если все будут делать чтото плохое, то плохое хорошим не становится.
3. Тотальный трекинг адресной книги это безусловно полезная функция, которую умеют ровно все мессенджеры. От WeChat до Telegram. Именно поэтому и можно написать человеку из контактов телефона в мессенджер.
это нельзя отключить, как в тг вроде, но это не аргумент, тг те еще говнюки ( hate.tg )
4. Обход Google Play безусловно полезная в условиях санкций функция. Западные компании уже ни раз нам что-то да ограничивали, использование нейросетей например. Или скачку дистрибутивов вроде Citrix Xen. Завтра может перестать работать обновление, а функция самостоятельного обновления мимо этого проприетарного механизма уже есть. Восхитительно.
ну просто это многое говорит о планах на макс + d любой момент вам могут подменить версию приложения на ту которая содержит еще больше следящих модулей
5. Чтобы "имитировать банковскую карту", надо в начале где-то получить банковскую карту. То есть, украсть деньги с банковской карты пользователя таким образом нельзя. А вот миниапп от банка таким образом может позволить произвести платеж через банковскую карту, выпущенную для Макс. Но вообще через NFC сейчас даже визитки передают. Поэтому конечно очень удобно, что в Максе тоже есть такая возможность. Очередной плюс, спасибо что вы мне его раскрыли.
проблема что макс автоматически дает разрешение, у юзера нету кнопки "разрешить юзать NFC?" это как минимум халатно а как максимум опасно
8. RCE, "После этого любое другое приложение (или сам сервер через дамп экрана) может делать скриншоты ваших переписок"Тут серьезно утверждается, что Макс может узнать, что он показывает пользователю? Ну, ОК. Он и так знает что мне показывает. Эта информация на мой взгляд может использоваться только для целей отладки.
это про MiniApps, ты статью чем читал? любая мини апа может выбратся из тюрьмы, условная мини игра внутри мах может выполнить любой JS код вне тюрьмы
9. Мессенджер отсылает мой номер телефона через оператора на сервер. Окей, но я отсылаю номер телефона на сервер при регистрации. А сотовый оператор его и подавно знает. Да, это очередной механизм авторизации, без звонков и СМС, звучит удобно.
но это очень и очень не анонимно, и страшно, но ладно это инет, нам то скрывать нечего, подумаешь MITMы всякие, с кем не бывает
10. Я точно не уверен, но разве звонки в современном мире работают не Peer-to-Peer? А как соединяться P2P не зная внешнего адреса друг друга? То есть, сбор внешних адресов это видимо фишка для улучшения связи. Звонки через Макс действительно работают хорошо, так что спасибо разработчикам за то, что они до такого додумались.
SFU
А на тему креш-логов для разработчиков, таки это специальные креш-логи для разработчиков. Помогают разработчикам искать баги. Разработчики молодцы, если всеми силами пытаются сделать свой продукт лучше исправив баги. Круто, поаплодируем им!
только вот оно собирает все логи LogCat, буквально все, впнов, ютуба, инсты, думаю стоит подумать как потом это могут юзать
11. Widevine UUID "человека можно будет отследить всегда", стоп, этот ID не в человеке вписан, а в телефоне. Если я потерял или продал телефон кого он там будет отслеживать? Если это задел под дальнейший поиск потеряных/украденных телефонов, то спасибо большое разработчикам.
тут для так называемых анонимов, не всем приятно то что приложение всегда знает что ты уже запускал макс, просто не приятно, может и удобно но для меня это огромный минус ( полное абсолютное нарушение анонимности ) на уровне ME
12. Выглядит как уязвимость. До публикации статьи имело смысл подать её в баг-баунти, денег можно было заработать, наверное. Я б попробовал, если бы нашёл сам. Теперь думаю разработчики сами её пофиксят.
это она и есть, но баг баунти мне не заплатят
13. Наверное, остальное всё такое же.
нет, почему то вы самое интересное упустили и не ответили, почему же?
Пожалуйста добавьте заголовок, что 3\4 текста в статье относится лишь к Android телефонам.
Тотальный трекинг адресной книги
А вот тут хорошо бы сделать сноску, МАХ не требует для получения, отправления сообщений доступа к адресной книге, вообще, можно работать как 30 лет назад с icq, отправлять, получать сообщения лишь по номеру телефона, uid icq :) , в отличие например, от Телеграмма, который без полного доступа к адресной книге вообще не предоставляет возможность им пользоваться. Всё выше описанное, справедливо для iOS.
Телеграмм прекрасно работает без доступа к контактам. Whatsapp без этого не может.
На iPhone не работает, без полного доступа к контактам, написать нельзя, просто окошко закрывается и всё. https://ibb.co/BK3Rw6sk При том, что в iOS 26 уже есть "доступ лишь к указанным контактам", если вы не хотите предоставлять доступ ко всей адресной книге, и Whatsapp корректно с ним работает, но телеграмму нужен доступ исключительно ко всем контактам.
А у меня работает. Но правда iOS 16.7.5, может поэтому.
Поиск контактов по номеру телефона в приложении тг действительно не работает без предоставления полного доступа к "телефонной книге". Но тг оставили "дырку" - ссылки tg://resolve?phone=7номер_телефона
В wa чтобы найти контакт без доступа к телефонной книге нужно нажать кнопку "создать чат", ввести в поиске номер телефона и выбрать контакт
Ни тг, ни wa доступ к контактам я никогда не давал, но как-то общался с людьми)
Можно еще себе в “Избранное” номер телефона сохранить и он сразу превратится в ссылку перехода в чат
(для обывателя всё проще): сайт tg/wa/max/&etc где /+номер да im сам открывает окно-чата с номером заодно сообщив его ник в im ... но с макс хитрят заводя отдельный номер или входя через есиа - реально потом нет абонента и приходится по смс на номер из wa контактировать
Дыра в ТГ - если не открыт доступ по номеру. Большинство блокает, поэтому по номеру так легко не найти, как в WA. Занятно, что такая базовая проблема не помешала распространению мессенджера.
iOS 18.7.8, Telegram AppStore 12.7:
написать можно без доступа к Контактам, но вот добавить новый контакт в сам тг без доступа к Контактам iOS нельзя, а в версии с desktop.telegram.org можно.
как минимум три телеги и минимум два wa - но все включая max работали без контактов и ещё можно сами контакты из доступа убрать: я заметил другой момент в playmarket-max - (если нет в контактах рф даже внутри макса) нельзя первым написать на номера рф и оттуда/рф должны сначала написать (что очень логично - как и все(ё) перечисленые(ое в) пункты(ах)/претензии(ях) в статье) ... а вот такой разбор max'уда не логичен - не помнится ни один такой разбор другого im или хотябы перечень по нему того-что отображает exodus-privacy (который давно выгнали из store/market) хотя бы на wechat/line/kakao/viber/zalo а не только популярный в узбекистане telegram (по факту это их нац-мессенджер тк больше нет стран с такой долей пользователей - там imo ушёл на второй план) тк wa/fbmsg поделили остальные страны
@zarazaexeпро создателей хабра[хабр] спроси 👻
разбор beeper ещё интересен - полюбому wordpress всё сливает
Телеграмм прекрасно работает без доступа к контактам. Whatsapp без этого не может.
И WhatsApp прекрасно работает без доступа к адресной книге. Единственное, неудобно собеседника добавлять нового - каждый раз приходится в "чате сам с собой" писать конструкцию вида https://wa.me/79012345678 но я смирился с этим небольшим неудобством.
Телега прекрасно работает без доступа к контактам. Никогда не давал ей доступа. Минусы - приходится добавлять руками. Про удаление сообщений по команде посмешило, это ж основная фича телеги. Можешь удалить любое сообщение у получателя тоже.
Про удаление сообщений по команде посмешило, это ж основная фича телеги. Можешь удалить любое сообщение у получателя тоже.
Ага, только непонятно за каким хреном сделали запрет на редактирование сообщений в личных чатах (через сутки вроде). Сделали с женой “список дел” в запиненом сообщении и через некоторое время заметил, что там больше нельзя отмечать сделанное. И эту “заботу” обо мне никак не отключить.
вранье про тг и контакты. как тогда им на ПК пользуются ? специально проверил - айфон 17, последняя айос - у ТГ НЕТ доступа к контактам. все работает
Этот идентификатор зашит в защищенную зону процессора (TEE). Он не сбрасывается при переустановке приложения, смене Google-аккаунта или даже сбросе до заводских настроек. Человека можно будет отследить навсегда.
интересно, а как быть с вторичным рынком? люди продают, покупают смартфоны б/у
да мало ли сколько трубка за свою жизнь владельцев сменит... да и даже ремонт, когда меняется деталь на донорскую...
Ну не слышали программеры максика про то, что существуют разъемные соединения ) приколотили гвоздями идентификатор к пользователю, и пусть живет с этим) даже если его телефон пошел "по рукам" :)
Возможно это доп слой идентификации как раз телефона от всяких мошенников. Ну, видится такой кейс:
Телефон без ID, юзер Ваня Иванов ставит туда Макс. Макс создаёт этот ID и в базе привязываем, что это телефон Вани Иванова.
Ваня продал телефон.
3.а. Случай, если его купил мошенник с левой симкой, использует для спама или разводов в том же Максе. Макс смотрит ID, видит, что привязан к Ване Иванову. К Ване наведывается тов майор и спрашивает, куда же Ваня дел телефон. Так по цепочке накрываем либо мошенников, либо хотя бы их поставщиков.
3.б. Случай, если телефон купил добросовесный юзер Пётр Петров. Жалоб на акк нет, спам не шлёт. Ок, теперь привязываем Петра к этому зашитому ID. Потом, если что с него уже спрос будет.
Пове
Вы Либо эксперт-инженер, либо блогер-революционер.
Если в статье было меньше эмоций, то воспринималось бы лучше. Я не поддерживаю установку Мах, но и опускать его пользователей не корректно.
всем привет это zarazaex и нет я не опускаю пользователей MAX вопреки мнению общественности
хейтеры я не революционер я просто фанат собаки нори с очень человеческим лицом
так а кто пользователи прежде всего? Бюджетники и они якобы не виноваты? Пассивность ровно поддержка.
Надеюсь, Вам не больше 20 лет. В ином случае иметь мнение, подобное Вашему, становится не юношеским максимализмом, а показателем скудоумия.
надеюсь вам больше 80 лет. иначе деменцию на возраст не списать.
саботировать процесс всегда можно. можно просто не бежать впереди паровоза. ой забыл, ой заболел, ой телефон глючит, ой чота не работает, ой память закончилась. и т.д. и т.п. надо тратить их время тем самым повышать издержки внедрения. при этом вполне можно даже изображать искренне заинтересованного. уж бюджетники это умеют абсолютно все.
а к тем кто занимает очередь в пятницу - есть вопросы.
:D и кому вы хуже сделаете? Те, кто требует, все равно не отстанут, потому что это не их инициатива, а сверху приказали. А те, кто сверху, даже не знают о ваших отмазках, им пофиг. Тут скорее вы будете выглядеть как ребенок, у которого то срачка, то болячка, в то время, как взрослые люди просто примут правила игры, либо купят отдельный телефон для этого.
Те, кто занимает очередь в пятницу, делают это, чтобы в понедельник лечить людей, учить детей и заниматься иными социально важными вещами за копейки. Назначить их виноватыми во всех бедах - бесчеловечно. Если уж кто и виноват - так это мы, пользователи IT-форума, у нас ресурсов и возможностей для различного рода саботажей явно больше. Так что начните, пожалуйста, с себя. И отстаньте от бюджетников, у них и без того работа неблагодарная.
Этот идентификатор зашит в защищенную зону процессора (TEE). Он не сбрасывается при переустановке приложения, смене Google-аккаунта или даже сбросе до заводских настроек. Человека можно будет отследить навсегда.
Если Макс может так делать, то , может быть, можно написать приложение, которое сделает обратно?)
Тогда уж пусть перехватывает все запросы макса к системе и адресной книге и отвечает рандомными полями )
Эксперты, может кто-то из клонеров умеет подменять UUID ? Всякие App Cloner, Paraller Space и прочие Knox со Вторым пространством ?
Так называемый слив контактной книги происходит для того чтобы по номерам найти другие контакты в Максе? Или цель другая?
Удаление локального сообщения пушем вроде бы можно объяснить синхронизацией чатов одного аккаунта между устройствами.
По поводу разблокировки устройства интересно. Неужели любой бот может разблокировать устройство? Вообще разблокировка устройства может быть нужна для приема звонка.
По поводу ВПН все понятно.
Хранение Телефонных книг пользователей даёт возможность внутри сервиса строить граф социальных связей.
В "рыночных" базах на дисках встречались "записные книжки". Видимо заботливо перебивались из изъятых сотрудниками ведомств. Потом был GetContact и TG, но тут вообще удобно.
На самом деле очень условно. Времена конечно меняются, но за последние годы и по сей день у меня полно более менее активных контактов, кто записан только в телеге или в других мессенджерах без телефона. А в телефонной книге могут быть совершенно левые контакты типа администрации ТСН в ЖК, в котором я когда-то снимал квартиру, или таксиста из села Кукуево, который подводил меня 10 лет назад, и я записал его номер чтобы один раз ему позвонить когда он повезет меня обратно (ну или может еще когда нибудь когда я снова соберусь в Кукуево).
Так левые контакты не особо зашумляют граф. У них будет минимум совпадений и они не повлияют на веса.
Помню давно, в старые добрые времена, мне штатный клиент аськи вдруг выдал окно с графом связей, да такой, что я сам обалдел. Включая людей, с кем лично я даже не контактировал, но так или иначе зависел. Круче видел только в i2, но тут от неожиданности было эффектно
А ещё в том же ВК когда-то было такое приложение, которое рисовало графы по друзьям через апишку вк, типа сколько рукопожатий до целевого пользователя. Я тогда тоже очень удивился, что до любого человека в городе 3-4 "хопа", перепроверял вручную.
Синхронизированные контакты из записнух конечно позволяют строить намного более точные связи. И хеширование номера для соблюдения якобы конфиденциальности не защищает, ибо построить радужную табличку под строку из 11 цифр как два пальца..
Icq тоже парсило телефонную книгу, чтобы показать этот граф связей?
Ну послушайте, Ваш граф связей давно построен, Макс для этого не нужен
Просто тут важно у кого он. У павла дурова на серверах ТГ чтобы каналы рекомендовать и рекламу пихать, или на серверах ВК чтобы товарищ майор мог вас к "предателям родины" присоединить.
Завел себе ВК пару лет назад, еще до Макса. Завел его, чтобы в новостях писать коменты и в других темах. Не подписывался ни на какие паблики, не заводил друзей, ничего не делал в профиле. Просто чистая страница, без фото. Фамилия и имя: Юрий, Юрий.
И мне сразу пришло, что эти люди знаю вас. В списке была мама, жена. Ок они еще когда я первый раз заводил страницу при Дурове были и почта совпала с тем временем. Но вот друзья из байкерской тусовки, которых я знаю лет пять. Мама про них не знает, бывшие друзья тоже. У жены нет именно этих людей в друзьях. Вот как ВК определил что я с этим человеком общаюсь. А с другими нет. Хотя там было много тех с кем я не общаюсь, но так сказать в первую очередь предложил тех с кем я общаюсь.
Все говорят какой Макс плохой, а другие приложения от этой конторы проверял? Особенно те, куда люди сами выкладывают свои фото и пишут чем занимаются. Тот же ВК.
Ща вот подумал, наверно по фото связь составил, если я где-то на фото с этим человеком был и он меня по каким-то признакам определил, то вот она и связь
у меня в черном списке все приложения из государственной обязаловки. безотносительно их плохости или хорошести. потому, что их вредоносные действия - вопрос времени.
и да, гугловская и вендорская обязаловка у меня там же с небольшими оговорками.
Ща вот подумал, наверно по фото связь составил, если я где-то на фото с этим человеком был и он меня по каким-то признакам определил, то вот она и связь
там миллион вариантов если на той стороне человек не очень чистоплотен в информационном смысле. записная книжка, история звонков и т.п.
У связки Facebook + Whatsapp ещё круче. Много раз было такое (ещё 10 лет назад), что на какой-то встрече с незнакомыми людьми Whatsapp сливает моё местоположение, потом Цукерберг сопоставляет данные, какие ещё вокруг есть люди, и потом рекомендует эти контакты в Facebook. Людей, которых я видел один раз и даже не знаю, как их зовут, но попадание 100%! Точно также по геолокации работают всякие знакомства, типа "люди вокруг" в Badoo/Mamba.
Уверен, то же самое есть и в VK для рекомендаций социальных связей. Возможно и в Max, но это уже не соцсеть, поэтому для самих людей практической пользы мало, только для органов.
решето! (с)
Ну то есть Макс делает все то же самое, что делают практически все приложения, связанные с социальными сетями? Или проблема в том, что данные сливаются в VK а не в Meta (например)?
Не одобряю конечно, но это современный цифровой мир (((
телеграм каждый день получает логи LOGCAT и отсылает на сервер, по вечерам скачивает сообщения через QUIC без tls, ну по пятницам впн детектит, ну и по приколу отправляет на свои сервера список приложений качаных на мой телефон, вот завтра думаю анти-тампер под видом QR-сканера запускать будут
тг - бич
макс = игрок админ + анонимная сотсеть + opsec + run on openbsd + нету RCE
// САРКАЗМ
А по поводу приложения лицекниги, или инстаграмма так же пошутить не хотите? Я - нет, мне не смешно.
вбей в гугл intel me бекдор и етернал блу бекдоры, бекдоры ватсап, ток попробуй не умереть от страха... и еще никогда не вбивай сноуден. я предупредил.
Я не хочу, так как про них очень давно это известно и кто хотел, тот уже очень давно их дропнул.
А вот ваш вотэбаутинзм и попытка смещения акцента напрягают
Вот тут уже интересно, есть что то в скаме, сверх того, что есть в телеге или ватцапе? С мини апами печаль, выглядит рай для всякого рода злодеев
есть что то в скаме, сверх того, что есть в телеге или ватцапе
абсолютно все что я тут описал
С мини апами печаль, выглядит рай для всякого рода злодеев
так это буквально RCE, идите пишите всякие ванакраи
Вот да, хотелось бы сравнить с вазой.
Ну тогда статья не такой хайповой получится((((
с телегой, ватсап це штука евреев, ну вот я не помню чтобы телеграм кидал себе на сервера ваши logcat
Ну и, таки, в чем пгоблема? Ой-вавой!
У телеграма "открытый" клиент и множество известных реализаций, поэтому он как бы не в списке. Надо именно сравнивать пнкт за пуунктом системы с закрытыми клиентами.
Миниапы там только от проверенных ИП и организаций можно размещать. Со всеми вытекающими.
Т.е. хакнуть чужой аккаунт и раскидать всем пользователям малварь которая неизвестно что угонит - закон запрещает, а если закон запрещает то такого никогда и никак не случится, ведь в случае чего ИП будет отвечать? И это даже не начиная историю того что некоторые организации у нас ровнее других, и им можно, например, навсегда привязывать банковские карты к своим магазинам так что отвязать их без анулирования самой карты невозможно (окей, не невозможна, но крайне затруднительна (30 дней!)). И ФАС это норм
Нет, это так не работает. Но вы попробуйте :)
Не работает что, угон аккаунта и распространение малварей? Работает и еще как, называется атака на цепочку поставок и является причиной по которой все браузерные расширения сидят в песочнице, например. Было уже множество случаев когда известное браузерное расширение, пакет pip/npm или даже приложение на андроид угонялось (или встраивалось как библиотека), после с новым обновлением всем пользователям присылался бэкдор. Это и есть основная проблема миниапов без песочницы - один прокол и у пользователей творится неизвестно что. Не нужно взламывать даже сам миниап, достаточно добраться до библиотеки используемой внутри, и у вас есть RCE в рамках приложения которое привязано к госуслугам. Если у меня телегу скомпроментируют что я потеряю, переписки? Есть скомпроментируют миниап (даже не само приложение!) в сием месенджере у меня что, паспортные угонят? И это в лучшем случае, могут же и OTP от госуслуг получить, и что потом, доверенность на квартиру?
Например меня не особо волнует, что лейтенант Джон Престон из фбр прочтет мои переписки. А то что их прочтет сержант Смирнов, и на следующий день использование слова "подставьте любое" станет запрещенным и начнет преследоваться по закону, меня волнует куда больше.
Но это современный мир (
А давайте оценим примерно аудиторию, кто от Джона может пострадать больше, чем от Смирнова. Потому что мне, к примеру, уже глубоко плевать на сержанта: если он захочет меня попреследовать, ему и закон и данные не нужны, он просто их придумает. А вот мой работодатель, поставщики моих услуг да и сам я физически нахожусь в юрисдикции Престона. Да и получить дополнительные проблемы с визой в штаты, буде я захочу делать там свою карьеру, мне не очень хочется.
@уже глубоко плевать на сержанта: если он захочет меня попреследовать, ему и закон и данные не нужны, он просто их придумает.
А если допустить, что этот "сержант" будет цифровой, и, "прошерстив" базу где собрано все-все о гражданах, просто будет автоматически и массово рассылать штрафы, накладывать ограничения на счета и т.п.? Примерно как это в зачаточном виде было в Москве с ковидной самоизоляциенй. Плюс близкая к единице вероятность того, что все эти собранные на граждан досье будут доступны за денежку малую любому кто заплатит (жуликам, личным врагам, конкурентам по бизнесу и т.п.).
Иметь на себя досье "у врагов" абсолютно безопасно для большинства жителей страны и любого бизнеса от малого до среднего, поскольку все эти люди с "врагом" никак не пересекаются в своей жизни и работе. А вот аналогичное досье у "своих" уже может доставить кучу проблем, даже если гражданин тише воды, ниже травы и любую крамолу обходит за километр.
если он захочет меня попреследовать, ему и закон и данные не нужны, он просто их придумает.
придумывают статьи. а терпил ищут в базах. если не находят, то переходят к п. 1.
так что наличие в базах обязательное условие.
Меня напрягает и то и другое, в принципе неприятно неважно какой он национальности, это не современный мир, это плохо сделанные приложения, работающие против интересов пользователей
Правильно. Поэтому мы пользуемся WeChat, который ещё большее зло, но у которого миллиард пользователей и дырка от бублика которую получит сержант Смирнов вместе с Джоном Престоном из фбр вместо персональных данных. Да, он не в вайт-листе, но и забанить его нельзя, потому что Китай - большой друк.
А по мне так лучше пусть в Мету сливает, чем в ВК. Из меты дяденька с ордером не придет, а вот кому ВК инфу передаст, вопрос.
А как по мне - наоборот. В рф я пока возвращаться не намерен, а вот словить проблемы при устройстве на работу из-за утечек из FB могу вообще на изи.
Выходит вам нужно использовать макс/вк, если вы вне РФ. А если внутри - то васап/фб
@А по мне так лучше пусть в Мету сливает, чем в ВК. Из меты дяденька с ордером не придет
@А как по мне - наоборот. В рф я пока возвращаться не намерен
Вот именно, принципиально не то, "плохим" или "хорошим" сливается инфа, а то насколько эти "плохие" или "хорошие" могут доставить тебе проблем на основе этой инфы. Т.е. не в РФ Макс может быть и вполне допустим, особенно если в РФ потом не ездить.
Прецеденты были?
Нахрена ты сидишь здесь на хабре и обсуждаешь русский месенджер для русских и риски использования для русских ? В котором даже иностранцам не зарегистрироваться ?
Чисто похвастаться что живёшь в США ? Впрочем, риторический вопрос.
Из меты дяденька с ордером не придет,
зато влёххкую может сделать предложение, от которого Вы не захотите отказаться.
Да. Проблема именно в сливе данных VK. Да ещё каких данных! Множество избыточных данных, которые я бы назвал персональными данными, например, данных о том, с каких IP вы выходите в интернет. Это позволит эффективно блокировать интернет по конкретным спискам адресов. Зарубежные сервисы вряд ли занимаются такой аналитикой и, тем более, не будут так взаимодействовать с государственными органами в РФ.
главная проблема скама в том, что это принудиловка. и тут дело не в абстрактном упрямстве, а в том, что чем больше долбо... недальновидных людей его поставят, тем больше будет злоупотреблений.
и да, мета вам административку с уголовочкой задним числом не впаяет за фото котиков на фоне [подставить что-нибудь скрепное].
Как бы да, но нет. Основное практическое отличие заключается в том, что полицейские той страны не придут с обыском к вашим родителям в той другой стране, потому что вы слово "вобла" как-то не так написали.
По этой довольно незамысловатой причине, гражданину той другой страны абсолютно по барабану что там о нем знает корпорация "Сахарная горка" из той первой страны :)
Да, все приложения этим грешат. Только вот Мета или Дуров не отправят ко мне группу "добрых людей" за неправильное мнение и не запишут меня в книжку пид---предателей, то есть. А вот владельцы скаМа вместе с товарищем майором вполне могут.
А ты попробуй всегда, когда хочется написать или сказать "ВК" заменять его "ФСБ". И сразу всё не так прозаично будет казаться, и сразу мозги как-то по другому работать начинают.
за пост на стене, репост или лайк в корпорации со звёздочкой вас никто в тюрьму не посадит, а с ВК случаи уже были, и много
Хеши номеров уходят на сервер
Стесняются? Номера что хешируй, что не хешируй, просто вычисляем хеш для каждого номера и получаем 1 к 1 соотношение
Количество возможных номеров ограничено. Просто перебор номеров и сравнение хешей. Easy
Номера что хешируй, что не хешируй, просто вычисляем хеш для каждого номера и получаем 1 к 1 соотношение
Не удивлюсь если уже доступны файлики "для лентяев" с готовым сопоставлением )))
Гуглить радужные таблицы. Даже онлайн сервисы были (есть?) для разных алгоритмов. Если хеш не соленый, отлично работает.
генерация 10^9 записей хеша для современных процессоров это диапазон времени от "отойти покурить" до "чаю попить". Это не говоря о том, что задачка отлично параллелится.
Так что хоть каждый час соль меняйте, пока вы эту соль знаете, можно обновлять хеш таблицу бесконечно.
С самого начала, ещё только когда Андроид появился на телефонах, знал, что это говнище. И как жаль было угробленной Windows Phone
... которая, конечно же, в говнище не скатилась бы, это удел только десктопной версии.
А куда кстати делась Windows Phone, у меня был такой первый мой смартфон дорогой был это 2008 или 2009 год
MS похоронила поддержку старых приложений от Windows Mobile, потом убила все попытки развития собственной экосистемы три раза переписав рантайм (Silverlight на WP7, WinRT на WP8, и UWP на Win10) для приложений, заигрывая с Android (Project Astoria, который потом по-быстрому свернули). Ну и гугл поднасрал MS отказавшись выпускать приложение YouTube для винды и блокируя все сторонние/MS-овские поделки. И даже в таком виде Win10 была ещё сравнительно жизнеспособной. Но потом MS тупо надоело играться в мобильную операционку и её свернули окончательно в между обновлений Win10. В общем операционка была многообещающей, но проект был перегружен идиотскими менеджерскими решениями, где градус кретинизма превысил все разуменые рамки.
Я бы добавил еще интерфейс, который был очень сильно на любителя. Я знаю, есть поклонники этих плиток, но их немного, а большинству они активно не понравились. Я еще помню посты англоязычных маркетологов и аналитиков тех времен - "пользователи просто не понимают, как хорош этот интерфейс, упорно отказываются понимать раз за разом, вся причина в недостатке рекламы и плохом маркетинге, который никак не может объяснить пользователям, что на самом деле он хорош".
Я наоборот от тех кто пользовался WP слышал только нейтральное или позитивное мнение о плитках, сам использовал - удобно, а система WP8 летала по сравнению с андроидом тех лет
На десктопе Win8 хейтили за плитки все кому не лень, вот и мобилке досталось, хейтить плитки было модно
Но если регулярно стрелять себе в ногу, как это делали MS, убивая обратную совместимость старых версий раз за разом, то дойти до нормальной доли рынка будет невозможно. Разработчики разбежались, доля рынка стала падать, MS потерял интерес и прикрыл проект
И как жаль было угробленной Windows Phone
Это им за Nokia и Maemo
del
хеши номеров
Хэшировать номера телефонов это как-то глупо
Нейроспам от школьников теперь на главной? Зацените его прекрасные ишью https://github.com/an1r2dh/an1r2dh.github.io/issues/1
Скрытый текст
В статье 80% чуши. Просто школьник прогнал код из jadx через нейронку.
Например
Приложение дергает MediaDrm Widevine UUID (edef8ba9-79d6-4ace-a3c8-27dcd51d21ed), хеширует его SHA-256 и использует как deviceId.
Никто не использует Widevine UUID как deviceId. В этом смысла нет. Школотрон даже не задумался, что скопипастил. Используется хеш ключа DRM которые получают через Widevine
ты пытался опровергнуть
Приложение дергает MediaDrm Widevine UUID (edef8ba9-79d6-4ace-a3c8-27dcd51d21ed), хеширует его SHA-256 и использует как deviceId.
но не сумел, и пришлось прикреплять сообщение как я КИДАЮ МЕМЫ с кентом, пипец ты тип мощный, тебе осталось еще мне поставить анвоут на комент и ваще топово будет
я кстати так и не понял что ты мне хотел сказать фразой
тоесть типок ты обрадовался найденному мату на Гитхабе, что забыл доказать техническую неправоту кстати подпишись на канал @nogosol там подарки раздают
кароче фанатка какая то мои гитхаб ишью ищет че за цундере не понимаю помогите одержимая какая то ужас аа что делать полиция милиция пожалуйста 112
ПОЖАЛУСТА ПОМОГИ МНЕ на меня наапала бешаная цуендере фанатка и она чииатет мои ишью гна гитхабе помоги @m3d_md
Надеюсь, HR, который будет его брать на работу, почувствует нейронку в тексте и посмотрит разницу статьи и комментариев данного молодого человека.
Истина где-то посередине. Код действительно надерган кусками, но некоторые векторы атак типа понижения tls описаны вполне правдоподобно
Девелоперы, которых мы заслужили. Особенно доставила аватарка с котиком в гите. Школьнег детектед)))
Отличная статья) отличная работа..за которую 10 баксов на донат не жалко) автор пиши ещё) спксибо)
Сетевой трафик посмотрите, пожалуйста: какие домены, какие данные уходят при старте, в фоне, при действиях. Через mitmproxy/Frida с обходом certificate pinning
Правда, это не показатель, поведение может меняться. Но важно
там ток с рутом обходить серт пининг (в максе сильная борьба с ней + переподпиской апк ) , у меня бичуганский айку который не рутировать ( а денег на норм пиксельфон у меня нету ) так что ну грусть
Тогда рутованную тушку или андроид эмулятор. Хотя, некоторые приложения детектят эмулятор (да и рут иногда тоже) и отказываются работать, MAX вероятно тоже.
Ещё вроде есть Genymotion
И вариант
objection + patched APK: утилита автоматически вставляет Frida gadget в APK и переподписывает. Работает без рута, но вряд-ли
Если есть возможность, можно на роутере задампить запросы девайса.
Спасибо за разбор, статья получилась действительно содержательной и наглядной. К сожалению, мы давно живем в мире кривых зеркал: не будет «Макса», появится условный «Андрей», который все равно узнает, кто ты и где ты, если ему это действительно понадобится. Наша приватность в наших руках, как ни крути. Единственный выход — самому контролировать свои цифровые следы, насколько это возможно. Эдвард Сноуден в своё время об этом рассказал, но уроки усвоили похоже не все! Стоим на пороге мыслеприступлений!
Mobile ID: ваш номер уходит по открытому HTTP.
Можете пояснить как это работает?
Зачем? Header Enrichment. Схема:
Ваш телефон в мобильной сети оператора.
Делает HTTP-запрос (открытым текстом) на оператор-ный эндпоинт.
Оператор на своём оборудовании дописывает в заголовки ваш MSISDN (номер телефона).
Сервер MAX видит заголовки → знает, кто вы. Без SMS-кода.
Я попробовал на Мегафоне, МТС и Билайне - позапрашивал через них соответствующие домены через HTTP и в ответ не получил никаких странных хедеров (единственное что подозрительное нашлось - кука cookiesession1 от idgw.mobileid.mts.ru .
Ещё непонятен момент про Header Enrichment: зачем он нужен, если мы всё-равно запрашиваем эндпоинт самого оператора, ведь он в ответ может со стороны сервера без каких-то дополнительных манипуляций добавить в ответ нужные данные.
В общем, буду благодарен, если распишите этот момент более подробно
https://habr.com/ru/articles/345852/
(Просто статья по теме, я сам без понятия)
Не думаю, что автор компетентен :)
Не думаю что ответит. Может и к лучшему- посмотрите на ответы автора в комментариях.
Подобных вопросов к статье у меня тоже набралось.
Это вот такая история, мне неизвестно продолжается это безобразие или нет
ЕнКхеадер работает не так как ты проверял
оператор добавляет заголовки не в ответ а в ваш запрос пока он проходит через оборудование оператора
кароче погугли, это работает вообще не так как ты думаешь
Если он не добавляет эти заголовки в ответ клиенту, то как MAX их получает?
Ваше объяснение не согласуется само с собой:
cleartextTrafficPermitted включен только для доменов операторов, но не для доменов MAX'а, то есть клиент MAX'а не сможет сделать http:// запрос на свой сервер, а значит, ОПСОС не сможет добавить в него никакие хедеры, а значит сервер MAX напрямую эту информацию от ОПСОСов получить не сможет
То, что внутри инфраструктуры оператора в запросы добавляются служебные хедеры - возможно, но вопрос в том, каким образом эта служебная информацию должна попасть в клиент MAX?
мне лень это обьяснять, можете погуглить, но вот
Вот именно это я и проверял до того как написать свой первый комментарий. Если это и работает, то помимо домена нужен какой-то ещё маркер: специальный путь, или заголовок, или ещё что-то такое. Одного домена тут явно недостаточно
Не понятно, а статью Сергея Набатова ты читал, ссылку на которую выше кидали два раза? Проверял?
Читал и проверял. И даже обнаружил, что описанный метод всё ещё работает на мегафоне для домена szfwp.megafon.ru. Он действительно обогощает заголовки запроса и добавляет X-IMSI, X-SGSN, X-IMEISV, X-3GPP-USER-LOCATION-INFO и X-MSISDN - проверяется простой подменой Host.
Но ни один из перечисленных в статье доменов так себя не ведёт, по крайней мере если запрашивать корень. О чём я и написал
Автор не разобрался. В мах НЕ передается номер телефона, мах только может подтвердить, что переданный пользователем номер принадлежит ему (по аналогии с кодами из смс).
Кратко как это работает: Пользователь вводит номер телефона в мах, мах передает его на свой сервер, сервер отправляет запрос к серверу аутентификации (предоставляется провайдером) и в ответ получает уникальную ссылку вида http://mobileid.megafon.ru/si-hhe?interaction_id=UUID
Если пользователь перейдет по этой ссылке, то интернет провайдер добавит в заголовки запроса номер телефона, и сервер аутентификации (НЕ сервер мах) получит этот номер и сверит с тем, который изначально прислал пользователь. Если номера совпадают, то сервер мах получит об этом вебхук-уведомление (он НЕ получит номер пользователя).
ты описываешь стандартный публичный API Mobile ID, он тут причем ? просто погугли перед тем как коммент публиковать
или ты вообще статью не читал?
не разобрался тут не я
Ну что вы как маленький; главное, чтобы заголовок статьи проиндексировался
Че то я это перечитал и пытаюсь переварить. Окей, то что скам это чисто шпионское приложение - не новость. Фейковые чаты и подмена верификации звонящего - сомнительно, но в целом укладывается в любимые практики контор "это не мы, это оно само, это деградировали сервера".
Но управляемо открывать клиентов для mitm? Что? Это намеренно добавленная фича, но у вк и спецслужб, как следствие, и так есть доступ ко всему, что происходит в максе. Для кого там mitm? Плюс, если включение этого не "на черный день" а реально встречается в природе, то это какую ж кампанию по совершенно беспалевному шпионажу за юзерами может развернуть любой владелец сети публичных точек wifi?
MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.
Сова на глобусе. Вот так или похожим образом поступают все мессенджеры которые хотят получить твою телефонную книгу.
Удаление сообщений из базы пушами - сервер может отправить скрытый пуш-запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа
А так - любой мессенджер позволяющий удалять сообщения у собеседников без следа.
Другое дело у кого эти самые кнопочки под контролем. Я не буду давать оценки хорошо это или плохо.
Сова на глобусе. Вот так или похожим образом поступают все мессенджеры которые хотят получить твою телефонную книгу.
проблема что в максе это не отключается.
Он не работает без доступа к телефонной книге? Вообще? Или просто как тот же телеграм пытается вставить «палки в колёса» выдавливая из тебя согласие на доступ?
Мне не нравится жажда получить социальный граф, но она мне не нравится в любом мессенджере. А принципиальных отличий по тексту я пока не вижу. А попытки перевести людей в мессенджер не собирающий номера телефонов пока выглядят как обреченные на провал
Аффтар, песшы исчо. Но не только про хайповый СКАМ, но и про другие мессенджеры, популярнее, чем "широко известный среди узкой аудитории криптопанков". А то меня вот интеграция AI напрямую в тг/вацап - с возможным изменением сообщения перед отправкой, но до шифрования, для "корректности" - напрягает.
Можешь разобрать что-нибудь от яндекса. От приложения авиты тебя порвет на куски - мне одно время приходилось делать моды (для совсем слабых трубок) на него для слонПДА.
А потом сведи всё это в таблицу.
Особенно меня умилило
Архитектура устойчива к ситуациям «Google Play заблокирован», «санкции», «нужно срочно доставить обновление всей стране». Один серверный флаг - и вся аудитория получит апдейт с серверов MAX.
записывание резервной системы деплоя в "недостатки". Гуглплей, может быть отключен или заспуфлен не только изнутри, но и снаружи. Приложения оттуда удаляется очень быстро, это проверено.
мне не интересно реверсить ватсап потому что там ничего интересного и хайпа я не получу
записывание резервной системы деплоя в "недостатки"
сам выдумал, сам опровергнул, маладца
Связка Facebook (даже через web) + установленный Whatsapp похлеще чем Max, вот мой пример https://habr.com/ru/articles/1036222/#comment_29998076
Whatsapp постоянно в фоне мониторит геолокацию (даже по сотовым вышкам, даже без GPS), и потом предлагает "друзей" рядом в рекомендациях Facebook. И это было 10 лет назад. И также Whatsap сливает телефонную книгу в Facebook и потом предлагает людей там в блоке "возможно вы их знаете". Ну как и ВК собственно.
Интересно, а остальные приложения так же навязывают? :)
Слабая попытка сказать "авотуних!".
Что он делает: При каждом выходе приложения из фона он стучится на 6 внешних IP-чекеров (yandex, ifconfig.me, ipify, AWS и т.д.)
Можно все IP чекеров уточнить чтобы поставить их в block.
tracker-api.vk-analytics.ru
api.oneme.ru
mobileid.megafon.ru
idgw.mobileid.mts.ru
hhe.mts.ru
he-mc.tele2.ru
he-mc.t2.ru
balance.beeline.ru
trace-flow.ru
Эти, нехорошие SNI, выходит, внесены в БС?
Что по настоящему сломано в этом мессенджере так это доверие - народ не против, что его данные льются рекой в Китай или Туркам, лишь бы не... в Макс, хотя никто не тестил тот же WeChat- уверен он тоже сливает данные, может не так люто и не для целей выявления КВН, но всё же. Маркетоидам от макса нужно премию Дарвина вручать с их подходом к "популяризации".
Ну так какие последствия для народа если жанные льются туркам или в Китай? А какие последствия если родному тов. майору? Мне кажется народ тут хорошо чувствует разницу. Даже если клиент не сильно отличается от других, то на сервере полный доступ к данным и связям
Ну так какие последствия для народа если жанные льются туркам или в Китай?
ну тогда непонятно, а как же принципы приватности? Или тут что-то другое?
Принцип приватности тут тоже соблюдается. Третья сторона может быть и знает какие у вас есть приложения, контакты в адресной книге и т.п., но не знает ваш домашний адрес, банковский аккаунт, долг за коммуналку. А тов. майор знает и может сопоставить.
Разделять данные между разными сторонами это тоже один из способ достижения приватности, для этого в т.ч. и используют всякие VPN/proxy не для обхода блокировок. Чтобы провайдер не знал куда хожу и чтобы сайт не знал где живу. Хотя по отдельности эта информация кому-то известна.
Ну, конкретно в случае ВиЧата - товарищу майору тоже льются.
А какие последствия если родному тов. майору?! Что вы такое пишете или делаете, что своей тени боитесь?
а можете привести список того, что писать точно можно и вас за это в рф точно не привлекут?
И заодно - учитывая законы которые будут приняты в будущем. "Длящиеся" преступления в виде опубликованных сообщений никто не отменял.
Посмотрите репу, повникайте в текст. Вы лайкаете нейрослопный реверс инженеринг и нейрослопную статью. Это кибер психоз воочью.
покажи пальчиком где в статье ( именно статье ) я ошибся?
( он поставил диз ... )
Я бы показал, если бы статью писал ты. Но статью писала ллмка, так, что твоих ошибок тут быть не может, кроме щитпостинга. И того, чего в нем нет.
Наличие функций из какого-то third party в апк != их использование и словно по гаданию на кофейной гуще целях этого использования.
Например момент с отправкой записей, для доказательства нужно -
продовый билд, установленный с рустора или другого оф источника, нормальный юз кейс.
показать сбор в коде
файлы на устройстве
показать отправку в трафике
показать содержимое payload
связать это с конкретной функцией
сделать эксперимент воспроизводимым
кто-то другой должен это воспроизвести независимо
Этого всего нет, куда тут "пальчиком" тыкать?) А самое главное, русское айти открытое, часто можно встретить разработчика макса на конференциях и задавать прямые вопросы.
А это все какой-то манямирок из области шапочек с фольгой и вышек 5G. Прям вайбы бабок на лавке, прямо на хабре. Это жесть) Мне уже просто лень писать про 1 .2к нейрослоп комитов в гите.
куда ты от ответа уходишь?
я все понимаю но настолько уходить от ответа полный стыд, признай - ты попытался опровергнуть статью НО тех квалификации у тебя не хватило
ты даже забыл первое правило стат декомпиляции - если код есть это уже компроментация, ну вот представь у тебя будет бабка, у нее рак, ну вот зачем его лечить? он есть конешн ноооо зачем лечить ? он же ее не убил
куда ты от ответа уходишь?
От какого ответа? И причем тут твой вопрос. Нейрослоп есть нейрослоп. Тебе показать в "твоей" статье где у тебя про запись голоса?
ты попытался опровергнуть статью НО тех квалификации у тебя не хватило
если код есть это уже компроментация
дааа, давненько такого прикола не встречал))
опять от ответа ушел!
ты даже забыл первое правило стат декомпиляции - если код есть это уже компроментация, ну вот представь у тебя будет бабка, у нее рак, ну вот зачем его лечить? он есть конешн ноооо зачем лечить ? он же ее не убил
ответь на вопросы:
я был не прав в статье?
если есть вредоносный код это значит что приложение невиновно, ну есть там код который скачивает все логи с устроства и все приложения... подумаешь, оно не виновато?
я был не прав в статье?
Я вижу утверждение про запись, хранение и скрытую отправку записей голоса.
Я не вижу доказательств кроме какого-то названия функции дебага из сторонней либы.
Для меня это равносильно бабке на лавке. Только еще покрытое ллмкой, от чего еще мерзотней.
Если это не понятно, то прости, мне в целом и так все ясно)) Можешь не утруждаться.
это не ванильный вебртс, это кастомный форк вк. в статье черным по белому расписана конкретная цепочка исполненияа не просто наличие функции
покажи мне ИИ которая умеет снимать обфускацию
так признай что ты не читал статью))) я ж прав и это обьективно
и ты так и не ответил на вопрос, ты уходишь от ответы ради того чтобы быть правым хотя понимаешь что ты - вообще не прав
сервер шлет жсон {type: "collect-debug-dump", audio: true}
ьриггерится nativeSubmitDumpRequest
пишется голвый пцм с 6 точек аудио пайплайна
сampleUploadWorker отправляет файлы на apptracer.ru
это задокументированный с2 канал
где тут по твоему дебаг сторонней либы
если для тебя этот execution path не доказательство, то тебе стоит подтянуть базу по статическому анализу вредоносов, прежде чем приходить в комментарии ко мне
покажи мне ИИ которая умеет снимать обфускацию
Давай копай дальше, ведь реверсинджениринг без ИИ невозможен, а мы и не знали.
сервер шлет жсон {type: "collect-debug-dump", audio: true}
Это опять же видно из репорта ллмки по апк или в ходе использования? АУУУУ)?
Все, спасибо, понедельник, пора работать))
Наличие функций из какого-то third party в апк != их использование
Окей, принимается, валидный аргумент. Но как они туда попали? Случайно? В таком количестве? Даже если они не используются, то стоит обращать внимание на наличие такой потенциальной функциональности. Особенно с учетом подтвержденных вредноносных фич и того как разработчики борятся с неофициальными клиентами.
Ну эти функции гуглятся на 4 pda в не оф апк. То есть каким обращом они туда попали, нужно изучать, этого в статье нет. Второе, мы не видим откуда они взяты и как используются в динамике, это вообще может быть ридми пакета и ллмка рисующая эту статью напридумывала. Дебаг чисто гигиена разработчиков. Claude Code и то случайно соурс мапы залил. Я в целом себе вижу картину, что там просто условие для хелзчека или e2e латенси и потерь. Просто не тришейкается это, я не знаю какие там практики современные у мобилок. На фронте бы мы конечно это срезали из билда.
Но есть там еще апи под автоматизацию звонков ботами. Мы часто когда куда-то звоним, слышем разговор будет записан. Может быть для этих еще целей. Короче, без конкретики это все гадание. Но куда логичнее, чем 6 канальная запись разговоров со складированием в файлы на телефоне лол. Где эти файлы? У кого-то получилось их создать? Есть трафик где они отправляются?
Там вот и другой пример - нельзя звонить из не подписанного апк, это вот они запрещают нам делать ИИ реверс индеженриг!!! А то, что это делается, что бы не пытались звонить с левособранных апк, почему-то любителям шапочек из фольги не приходит.
разработчики борятся с неофициальными клиентами.
Есть войс интеграции у них, можете сделать полностью свой клиент. Я не понимаю смысла куралесить их апк, а потом удивляться почему без подписи он не работает)) Я помню, как мы под айфон приложения делали, там даже локально запустить свою апку, нужны сертификаты)) Вы с одной стороны просите ОС проверять пермисии, а с другой стороны просите разработчиков дать изменять их билд.
Вы лайкаете нейрослопный реверс инженеринг и нейрослопную статью.
Так ведь никакого другого реверс-инжиниринга-то и нет...
А где в статье нейрослоп? Я правда хочу знать, если я пропустил. Я вижу не вполне ясное изложение мысли. Это как раз больше похоже на человеческие слабости. Был бы рад конкретным примерам нейрослопа.
Вы лайкаете нейрослопный реверс инженеринг
Если реверс делала ЛЛМ, это не значит автоматически что все написанное чушь. Автору можно вменить только то, что он не сделал акцент на то что реверс выполнен ЛЛМ-кой.
То что отсутствуют натурные испытания, подтверждающие найденные бэкдоры, это тоже неуместная претензия. Информация дана. Можно проводить эксперименты, у кого есть желание и время.
Приветствую, Shelter для Android из всего перечисленного какие "уязвимости пользователя" закрывает ??? СКАМ к сожалению сейчас массовое явление, или только WEB версия безопасна ???
Описывать, по крайней мере здесь, что это всё полный пипец, смысла мало: Хабр пока ещё торт, ну или точно пирожное - мало где появляются подобные статьи, и большинство читающих адекватные люди.
Но вот внимание товарища майора хотелось бы обратить. Таким приложением вы создаете огромный ботнет. Дамоклов меч. Все эти функции нарушают кучу принципов безопасности приложения. Любой ваш нелояльный сотрудник или целенаправленная группа лиц создаст хаос в стране, получив контроль над половиной телефонов. Вы сами пускаете за свои ворота троянского коня.
Одумайтесь, товарищ майор!
(крик в пустоту)
Есть телефон. Есть мах. По команде прогружается апдейт маха.
И новая версия делает пару запросов к госуслугам.
Следующая команда накатывает еще одну версию мах, где запросы к госуслугам уже отсутствуют.
А вот дата когда делать такие запросы.... ммм... например осенью, когда еще сентябрь и тепло. Ах да, еще можно в выходной, например воскресенье.
А через несколько дней будет новостной выпуск про прекрастно прошедшие выборы, где команда Единой России уверенно одержала победу!
И нет, это совсем не связано.
Да ну, слишком сложная схема. Как будто Госуслуги неподконтрольны государству) В них самих что хочешь и нажмут, и отожмут
согласен что это можно и через прямое вмешательство сделать. Но это будет заметно.
а при описанном мной сценарии можно всегда сказать - вмешательства не было. Вот ваш мах, вот вы вошли в систему в 13 часов. Вот вы нажали кнопку.
Это все вы.
Размазывание ответственности. Подпись есть? есть. Откуда? она ваша. Не ваша?! кто-то ваш телефон брал?!
Поди докажи что это какое-то там приложение сделало...
С другой стороны: зато как легко будет сажать любого не понравившегося - вот же его телефон, и тут крамола (успешно подложенная через уязвимости). Для атмосферы постоянного террора “был бы человек, а статья найдется” - самое то.
А можно список хостов, чтобы заблокировать на фаерволе? Это, конечно, слабая защита, но некоторым сотрудникам в конторе нужен скам, ему бы хоть немного подрезать щупальцы. IP-чекеры выше вижу, а ещё бы аналитику и лишний command&control тоже нюкнуть.
А смысл? Список доменов можно менять в крайнем случае обновлением приложения. Или просто через интернет который не ограничен корпоративным (если речь не об устройстве которое не покидает рабочее место или не использует сим-карту с корпоративным apn и вашими политиками).
Смысл больше в успокоении души. Но список доменов менять не так-то просто, ведь их ещё надо в БС протащить, здесь сторона зла сама себе палки в колёса насовала.
Можно, в общем и целом, написать парсер и приложения вокруг web версии. Там же у нас что: делаем сокет-коннект к серваку и потом гоняем данные в открытую в рамках этого совета. Там классический JSON бегает. Можете сами посмотреть. На этом принципе, кстати, все официальные клиенты Макса сейчас и строятся.
А можно вопрос немного в бок: как сейчас обстоят дела с удалением предустановленного российского ПО (в частности, Макса) с нового смартфона?
1) Можно ли удалить с нового смартфона все навязанное ПО до того, как подключил смартфон к интернету?
2) можно ли удалить навязанное ПО штатными средствами операционки?
3) ставится ли удаленное навязанное ПО при очередном обновлении версии операционки?
Root'ишь устройство и удаляешь, не?
Да, кстати, это хороший вопрос. Надеюсь этот мусор не будет прибит гвоздями.
Через любое адб, хоть через софт, хоть через консоль. Рут не нужен. Главное знать какой именно пакет начнёт закачивать в телефон весь этот хлам(можно погуглить, поютубить для своей марки андроида). Удаляешь пакет(ы), включаешь интернет, Вуаля!, вы великолепны! (Проверено на чилийском самсунге)
Это именно для НЕ-ростестовских смартфонов, где установка идёт после выхода в сеть. На ростестовских, если не ошибаюсь, это всё уже установлено.
А я думал, сто ADB это root по сути.
P.s. а можете вкратце рассказать, были ли сложности с Самсунгом, который не для РФ предназначался? Нет ли там каких-то заблоченных сервисов и т.д.?
Никаких проблем нет абсолютно, если знать какой именно самсунг покупать для пользования внутри страны, в интернете куча гайдов. Там подходят практически все сим+есим. Исключение обычно это канада,сша, а также лучше не брать индию, т.к. в ней есть нюансы с первичной активацией на местной симкарте.
Хотя единственный нюанс всё же есть. Надо прописывать днс, чтобы заработал gemini. Но тут не в телефоне дело, я думаю ты понимаешь )
Не ростестовские - это же не для рынка РФ? А с чего им тогда вообще ставить скам?
Это обычная схема сейчас, чтобы не мучиться со всей этой локализацией, в телефон предустанавливается на автозапуск приложение с правами маркета, то есть оно может самостоятельно установить приложения без участия пользователя, оно проверяет текущую страну телефона из разных источников, затем у сервера запрашивают, что нужно поставить - 99% всего устанавливаемого рекламный мусор. У самсунга такую роль вроде бы выполняет Galaxy Store (не уверен), у ксяоми - это GetApps. Чтобы весь мусор не прилетел - достаточно заморозить такое приложение, главное телефону не давать интернета прямо с момента покупки. Если нельзя его заморозить из интерфейса системы - практически всегда здесь выручает именно метод через ADB.
Практически всё так. В телефоне предустановлены 2 версии "Рекомендуемые приложения" с именами com.samsung.android.mapsagent и com.samsung.android.app.omcagent, именно они "дают команду" безвариантно скачать хлам галакси-стором. Если их за'disable'ить(а лучше uninstall'нуть), то ничего скачиваться не будет. Не так давно делал это на новом s25.
На самсунге (не на всех?) при втыкании российской симки запускается ЗАКОН.app и вкатывает всё это говнище. Сам телефон может быть хоть в антарктиде, российской симки достаточно.
Это именно для НЕ-ростестовских смартфонов, где установка идёт после выхода в сеть. На ростестовских, если не ошибаюсь, это всё уже установлено.
Пришла в голову такая метода - обращаемся за глобальным firmware для перепрошивки на сайт производителя или к кому угодно, кто поспособствует это раздобыть, перепрошиваем (если не чувствуем уверенности, чтобы сделать это лично, то обращаемся в проверенный/авторизованный СЦ), и... вуаля!, смартфон чист. Прокатит? Если нет, то что помешает?
Вторая мысль, пришедшая в ту же голову на ту же тему, чисто рыночная. Если есть массовое загрязнение смартфонов софтовым мусором, то по идее на рынке должна сложиться инфраструктура, предлагающая услугу надёжно очистить аппарат от этой гадости. Есть такое, или это бред?
Я тут не гуру, но как понимаю, что только через root можно будет сделать для android. Хотя вот, например, у меня вся техника (телефон+планшет) от Самсунг, а там писали, что с root проблемы возникают. Как раз планировал осенью все менять. Но на старых устройствах скорее всего этой дичи ещё не будет.
Скоро прикрутят проверку прямо в ядро, и без этого приложения телефон просто не включится. Будешь обязан отправить утреннее селфи в чат, чтобы разблокировать экран...
А можно вопрос немного в бок: как сейчас обстоят дела с удалением предустановленного российского ПО (в частности, Макса) с нового смартфона?
1)... 2)... 3)
Меня, как обычного простого пользователя, жутко интересуют именно эти вопросы. Точнее, ответы на них.
у меня в телефоне просто были ярлыки - - первый раз тапаешь - скачивается, ставится.
а не так что уже установлено, не удалить.
Было бы здорово, если бы кто-то ещё Telegram так проанализировал. Или у них вся фишка не в приложении, а на серверах, имеющих доступ к данным пользователей, и код которых не доступен?
Если у вас нет паранойи, это еще не значит, что за вами не следят)))
Скажите ещё, что вот это:
Скрытый текст
вы сами писали.
При том, что на самом деле у вас стиль написания такой:
привет, хабр.....
если не читали предыдущие статьи - кратко: в РФ сейчас работают белые списки ( а мы не знали ) подробнее тут, ТСПУ работает в режиме drop-all, пропуская только одобренные IP + SNI
обходилось это легко - покупаешь VPS у VK/Timeweb/Яндекса, получаешь подсеть которая есть в белых списках, поднимаешь VLESS
только вот скоро это перестанет работать -.-
VK и Яндекс начали детектить инстансы используемые как прокси - предположительно смотрят на паттерны трафика и так далее, MAX вообще давно палит IP VPS через HOST_REACHABILITY - подробнее тут. мне самому забанили VPS за перебор IP в Yandex Cloud
В общем, в очередной раз убеждаюсь, что аудитории Хабра можно залить любую чушь, если она соответствует местным трендам на нелюбовь к Max/блокировкам, и она получит гору плюсов.
в репо фулл ии булщит, я тупо кинул туда все свои заметки из чистого txt и попросил сумарировать чтобы глазки не выпали, вопрос - где в статье я был не прав? при написании статьи ии я не юзал, сам реверс я проводил ручками, ну вообщем не вижу проблемы
А тысяча двести коммитов от имени "reverser <reverser@local>", которые разбирают исходники, как соотносятся с "сам всё сделал"?
це нейросетная переписка ТЕКСТА, я ревершу -> кидаю ии доку -> она все обновляет, в ручную невероятно сложно держать в голове все находки и дополнять старое новым
ну тоесть типо я пишу голый текст -> ии обновляет файлы или пишет новые -> и так по кругу, чтобы я ничего не ЗАБЫЛ случайно просто забыв дописать или обновить, потом я все это сверяю и ну вот
попробуйте, очень помогает когда ты держишь код в памяти и места на доки и всякое такое не хватает, раньше тупо говорили человеку мол "запиши" или неделями пытались связать изменения доки которая пишется ленейно, щас можно тупо попросить ии онбовить файл, главное только ручками проверить не нагалюнил лион
плагин rz-ai и jadex-ai, прикольные
find . -name '*.md' | sed 's/.*/"&"/' | xargs wc -l...39678 total
Какого объёма были ваши руками написанные заметки, что их суммаризация вышла в 40 тысяч строк? Почему-то мне кажется, что "я ревершу" значит в лучшем случае "спросил ИИ, что запустить, чтобы декомпилировать APK'шник", а дальнейшая обработка исходников вся проводилась мистером reverser <reverser@local>.
я же прямо написал, я ревешку - пишу в мелкие заметки в виде текста в /tmp/ - ии пишет в доку, ты текст прочитал?
а так я примерно месяц на это потратил, я это делал еще до поста в тгк с анонсом
То есть вы своими руками перечитали все исходники, всё увиденное записали в /tmp/ (контекст для пользователей ОС Windows: файлы в /tmp/ пропадают после перезагрузки) (чтоб потом потребовать доказательства нельзя было, да?), а потом ИИ на протяжении 1400 коммитов растянул ваши заметки до 40 тысяч строк, при этом оставив ссылки на исходники Макса и не оставив ссылок и упоминаний, собственно, ваших заметок, а потом вы на основе этих 40 тысяч строк написали своими руками статью, в которой почти нет вашего настоящего стиля, зато есть все клише написания нейросетью?
да смысле нету настоящего стиля? ты почитай статью про телегу, стиль идентичен
То есть вы своими руками перечитали все исходники, всё увиденное записали в /tmp/ (контекст для пользователей ОС Windows: файлы в /tmp/ пропадают после перезагрузки) (чтоб потом потребовать доказательства нельзя было, да?), а потом ИИ на протяжении 1400 коммитов растянул ваши заметки до 40 тысяч строк, при этом оставив ссылки на исходники Макса и не оставив ссылок и упоминаний, собственно, ваших заметок, а потом вы на основе этих 40 тысяч строк написали своими руками статью
да, в чем проблема? или спор перешел в тему "ваш подход к ресерчам не такой как у всех" ? если да то я согласен, нестандартно
ты почитай статью про телегу, стиль идентичен
Вот вообще не идентичен. Там в наличии и десятки скриншотов, в том числе экспертной переписки (цитата: -- кроч / телега; -- я про него с создания его знаю / говно / ебаное) (а в этой статье скрин только один), в наличии смищьные шутки ("Сегодня они подпишут вас на свой канал, завтра - на zarazaex.xyz, а послезавтра - на казино, И ответственность их (пункт 7.8) ограничена 500 рублями. ") и прочее. Достаточно быть не слепым, чтобы увидеть разницу.
Оффтоп: уровень аналитики в той статье не блещет: "В приложение вшит сертификат Russian Trusted Root CA. <...> Ваш трафик может быть расшифрован на лету владельцем приватного ключа этого сертификата." -- это только первое, что я нашёл.
да, в чем проблема?
Вы только что согласились с тем, что сначала написали заметки, потом растянули с помощью ИИ [зачем?] их до 40 тысяч строк, а потом эти тысячи вручную прочитали, и написали на их основе статью. А главный аргумент (эти самые заметки) в пользу того, что вы делали всё сами, вы держали на рамдиске, который очистился. Я это к тому, что всё указывает на то, что весь анализ по существу, как и написание статьи, проводилось ИИ.
Вот вообще не идентичен. Там в наличии и десятки скриншотов, в том числе экспертной переписки (цитата: -- кроч / телега; -- я про него с создания его знаю / говно / ебаное) (а в этой статье скрин только один), в наличии смищьные шутки ("Сегодня они подпишут вас на свой канал, завтра - на zarazaex.xyz, а послезавтра - на казино, И ответственность их (пункт 7.8) ограничена 500 рублями. ") и прочее. Достаточно быть не слепым, чтобы увидеть разницу.
Оффтоп: уровень аналитики в той статье не блещет: "В приложение вшит сертификат Russian Trusted Root CA. <...> Ваш трафик может быть расшифрован на лету владельцем приватного ключа этого сертификата." -- это только первое, что я нашёл.
стили там все еще одинаковые, я почитал коменты и понял что людям не нравятся шутки, удалил
с скринами вообще тупой аргумент, даже отвечать не буду
Вы только что согласились с тем, что сначала написали заметки, потом растянули с помощью ИИ [зачем?] их до 40 тысяч строк, а потом эти тысячи вручную прочитали, и написали на их основе статью. А главный аргумент (эти самые заметки) в пользу того, что вы делали всё сами, вы держали на рамдиске, который очистился. Я это к тому, что всё указывает на то, что весь анализ по существу, как и написание статьи, проводилось ИИ.
Да, я написал заметки в которых был брейн шторм и огромные вырезки кода, потом для себя ( ДЛЯ СЕБЯ ) собрал все это в удобные и сжатые текстовые файлы через ии, и на основе этого написал статью
в чем проблема? ии использоватся только для того чтобы превратить брейншторм и наборы огромных дампов и не связаного бреда в нормальные текстовые файлы которые удобно читать, за 30 дней очень легко забыть все
ты вообще RE? по моему нет если задаешь такие тупые вопросы
с скринами вообще тупой аргумент, даже отвечать не буду
Удобно.
В одной статье с анализом приложения и пытались общаться с разработчиками, и скрины делали, а в другой статье с анализом приложения ни того, ни того.
Да, я написал заметки в которых был брейн шторм и огромные вырезки кода, потом для себя ( ДЛЯ СЕБЯ ) собрал все это в удобные и сжатые текстовые файлы через ии, и на основе этого написал статью
в чем проблема? ии использоватся только для того чтобы превратить брейншторм и наборы огромных дампов и не связаного бреда в нормальные текстовые файлы которые удобно читать, за 30 дней очень легко забыть все
Вы целый месяц работали в /tmp/ ?!
удобные и сжатые
wc -m говорит, что во всех markdown-файлах примерно 1,6 млн символов. Для сравнения, в "Войне и мире" 2,5-3 млн букв. Сколько тысяч страниц вы якобы руками набрейнштормили в /tmp/, что их сжатая версия столько заняла???
Удобно.
В одной статье с анализом приложения и пытались общаться с разработчиками, и скрины делали, а в другой статье с анализом приложения ни того, ни того.
вау! разрабы макса же точно мне ответят
чувак, как влияют скрины кода на то что статья написана не ии? да никак
Вы целый месяц работали в /tmp/ ?!
wc -m говорит, что во всех markdown-файлах примерно 1,6 млн символов. Для сравнения, в "Войне и мире" 2,5-3 млн букв. Сколько тысяч страниц вы якобы руками набрейнштормили в /tmp/, что их сжатая версия столько заняла???
я написал 10 слов а ии сделал из них 100 слов, ты высасываешь из пальца, сжатая в смысле без бесконечных превью кода и так далее бреда, ну думаю понятно
чувак, как влияют скрины кода на то что статья написана не ии? да никак
Ну вот такая корреляция, когда пишешь статью сам, делать скриншоты по пути легко и приятно, а когда пишет ИИ, скриншоты нужно делать отдельно, так что их редко делают.
> Вы целый месяц работали в /tmp/ ?!
Я к тому, что ни один адекватный человек не будет делать такую работу объёмную на рамдиске. Либо вы врёте, что делали всю эту работу, либо, ну, у вас настолько странные подходы, что они вызывают обоснованные подозрения. Всё делали в гите и коммитили, а самую ценную работу выбрали делать на рамдиске [зачем?] и следов от неё не осталось.
что ты выдумываешь? я написал 10 слов а ии сделал из них 100 слов, ты высасываешь из пальца
Ваши цитаты:
я тупо кинул туда все свои заметки из чистого txt и попросил сумарировать
был брейн шторм и огромные вырезки кода, потом для себя ( ДЛЯ СЕБЯ ) собрал все это в удобные и сжатые текстовые файлы через ии
Так ИИ сжимал ваши объёмные заметки или растягивал? В первом случае получается, что за месяц вы написали в /tmp/ несколько "Войн и миров" (даже с учётом копипасты кода, текста получилось бы на несколько "средних" романов уж точно), во втором -- во-первых, вы врали в том, что ИИ вам сжимал и суммаризировал, во-вторых, каким-то образом растянутый в десятки раз результат вышел "более удобным", чем нерастянутый.
Ну вот такая корреляция, когда пишешь статью сам, делать скриншоты по пути легко и приятно, а когда пишет ИИ, скриншоты нужно делать отдельно, так что их редко делают.
неа, как раз не так, через ии это можно удобно автоматиизировать, а когда пишешь руками это ад
сразу видно что лонг риды вы не писали, как и RE статьи
Я к тому, что ни один адекватный человек не будет делать такую работу объёмную на рамдиске. Либо вы врёте, что делали всю эту работу, либо, ну, у вас настолько странные подходы, что они вызывают обоснованные подозрения. Всё делали в гите и коммитили, а самую ценную работу выбрали делать на рамдиске [зачем?] и следов от неё не осталось.
как раз благодоря ии я так и делаю, пишу в /tmp, даю иишке оттуда текст, он пишет на ссд нормально отформатированый текст, смысла оставлять на диске сырой уродливый и не красивый TXT я не вижу
Так ИИ сжимал ваши объёмные заметки или растягивал? В первом случае получается, что за месяц вы написали в /tmp/ несколько "Войн и миров" (даже с учётом копипасты кода, текста получилось бы на несколько "средних" романов уж точно), во втором -- во-первых, вы врали в том, что ИИ вам сжимал и суммаризировал, во-вторых, каким-то образом растянутый в десятки раз результат вышел "более удобным", чем нерастянутый.
почитайте что такое markdown-obsidian и структура текста
> Ну вот такая корреляция, когда пишешь статью сам, делать скриншоты по пути легко и приятно, а когда пишет ИИ, скриншоты нужно делать отдельно, так что их редко делают.
как раз на оборот
?? Обоснуйте.
как раз благодоря ии я так и делаю
Как ИИ спасёт от пропажи долгого труда из /tmp/ ?
почитайте что такое markdown-obsidian и структура текста
А конкретнее? Поиск по "markdown-obsidian" даёт только ссылки на диалект Markdown, используемый в Obsidian (ожидаемо).
Markdown-obsidian раскроет тайну, почему в одном комментарии вы писали, что ИИ вам сжимает ваш текст, а в другом -- "я написал 10 слов а ии сделал из них 100 слов"?
Изменено: аудитория, будьте осторожны: ОП редактирует свои комментарии даже в самом начале ветки. Хотя пока что признаков подлога я не нашёл.
И в сколько раз markdown будет больше?~ В 1,01 раз?~
контекст для пользователей ОС Windows: файлы в /tmp/ пропадают после перезагрузки
Эээ... Это где они пропадают? Пока ни в одном дистрибутиве такого не встречал.
Это в свежих линуксах встречается. Дебиан в частности.
Когда-то давно в UNIXе пропадали, отдельный джоб был с “clearing /tmp”, но я тогда пешком под стол ходил в плане сисадминства, только саму строчку видел. Могли в каких-то дистрах начать монтировать tmpfs в /tmp, во всяком случае функционал есть.
В самой обычной Убунте монтируется как tmpfs.
фрибсд....
Меня больше интересует другой момент. Допустим, у меня самого СКАМ вообще не установлен и я им не пользуюсь. Но мой номер есть в контактах у людей, которые им пользуются и дали приложению доступ к адресной книге.
Правильно ли я понимаю, что в таком случае социальный граф всё равно будет строиться автоматически — через их телефонные книги, хеши номеров и синхронизацию контактов?
То есть по сути разницы почти нет: пользуюсь я лично MAX или нет, если у моих контактов он установлен. Связи, окружение и пересечения всё равно можно восстановить без моего участия и без установки приложения на мой телефон. Это корректный вывод или я что-то упускаю?
Иными словами: если у какого-нибудь «плохого парня» случайно оказался мой номер в адресной книге, то потом условный товарищ майор при необходимости сможет задавать вопросы уже мне — просто потому, что мой номер оказался в чужом социальном графе? Это корректное понимание того, как подобные системы работают, или здесь есть нюансы?
у какого-нибудь «плохого парня» случайно оказался мой номер в адресной книге
Тут никаких мессенжеров вообще не нужно. Достаточно у мобильного оператора получить детализацию звонков того парня, и если он Вам звонил, спросить уже у Вас.
А если это вообще мошенник, у которого каким-то образом оказался мой номер, и он мне N раз позвонил? Тогда получается, что я уже автоматически попадаю в чей-то «социальный граф» просто по факту наличия контакта или звонка.
А товарищ майор потом скажет: «Ну тебе же звонили?». Вот если бы у тебя ещё и MAX стоял — мы бы хотя бы голосовые послушали и к тебе бы вопросов не было. А так ты теперь ничего доказать не можешь :) (шутка)
Так и есть. Вы вызывали сантехника, он записал ваш номер. Потом сантехник связался с плохой компанией, пошел закладки разносить или шкафы поджигать - и как-то промазал мимо контакта и набрал вас. А на следующее утро его повязали.
Если не повезет - к вам тоже будут вопросы.
Но вероятность этого очень невысока, по счастью. Товарищ майор посмотрит на вектор вашего социального рейтинга и поймет, что вы тут не замешаны. Упс, я немного вперед забежал. :)
Рекомендация - не давайте свой телефон на "позвонить" левым людям!
На это давно есть слитые базы данных GetContact :)
Уже давно есть несколько разных приложений косвенно собирало информацию о других людях
Тебя к делам привлекать не будут (наверное) просто за нахождение в адресной книге какого-то человека, но лучше не делись своим личным номером телефона с чужими, сделай вторую симку для работы и неизвестных сайтов/людей
Таки да. Добро пожаловать в дивный мир множественных личностей, устройств, точек выхода траффика и прочего шифропанка для разрыва графа социальных связей. Если это конечно вам действительно нужно.
Ваш граф связей уже давно построен. Нашли над чем париться.
Для построения графа никакой МАКс не нужен.
О. появились конкретные мысли.
Чат с пользователями по номеру телефона, без доступа к книге. В итоге в чате вся активная часть книги.
Если вы не пользуетесь мессенджером с определенного телефона, это не значит что с другим номером телефона вас не возможно "объединить". Это про др. телефон для макса.
Ваши контакты слитые в "доверенные" мессенджеры. Это ва, тг, и пр. , а не условный макс.
Можно легко "обменять", получить . Вам их практически даром отдадут.
// не оправдываю макс. но нужно взвешенно относится к всему цифровому окружению.
Получается, что не только МАКС, но и ВК и вся их экосистема. Верно?
Ребята пишущие "А вы разбирали Telegram, Whatsapp, Facebook, Instagram?". Вы серьезно?
Глубоко наплевать, что там шлется в ЦРУ, Моссад и МИ-6. Мне не нравится, что мой дикпик будет разглядывать товарищ майор :)
А вы уверены что "ЦРУ, Моссад и МИ-6 " не обработает полученные данные? Как вариант могут выявить не очень соображающих индивидов, предложить заработать путем противоправных действий.
Сидит такой майор ЦРУ Джон Смит, смотрит выхлоп с бекдора в вацапе. Глядь, а Иван Иванов установил Макс! “Похоже, этот индивид не очень соображает!” - смекнул Смит, - “Предложу-ка я ему родину продать за корзину печенья!”
Человек строчит друзьям свои крамольные мысли, попадает в некую выгрузку для обзвона в калл центр где-то в Днепре. Специалист их службы безопасности обрабатывает лопушка, при этом обладает приватной информацией, в т.ч. дикпиками. Успех такой атаки ГОРАЗДО выше.
ну, если серьезно на проблему разведки и диверсионной деятельности смотреть, то где-то оно так и есть.
Давайте по пунктам.
В разведке к началу 20 века сформиовалось 2 подхода:
- массовый шпионаж, который предполагал низкое качество агентуры, но зато огромное ее количество. Имеет смысл в ходе подготовки или процессе военных действий или же за неимением ничего лучшего. Тактика массового шпионажа применялась всеми странами во 2 мировой войне и подготовки к ней - СССР использовал низкокачественные, но массовые кадры Коминтерна, Япония - например, советских корейцев и китайцев, которые перли в СССР с той стороны границы или через КВЖД, Германия массово вербовала военнопленных, Англия работала с французским подпольем и т.д.
- ставка на высокопрофессиональных или высокостатусных агентов, в том числе и агентов влияния. Хорошо работает в условиях, когда массовый шпионаж не нужен, а нужна точечная информация по ключевым проблемам - в основном, эпоха "холодной войны" была тонкой игрой профессионалов.
В разное время разные разведки делал упор на тот или другой подход, но к настоящему времени практикуют и то, и другое. В том числе американцы.РФ фактически находится в ситуации войны, а потом массовый шпионаж, а особенно сопряженный с диверсиями снова востребован.
В РФ 2022-2026 гг. массовые вербовки осуществляют не собственно американцы, а их прокси - Украина, Прибалтика, Молдавия, Евросоюз в какой-то мере в это вкладывается и т.д., там и бюджеты существенно бедней, соответственно, и таргет группа похуже качеством. И задачи достаточно простые - фотографировать объекты, подвязывать координаты. Соответственно, и подходы к вербовке там примитивные, и мотивация таргет-группы простая, и качество вербовщиков тоже не Лэнгли.
В предыдущем пункте есть еще нюанс - такой деятельностью, как вербовка под простые р-д задачи, занимаются кроме госструктур, еще куча разного рода самопальных инициативников - как запрещенный в РФ РДК (террористическая организация). Соответственно, самопальные джеймс-бонды по ту сторону Телеграмма еще менее профессиональны, чем разводилы из СВР Украины.
В силу вышеизложенного определенный смысл отслеживать активность в соцсетях и мессенджерах для внешних разведок есть (учитывая, что янкесы с Украиной делятся информацией) - даже не просто самим вербануть, а просто передать скриннинг русского сегмента ватсаппа/инсты/фейсбука хохлам, те привлекут инициативников из разряда своих диванных бойцов во славу Украины, которые лишь бы на фронт не идти, перелопатят тонну инфы, найдут чувствительные точки для подходящих людей, раскидают российским закредитованным дурачкам и подросткам предложения подработать, сфоткав повреждения НПЗ, например, ну, в итоге эффект не нулевой.
Сидит такой майор ЦРУ Джон Смит, смотрит выхлоп с бекдора в вацапе. Глядь, а Иван Иванов установил Макс! “Похоже, этот индивид не очень соображает!” - смекнул Смит, - “Предложу-ка я ему родину продать за корзину печенья!”
Именно так. Ну, поставьте себя на место майора ЦРУ Джона Смита, и сразу поймёте, что «как хорошо жить при современном уровне технического прогресса».
Сериал "Черное зеркало", 3 сезон 3 серия как раз про это. Там, правда, не майор был.
а если не наплевать что шлется в цру и моссад ? как это у вас работает ? что за безумие, выборочная приватность ?
О чём статья? - Автор пытается эпично раскрыть секрет Полишинеля.
Если провести аудит аналогичных мессенджеров, найдём ли мы там всё или почти всё тоже самое? - Да.
Так в чём проблема? - В том, что аналогичные мессенджеры, от иностранных разработчиков, сливают информацию другим государствам, не тому, в котором живёт задающий вопрос человек. "А что вы мне сделаете, я в другом городе. :) "
Что-то изменилось после этой статьи? - Нет. ВК собирает данные, анализируют личку и всё, до чего можно дотянуться, уже много лет. Административные дела за лайки, репосты, картинки, музыку/видео, которые были добавлены на страницу задолго до появления закона и вступления его в силу, все помнят.
Но люди продолжают охать и ахать от того факта, что национальный мессенджер, разработанный и продвигаемый государством, поставляется с личным товарищем Майором.
Для чего статья? - Самореклама.
"Если провести аудит аналогичных мессенджеров, найдём ли мы там всё или почти всё тоже самое? - Да"
а ты найди, я почему то не нашел отправку LogCat на сервера телеграма... хмм..
Это всё называется телеметрией, которая есть сейчас практически в любом крупном проекте. Обычно это делается для анализа UX, но могут и что-то более нетривиальное запихнуть. Windows, начиная с 10 версии, тоннами шлëт информацию, если телеметрия включена. Для того, чтобы ппочитать ваши переписки, не надо городить какие-то шпионские механизмы, достаточно на сервере просто посмотреть ваши данные, ваш профиль и т.д. Это относится к любому клиент-серверному приложению, включая Макс, Телеграм и Ватсап. Мету, кстати, свои же власти очень часто за руку ловили за слив данных "куда надо" и ниче, пользуются же их сервисами до сих пор. То, что вы расковыряли клиент и продемонстрировали нам какой-то набор методов, не говорит о том, в какой момент они вызываются и вызываются ли вообще. Установка APK в обход ОС - это бред. Даже RuStore приходится использовать встроенный пакетный менеджер и вызывает боль при установке обновлений. Т.е. многое, что написано в статье, выглядит вырвиглазно и к реальности не имеет особого отношения,- просто мнение автора, которому не нравится Max.
во первых если все будут убивать ты тоже будешь?
во вторых я чтото не помю чтобы телеграм и ватсап сливали весь логкат и список приложений себе на сервера
во вторых : я серьезно живу во времени где люди не знают как работает андроид? подсказка : /system/priv-app
Причем тут убийства и приложения? Всё в кучу... То, что вы написали имя каталога, от этого легче не стало и приложение от этого не стало устанавливать apk в обход ОС.
ты связать 2 слова не можешь ? макс качается как сис приложение на новокупленых андроедах, теперь почитай MAN
У меня со словами всë в порядке, это вы занимаетесь подменой понятий и не к месту раскидываетесь ненужными и только вам понятными терминами. У меня нет системного приложения Макс, я его скачал через Google Play. И не понятно какой MAN я должен прочитать в телефоне? Вы в какой ОС свои "расследования" проводили?
макс преинсталлед на новых устройств в рф, у него есть возможность само обновлятся без плашки + у макса есть буквально лайв патч, почему тебе так сложно загуглить?
Не могу согласиться, т.к. никогда не видел телефоны с предустановленным Максом. Буквально на днях ходил в DNS, мелкому покупал телефон, ничего не было там предустановдено, качал с плей маркета. Но и отрицать не буду, что такие есть. Приложения с ссамообновлением существуют. Взять те же игры, которые контент докачивают, но это не значит, что они могут ставить что-то еще в обход ОС. Такие права есть только у гугловых приложений.
Интересно. А могут ли сделать этот самый предустановленный МАКС неудаляемым со смартфона?
Есть же неудаляемое bloatware которое идет прямо в прошивке вендора.
Т.е. вендор официально завозит партию в которой в прошивке есть неудаляемое. IMEI при регистрации устройства для продажи вносятся в госбазу. Другие устройства надо вносить в базу самостоятельно с помощью самостоятельно установленного приложения. Еще и налог заплатить.
Могут. Если производитель сделал кастомную прошивку для РФ с учетом "просьб" РКН.
Но можно полностью нейтрализовать приложение, сделав его фактически бездействующим.
Можно disable соответсвующее приложение через adb. Как минимум один раз я сталкивался с приложением, которое было нельзя отключить через adb, но это было для Андроид 6 с дикой и глючной операторской прошивкой (LG G4, T-Mobile USA). Это было приложение оператора, которое шпионило за всем, что было на телефоне - адресной книгой, геолокацией и т.д. Собственно, я столкнулся с этим, т.к. доступ к геолокации жрал батарейку как кадавр из "Понедельник начинается в субботу".
Пользователи (клиенты Т-Мобайла) стали возмущаться и в новых версиях этого приложения (для других телефонов) Т-Мобайл не стал делать приложение неотключаемым.
Тем не менее, я других случаев неотключаемости не знаю. Возможно, Гугл принял какие-то новые правила или внес изменения в Андроид.
Че-то почитал, в статье сплошной популизм.
Согласен с вами, желтуха! опять эти навальнисты
Где вы были 8 лет?
Читал, но никогда не комментил. Просто это уже 100500 статья про Макс, который уносит всё с телефона куда-то. Совсем скоро появится целая группа людей, которые будут по четвергам собираться в какой-нибудь квартире и рассказывать друг другу истории про то, как в очередной раз нашли в Максе бэкдор, который отправляет данные трщ майору.
Расходимся, друзья. Уже были более подробные и качественные обзоры реверса Мах'а. При желании декомпилируется через Apktool M прямо на телефоне, для более детальных исследований - jadx и тп на компе с Android studio и доп. софтом.
Интересный Хабраэффект вышел)
Тоже сначала подумал, что статья хорошая, по инерции плюсанув. После комментов аффтаря и справедливых замечаний хабравчан в его адрес стало понятно, что школота (он) решила поднять хайп на теме Макса, собственно говоря, что и так всем было известно.
"Аффтар, пейши исчо".
Тоже посмотрел issues в Гитхабе этого чела, лютая дичь...
Это все хорошо, но про макс уже было несколько статей подобного содержания и в целом картина ясна, было бы интересно увидеть реверс других популярных приложений: telegram, whatsapp, tiktok, instagram, etc
Дорогие американские друзья, распушите свои локаторы, прослушайте бесплатное приложение к нашему телеграфу, красную облупленную культяпку вам всем на воротник))
Я чет не понял как оно получает доступ ко списку всех приложений. Разве в андроиде оно явно не запрещено?
Я кстати замечал, что ВК любит "опровергать" подобные разборы (опровергать без доказательств, конечно же, честным словом). Жду не дождусь статьи с официальным "опровержением"
"Распространяемая информация является фейком: МАХ не следит за пользователями, не собирает их персональные данные и не имеет технической возможности прослушивания звонков. Управление NFC-чипом необходимо для корректной работы Цифрового ID, информация об IP-адресах используется исключительно для обеспечения корректной работы звонков, передача Mobile ID нужна для доставки кодов подтверждения и уведомлений.
Все данные пользователей надежно защищены".
ну ок, Макс творит дичь.
но у меня больше вопросов возникло к ОС (андроид, айос не интересует) - какого хрена ось позволяет творить всю эту дичь?
Ну конкретно андроид создан гуглом с той же целью, что и все продукты гугла - собрать ваши данные и продать рекламщикам. Безопасность там на втором месте. Не хочется показаться очередным мейлрушным ватабоутистом, но правда в том ,что андроид создан, чтобы шпионить, просто не так грубо, и не на майора, а на тех, кто деньги платит.
Уже давно не позволяет, автор лет на 5 отстал.
точно?
если Макс использует дыры, которых уже нет лет 5, то кто-то то здесь пиз.. привирает?
С каждой новой версией Андроид сторонним приложениям отводится всё меньше и меньше привилегий. Сейчас, практически, нет приложений, которые могут работать в фоне. Андроид их просто выгружает из памяти через какое-то время. Многие разработчики пытаются по всякому запретить это сделать ОС, но даже это не помогает. С разрешением QUERY_ALL_PACKAGES сейчас очень строго, гуглу нужно целую петицию написать чтобы тебя с этим разрешением пропустили в плей маркет.
Позволяет для зарание прописанных в манифесте пакетов узнать статус. функции все приложения нету
Разве политики аппстора и плеймаркета допускают подобные приложения?
Статья конечно интересная но ничего принципиально нового. Возникает пара вопросов:
Как шпионские ендпоинты идентифицируют и аутентифицируют пользовательей?
Планируется ли доработка антитампера напильником?
В продолжении критики мысли мысли выше что "опасен только собственный доморощенный майор на остальных плевать, пусть читают"
Сидит себе майор ГУР Тарас Паляница, и ему нужна простая низкосортная агентура(фотки объетов сделать например), смотрит какой нибудь Далекограм через штатные бэкдоры и видит: срочник Петя Сидоров перекредитован, да еще мобилу на военном объекте для перереписки со Светой Ивановой регулярно использует.
Пишет Тарас Петру вижу ты класный и романтичный парень, а я тебе помогу с деньгами и никому не раскажу что ты мобилой на посту пользуешься(я ведь понимаю что злые особисты на тебя статью УК повесят)... Нам лучше дружить и друг другу помогать в это сложное время!
А откуда уверенность, что из макса утекает не в ГУР ?
А откуда уверенность, что из макса утекает не в ГУР?
А откуда уверенность, что из Android или IOS не утекает вообще никуда?
А откуда вы взяли, что такая уверенность вообще есть?
У вас беда с расстановкой приоритетов.
С одной стороны есть андроид из которого может утекает, а может и не утекает, а если утекает то скорее всего ничего важного.
С другой стороны есть сервисы пробива по базам силовых ведомств (и вообще кого угодно) и там точно утекает любому кто заплатит сущие копейки.
чтобы быть уверенным, что ничто никуда не утекает, это надо быть единственным разработчиком системы хотя бы от железа до софта (на котором пишется система) :)))
но мы же не настолько параноики, правда? правда же? :)))
При каждом выходе приложения из фона он стучится на 6 внешних IP-чекеров (yandex, ifconfig.me, ipify, AWS и т.д.), чтобы узнать ваш реальный публичный IP-адрес, даже если вы сидите через сплит-туннель VPN.
Огласите весь список пожалуйста! Друг просто интересуется
Не увидел в разборе главного - почему они используют стилизованный стульчак как иконку?
А можно тоже самое только про WA? На котором сидело больше половины довольных россиян.
А если Макс увидит, что на телефоне рут, Он что нибудь дополнительное начнет делать?)
Очень хотелось бы столь же пристальный разбор про телеграмм и watsap с instagram. У них какие другие права доступа? Если поговорить рядом с телефоном о чем то, то 100% тебе начнут это в рекламе показывать. Причем гугл обьясняет что мы это неперсонофицированные данные отдаем... странно конечно почему именно у меня тогда реклама лезет...
Возможно ли, что пока все внимание общественности сконцентировано на Максе, другие популярные национальные мобильные приложения (банки, карты, погода, маркетплейсы) делают все тоже самое?
Нормальный такой набор для госсервиса. Было бы странно ожидать от предустановленного приложения заботы о приватности
Ха ха. Сколько проплаченных ВК и властью ботов налетело
Я так на всякий случай напомню про другую статью с этого же ресурса:
https://habr.com/en/companies/cloud4y/articles/842826/
А то мало ли кто эту прочитал, а ту -- пропустил.
Очень жаль, что автор статьи делая такой разбор не выдал простой справки по разрешениям. Но я как пользователь Макса скажу, что в настройках телефона у меня у Макса одно разрешение -- микрофон. Потому что я по нему реально звоню. Ну и доступ к телефонной книге я добровольно давал при установке для синхронизации контактов.
Ну и по пунктам:
1. Список приложений -- бывает нужен для отладки. Если у ряда пользователей не работает клиент и при этом у всех них стоит приложение Х, значит это Х плохое приложение.
2. Детекция ВПН по последним законам везде есть. Но вот только условный Озон у меня вообще с ВПН не запускается, а Макс вот работает, не знаю, что он там детектирует, но жить не мешает. А на тему отправки, вот ровно каждое приложение может это делать.
3. Тотальный трекинг адресной книги это безусловно полезная функция, которую умеют ровно все мессенджеры. От WeChat до Telegram. Именно поэтому и можно написать человеку из контактов телефона в мессенджер.
4. Обход Google Play безусловно полезная в условиях санкций функция. Западные компании уже ни раз нам что-то да ограничивали, использование нейросетей например. Или скачку дистрибутивов вроде Citrix Xen. Завтра может перестать работать обновление, а функция самостоятельного обновления мимо этого проприетарного механизма уже есть. Восхитительно.
5. Чтобы "имитировать банковскую карту", надо в начале где-то получить банковскую карту. То есть, украсть деньги с банковской карты пользователя таким образом нельзя. А вот миниапп от банка таким образом может позволить произвести платеж через банковскую карту, выпущенную для Макс. Но вообще через NFC сейчас даже визитки передают. Поэтому конечно очень удобно, что в Максе тоже есть такая возможность. Очередной плюс, спасибо что вы мне его раскрыли.
6. Я что-то не очень понял формат записи:fake-chats — isFakeChatsEnabled
В собранном приложении не сохраняются комментарии. Флаг слева или справа? А вторая часть откуда взялась? В целом, выглядит так, как будто половину получили при разборе приложения, а вторую додумала нейросеть. К сожалению, какая половина настоящая мне не ясно, поэтому комментировать не возьмусь. Буду рад узнать больше о методологии разбора.
7. Если я перепутал и секретарше Маше отправил воздушный поцелуй, а жене Маше -- годовой отчёт, я хочу удалить это сообщение. И чтобы на телефоне оно тоже пропало. Тут-то и помогают пуши. Очень удобно, что функция удаления есть, спасибо разработчикам.
Далее
8. RCE, "После этого любое другое приложение (или сам сервер через дамп экрана) может делать скриншоты ваших переписок"
Тут серьезно утверждается, что Макс может узнать, что он показывает пользователю? Ну, ОК. Он и так знает что мне показывает. Эта информация на мой взгляд может использоваться только для целей отладки.
9. Мессенджер отсылает мой номер телефона через оператора на сервер. Окей, но я отсылаю номер телефона на сервер при регистрации. А сотовый оператор его и подавно знает. Да, это очередной механизм авторизации, без звонков и СМС, звучит удобно.
10. Я точно не уверен, но разве звонки в современном мире работают не Peer-to-Peer? А как соединяться P2P не зная внешнего адреса друг друга? То есть, сбор внешних адресов это видимо фишка для улучшения связи. Звонки через Макс действительно работают хорошо, так что спасибо разработчикам за то, что они до такого додумались.
А на тему креш-логов для разработчиков, таки это специальные креш-логи для разработчиков. Помогают разработчикам искать баги. Разработчики молодцы, если всеми силами пытаются сделать свой продукт лучше исправив баги. Круто, поаплодируем им!
11. Widevine UUID "человека можно будет отследить всегда", стоп, этот ID не в человеке вписан, а в телефоне. Если я потерял или продал телефон кого он там будет отслеживать? Если это задел под дальнейший поиск потеряных/украденных телефонов, то спасибо большое разработчикам.
12. Выглядит как уязвимость. До публикации статьи имело смысл подать её в баг-баунти, денег можно было заработать, наверное. Я б попробовал, если бы нашёл сам. Теперь думаю разработчики сами её пофиксят.
13. Наверное, остальное всё такое же.
1. Список приложений -- бывает нужен для отладки. Если у ряда пользователей не работает клиент и при этом у всех них стоит приложение Х, значит это Х плохое приложение.
это нельзя отключить, да и в том же тг такого нет, в любом случае это просто страшно - гоусдарство знает какие у вас скачаны аппы, в америке во время сноудена был шок всех граждан, а у нас "ну пусть шлют, что мне скрывать"
2. Детекция ВПН по последним законам везде есть. Но вот только условный Озон у меня вообще с ВПН не запускается, а Макс вот работает, не знаю, что он там детектирует, но жить не мешает. А на тему отправки, вот ровно каждое приложение может это делать.
если все будут делать чтото плохое, то плохое хорошим не становится.
3. Тотальный трекинг адресной книги это безусловно полезная функция, которую умеют ровно все мессенджеры. От WeChat до Telegram. Именно поэтому и можно написать человеку из контактов телефона в мессенджер.
это нельзя отключить, как в тг вроде, но это не аргумент, тг те еще говнюки ( hate.tg )
4. Обход Google Play безусловно полезная в условиях санкций функция. Западные компании уже ни раз нам что-то да ограничивали, использование нейросетей например. Или скачку дистрибутивов вроде Citrix Xen. Завтра может перестать работать обновление, а функция самостоятельного обновления мимо этого проприетарного механизма уже есть. Восхитительно.
ну просто это многое говорит о планах на макс + d любой момент вам могут подменить версию приложения на ту которая содержит еще больше следящих модулей
5. Чтобы "имитировать банковскую карту", надо в начале где-то получить банковскую карту. То есть, украсть деньги с банковской карты пользователя таким образом нельзя. А вот миниапп от банка таким образом может позволить произвести платеж через банковскую карту, выпущенную для Макс. Но вообще через NFC сейчас даже визитки передают. Поэтому конечно очень удобно, что в Максе тоже есть такая возможность. Очередной плюс, спасибо что вы мне его раскрыли.
проблема что макс автоматически дает разрешение, у юзера нету кнопки "разрешить юзать NFC?" это как минимум халатно а как максимум опасно
8. RCE, "После этого любое другое приложение (или сам сервер через дамп экрана) может делать скриншоты ваших переписок"Тут серьезно утверждается, что Макс может узнать, что он показывает пользователю? Ну, ОК. Он и так знает что мне показывает. Эта информация на мой взгляд может использоваться только для целей отладки.
это про MiniApps, ты статью чем читал? любая мини апа может выбратся из тюрьмы, условная мини игра внутри мах может выполнить любой JS код вне тюрьмы
9. Мессенджер отсылает мой номер телефона через оператора на сервер. Окей, но я отсылаю номер телефона на сервер при регистрации. А сотовый оператор его и подавно знает. Да, это очередной механизм авторизации, без звонков и СМС, звучит удобно.
но это очень и очень не анонимно, и страшно, но ладно это инет, нам то скрывать нечего, подумаешь MITMы всякие, с кем не бывает
10. Я точно не уверен, но разве звонки в современном мире работают не Peer-to-Peer? А как соединяться P2P не зная внешнего адреса друг друга? То есть, сбор внешних адресов это видимо фишка для улучшения связи. Звонки через Макс действительно работают хорошо, так что спасибо разработчикам за то, что они до такого додумались.
SFU
А на тему креш-логов для разработчиков, таки это специальные креш-логи для разработчиков. Помогают разработчикам искать баги. Разработчики молодцы, если всеми силами пытаются сделать свой продукт лучше исправив баги. Круто, поаплодируем им!
только вот оно собирает все логи LogCat, буквально все, впнов, ютуба, инсты, думаю стоит подумать как потом это могут юзать
11. Widevine UUID "человека можно будет отследить всегда", стоп, этот ID не в человеке вписан, а в телефоне. Если я потерял или продал телефон кого он там будет отслеживать? Если это задел под дальнейший поиск потеряных/украденных телефонов, то спасибо большое разработчикам.
тут для так называемых анонимов, не всем приятно то что приложение всегда знает что ты уже запускал макс, просто не приятно, может и удобно но для меня это огромный минус ( полное абсолютное нарушение анонимности ) на уровне ME
12. Выглядит как уязвимость. До публикации статьи имело смысл подать её в баг-баунти, денег можно было заработать, наверное. Я б попробовал, если бы нашёл сам. Теперь думаю разработчики сами её пофиксят.
это она и есть, но баг баунти мне не заплатят
13. Наверное, остальное всё такое же.
нет, почему то вы самое интересное упустили и не ответили, почему же?
Спасибо за детальный разбор, конечно, но читаю и не понимаю — зачем городить столько костылей с рабочими профилями, точечным обрезанием разрешений и прочими танцами с бубном?
Я у себя эту проблему решил радикально и без лишних нервов: просто поставил эмулятор Android прямо на смартфон (использую Virtual Master). Поднял там чистый Android 11, накатил RuStore, поставил MAX и забыл.
Приложение живет в полностью изолированной виртуалке. Оно физически не может лезть в основную систему, сканировать сеть, собирать телеметрию или тайком слушать реальный микрофон, когда виртуалка свернута или выключена. Нужно зайти по работе — запустил ВМ, сделал дела, выключил. Никакой паранойи и сложных настроек в основной ОС. Работает идеально.
Спасибо за детальный разбор, конечно, но читаю и не понимаю — зачем городить столько костылей с рабочими профилями, точечным обрезанием разрешений и прочими танцами с бубном?
ой согласен я этих шизиков всегда не понимал, легче уже его не качать
Воо эту юзаете?
https://play.google.com/store/apps/details?id=com.clone.android.dual.space
Спасибо, не знал, пробовал другой Virtual Android, очень глючная была прога, с одним единственным заранее прописанным образом. А тут всё доступно...
Не "государство", а частная компания VK.
Тем не менее, если есть какая-то функция, которая есть примерно во всех российских популярных приложениях, странно делать на ней какой-то особый акцент.
Вообще-то нет, можно. При установке контакты недоступны, потом руками нажимаешь "разрешить" и дальше они выкачиваются из телефонной книги.
Это говорит только о предусмотрительности сервиса. У нас условный Сбербанк.онлайн не установить и не обновить через Google Play, у Макса на мой взгляд были все причины подозревать, что их могут заблокировать также.
Так её ни в одном приложении нет. Я тут пару месяцев назад мобилу менял, переливал данные со старой на новую. Со старой мобилы данные на комп закопировал через сетку, положил мобилу на коленки, на компе проверил, на новую стал копировать, тоже что-то натыкал, тоже положил на коленки. И тут "телефон ломается", ничего не копируется, на весь экран выскакивает какое-то дурацкое сообщение как раз про NFC. Экран закрывает, пользоваться невозможно. Закрываю это дурацкое окно, а оно опять выскакивает.
Короче, я вообще не понял, зачем это вообще реализовали, но два телефона соединились по NFC, который почему-то был включён со стороны, барабанная дробь, Яндекс.Метро!
Я вот могу понять зачем использование NFC в приложении, у которого банковские переводы в официальных функциях, но от яндекс.метро я такого вообще не ожидал.
8. У Макса, насколько я знаю, нельзя публиковать свои миниаппы кому попало. Там даже ботов регят только юр. лица. Я вообще пока видел одно приложение, как минимум у себя в телефоне: Цифровой ID. Личность подтверждать. Там управление скриншотами взято на уровень приложения чтобы если человек свой QR-код кому-то отправить хочет, у него не получилось. Борьба с мошенниками. Так что это не про снижение безопасности, а про повышение.
9. Так там из данных просто номер телефона и примерно всё. То, что какой-то номер существует, можно узнать проще -- позвонить. Телефон конкретного человека ты перехватом этих данных не найдёшь. То есть, нельзя получить доступ к персональным данным, только к обезличенным. А сам по себе номер телефона секретом не является как минимум потому, что подбирается. Я, видимо, несколько старше, во времена моего детства городские телефоны были массово распространены, а определителя номера там не было. Вот любимой забавой было звонить на случайные номера и молоть всякие глупости в духе:
-- Здравствуйте, это магазин сантехники "Потапыч", Вам ванная не нужна?
-- Нет, спасибо, нам ничего не нужно.
-- Отлично! Тогда называйте адрес, мы приедем и сейчас её заберём.
В век мобильников случайные номера подбираются не хуже. Не говоря уже о прошлых сливах.
10. Подумать можно. Например, можно использовать для исправления багов.
11. Есть люди, которым плевать, а есть те, кому нет. Те, кому плевать, поступают как я -- недоумевают и разводят руки. Те, кому не плевать, используют методы защиты. Кто отдельный телефон заводит, кто виртуалки ставит, кто переезжает жить в леса Сибири. Никого не осуждаю: каждый живёт как хочет. У меня один приятель вообще использовал кнопочный телефон лет до 35, потом по работе никак стало. Тоже выбор. Единственное, что хочу добавить, что телеметрия с вышек именно государству позволяет составить профиль человека, включая социальные связи, с очень высокой точностью и без дополнительных средств. А камеры "Безопасного города" прекрасно дополняют эту информацию. Потому на мой взгляд анонимности в нашем мире в принципе нет и не осуждая никого я продолжаю недоумевать зачем тратить свои ментальные силы на защиту того, чего уже давно не существует.
12. О, нет, это не так работает, правила программы тут:
https://bugbounty.standoff365.com/programs/max/?ysclid=mpc9efxd1m602765958
И насколько я читал в комментариях к подобному посту, принимаются только ранее не опубликованные репорты. Так что деньги за эту статью можно было попробовать получить, если не публиковать её тут, а сразу написать в программу.
Не “государство”, а частная компания VK.
С 2021 года VK находится под прямым контролем государства. Директором является сын замглавы администрации президента, а более 50% акций контролируется госкомпанией Газпром.
Передать что-то государству и передать компании, управляемой государством, это несколько разные вещи. К слову, VK на бирже торгуется. Есть гораздо более государственные компании типа Росатома или Алмаз-Антея, которые на бирже не торгуются. А есть вообще ГУП типа Метрополитена, в противовес ООО, которым является VK.
А страницу батальона "азов" они в каком годе удалили?
Так под контролем какого государства эта контора-то?
Но спрос с них как с ООО, а не государства
Не "государство", а частная компания VK.
С 2021 года VK находится под прямым контролем государства. Директором является сын замглавы администрации президента, а более 50% акций контролируется госкомпанией Газпром.
Тем не менее, если есть какая-то функция, которая есть примерно во всех российских популярных приложениях, странно делать на ней какой-то особый акцент.
тоесть о ней надо было промолчать? я и так расказал о ней максимально кратко, если все будут убивать это не значит что об убийствах надо молчать
Вообще-то нет, можно. При установке контакты недоступны, потом руками нажимаешь "разрешить" и дальше они выкачиваются из телефонной книги.
вообще не то, я не про функции андроид а функции самого MAX, если стилер запустить в OpenBSD и ограничить права на сеть - стилером он быть не перестанет
Это говорит только о предусмотрительности сервиса. У нас условный Сбербанк.онлайн не установить и не обновить через Google Play, у Макса на мой взгляд были все причины подозревать, что их могут заблокировать также.
приложение уже собирает все твои логи, у него уже подорвано доверие, так оно теперь еще можен само обновлятся и поставлять в себя же новые трояны
Так её ни в одном приложении нет. Я тут пару месяцев назад мобилу менял, переливал данные со старой на новую. Со старой мобилы данные на комп закопировал через сетку, положил мобилу на коленки, на компе проверил, на новую стал копировать, тоже что-то натыкал, тоже положил на коленки. И тут "телефон ломается", ничего не копируется, на весь экран выскакивает какое-то дурацкое сообщение как раз про NFC. Экран закрывает, пользоваться невозможно. Закрываю это дурацкое окно, а оно опять выскакивает. Короче, я вообще не понял, зачем это вообще реализовали, но два телефона соединились по NFC, который почему-то был включён со стороны, барабанная дробь, Яндекс.Метро! Я вот могу понять зачем использование NFC в приложении, у которого банковские переводы в официальных функциях, но от яндекс.метро я такого вообще не ожидал.
а. это тут причем
8. У Макса, насколько я знаю, нельзя публиковать свои миниаппы кому попало. Там даже ботов регят только юр. лица. Я вообще пока видел одно приложение, как минимум у себя в телефоне: Цифровой ID. Личность подтверждать. Там управление скриншотами взято на уровень приложения чтобы если человек свой QR-код кому-то отправить хочет, у него не получилось. Борьба с мошенниками. Так что это не про снижение безопасности, а про повышение.
кому попало нельзя. зато можно зарегать компанию или взломать / соц инженерия, это как сказать что "ну ладно, пусть в моем доме открыты двери, я же живу в районе где все доброжилатели и не пропускают нищету"
9. Так там из данных просто номер телефона и примерно всё. То, что какой-то номер существует, можно узнать проще -- позвонить. Телефон конкретного человека ты перехватом этих данных не найдёшь. То есть, нельзя получить доступ к персональным данным, только к обезличенным. А сам по себе номер телефона секретом не является как минимум потому, что подбирается. Я, видимо, несколько старше, во времена моего детства городские телефоны были массово распространены, а определителя номера там не было. Вот любимой забавой было звонить на случайные номера и молоть всякие глупости в духе:-- Здравствуйте, это магазин сантехники "Потапыч", Вам ванная не нужна?-- Нет, спасибо, нам ничего не нужно.-- Отлично! Тогда называйте адрес, мы приедем и сейчас её заберём.В век мобильников случайные номера подбираются не хуже. Не говоря уже о прошлых сливах.
погугли "глаз бога", через номер можно получить ВСЕ твои данные, от имени до паспорта, и даже там это УЖАСНОЕ упущение передаввать все это так наивноо
10. Подумать можно. Например, можно использовать для исправления багов.
оправдание. очень глупое. если бы они собирали баги они бы ограничились своей аппой.
11. Есть люди, которым плевать, а есть те, кому нет. Те, кому плевать, поступают как я -- недоумевают и разводят руки. Те, кому не плевать, используют методы защиты. Кто отдельный телефон заводит, кто виртуалки ставит, кто переезжает жить в леса Сибири. Никого не осуждаю: каждый живёт как хочет. У меня один приятель вообще использовал кнопочный телефон лет до 35, потом по работе никак стало. Тоже выбор. Единственное, что хочу добавить, что телеметрия с вышек именно государству позволяет составить профиль человека, включая социальные связи, с очень высокой точностью и без дополнительных средств. А камеры "Безопасного города" прекрасно дополняют эту информацию. Потому на мой взгляд анонимности в нашем мире в принципе нет и не осуждая никого я продолжаю недоумевать зачем тратить свои ментальные силы на защиту того, чего уже давно не существует.
цитировал меня, низшие и высшие слои общества
12. О, нет, это не так работает, правила программы тут:https://bugbounty.standoff365.com/programs/max/?ysclid=mpc9efxd1m602765958
как раз так, но мне эти копейки не сдались.
10. Я точно не уверен, но разве звонки в современном мире работают не Peer-to-Peer? А как соединяться P2P не зная внешнего адреса друг друга?
Для такого есть уже отработанные решения не требующие задействования левых «определялок». В общем это не тянет на оправдание, неправдоподобно
9. Мессенджер отсылает мой номер телефона через оператора на сервер. Окей, но я отсылаю номер телефона на сервер при регистрации. А сотовый оператор его и подавно знает. Да, это очередной механизм авторизации, без звонков и СМС, звучит удобно.
Не совсем так - указанным способом в некоторых случаях можно получить не ваш номер телефона, а чужой, например, номер раздающего интернет в режиме мобильной точки доступа к которому вы подключились по Wi-Fi.
Ого, бесплатный антивирус, сканер сети и запись звонков в одном флаконе)
И зачем люди платят за премиум-подписки, когда разработчики дают такой роскошный функционал из коробки
Автор, научи приложением забирать logcat всего устройства, я тоже так хочу....
(по факту после того как прочитал про logcat - сразу понял - автор делитант и в программирование под андроид ничего не мыслит. Куда ему до реверсинжиниренга)
понятно обьяснил? джун.
Это какой же вендор позволит пихать в системный раздел? А чего же тогда сразу рут права не дать приложению? Вы сами то понимаете что пишите?! И ещё в таком тоне отвечать?! Иди уроки учи, школьник
например DIGMA, у меня есть от них планшет, там такая же ситуация с яндексом, к сожалению макса там вообщем нету потому покупал я его еще до существоавния макса, но ладно) извинится не желаете?
UPD: с рустором точно так же, ток что проверил, LOL
Это какой же вендор позволит пихать в системный раздел?
самсунг например. там устанавливается системный сервис от той же конторы в списке обязаловки.
<...> Напомнило...
Данные удалены!
Подведение итогов в рамках обсуждения диалогов и комментариев, обобщение сказанного, выделение ключевых моментов или фиксация результатов взаимодействия.
Давно не видел такой отборной нейрошляпы, уже не удивляюсь что подобные плоды нейронки попадают в ленту и боты накидывают плюсов. К сожалению такие статьи от продвинутых в использовании LLM, но некомпетентных в разбираемой теме пользователей могут наоборот сыграть на руку распространению скама, вселяя остальным ложную убежденность что мессенджер очерняют только нейрошкольники
полностью согласен. Я редко комментирую статьи на хабре, но эта тригернула. Оно в этот раз так и получается, сначала некоторые блогеры сослались на статью и начали писать "смотрите чем ещё страшен МАКС", потом конечно же в комментах народ, кто соображает, написали что это в большинстве фуфло, аргументируя, конечно же. В итого теперь блогеры напишут что "это всё школьник писал с нейронкой". И получается, что всё меньше доверий статьям "разоблачение МАКС"
Анализ кода нейронкой это уже норма. Не надо путать это с нейрогенерацией. Нейронка нашла нестандартную для WebRTC функцию SubmitDumpRequest, которая в норме для мессенджера не требуется. Ее можно использовать для тайного сбора образцов голоса пользователей. Что вообще-то незаконно.
del кремлебота
Помимо уже написанных комментов, интересно, кому принадлежит зацензуренный скриншот чата в середине статьи. Вайбы интернета нулевых, когда каждый издевался над языком как мог
Нет еще пропатчиного макса, который не вредит пользователю, но в то же время забивает сервера макса (или чего там) всяким неактуальным и мешающим мусором в ответку?
Есть ли подобные приколюхи у приложения VK, VK messenger и почтовика от Mail?
Макс не единственный мессенджер, работающий на белых списках. Ещё работает Яндекс мессенджер, он же телемост
Все вышеописанное же для андроида? В ios, как понимаю, ничего из этого не опасно?
Скрытый SDK деанонимизации и запись звука — обфусцированный модуль
trace_flowсобирает реальные IP‑адреса в обход VPN, а функцияcollect-debug-dumpпозволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.
Эммм чёт появилось сильное желание попросить разобраться в законности сих мероприятий Господина Бастрыкина, СК и Прокуратуру, на лицо нарушение 23 и 24 Законов конституции РФ а также 138 УК РФ о неприкосновенности частной жизни, и и 272.1 УК РФ Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
«ВКонтакте» (VK) — не государственная, а частная компания !!!
Макс принадлежит ей. Законодательно только государство имеет право на СБОР и распространение частной информации коей являются звонки.
А на сладкое 273 УК РФ Создание, использование и распространение вредоносных компьютерных программ.
Законодательно только государство имеет право на СБОР и распространение
Это все же разные ситуации - просто наличие дыры в безопасности, из-за чего возможен сбор данных, и ее реальное использование. Надо правильно определить какой тут вариант. Если не доказан факт незаконного сбора данных, то значит дыра в безопасности.
Пугают, пугают...Это просто IT-терроризм какой-то...:-)
Наверное спрошу ерунду, но как минимум
пункты 3 и 4 не понятны.
Каким образом приложение может мониторить контакты, если, например, ему установлен прямой запрет на доступ к ним? Разумеется, кроме тех, кто в личку что-то написал уже в максе
Как приложение может ставить апк в обход системы? Если это так, то телефон на андроиде можно просто выкидывать, т.к. любая вирусня может ставить какие угодно апк.
Каким образом приложение может мониторить контакты, если, например, ему установлен прямой запрет на доступ к ним?
Никаким, оно не может
Как приложение может ставить апк в обход системы?
Не имея на то специального разрешения, это оно не может. Самостоятельно его получить тоже нельзя.
Но может вызвать окно штатной установки которое потребует подтверждения от пользователя
Каким образом приложение может мониторить контакты, если, например, ему установлен прямой запрет на доступ к ним? Разумеется, кроме тех, кто в личку что-то написал уже в максе
гои дают разрешение
Как приложение может ставить апк в обход системы? Если это так, то телефон на андроиде можно просто выкидывать, т.к. любая вирусня может ставить какие угодно апк.
Ну, гои сами виноваты тогда. Про предустановку - понятно. Но в статье речь шла про принудительные апдейты. Причем в обход гугл плея. По крайней мере я воспринял написанное именно так. Ну а раз, как минимум два пункта из списка спорные, то и остальной статье доверия уже существенно меньше
принудительные апдейты. Причем в обход гугл плея
ну да, так и есть, в чем проблема? ты не можешь 2 скрина связать!
Бред. Не может. Пока не покажите телефон где Макс стоит в priv-app, - это всё ваши домослы и бред сивой кобылы. Толку от ваших ии-шных скриншотов? На практике покажите, хотя даже не на Макс а в целом, установите на рутованном устройстве. Только у вас отмазки какие-то когда вас спросили про это. Денег там на пиксель нет и прочее... У вас же digi планшет есть, он отлично рутуется.
Нет , вы упёрлись в "у меня тут правда" цитируя чего то там из интернета.
Вывод - статья полный шлак, а автор школьник
извинения жду
https://qna.habr.com/q/1403500
https://otvet.mail.ru/question/267790503
школота разучилась гуглитЬ
вообщем в максе такая же ситуация как в русторе
Только у вас отмазки какие-то когда вас спросили про это. Денег там на пиксель нет и прочее... У вас же digi планшет есть, он отлично рутуется.
это вообще была другая ветка другого коммента, ты уже так напугался моей правоты что кортизол заставил выдумывать аргументы
Там опять теория. Возможно, если... Где факты? Я практики не вижу! За что извинений ждёте? Что искать умеете теоретические статьи?
Если да кабы... Где факты?! Пока это всё домослы. И козе понятно что если дать системные привилегия... А где телефон с Максом , у которого такие права?
хватит корчить дурочка, открой ссылки и почитай бро... это жалкое зрелище
https://перейдинамакс.рф/articles/max-uninstall
https://qna.habr.com/q/1403500
https://otvet.mail.ru/question/267790503
вообщем, лучшим выходом для тебя остается помолчать
от это технически невозможно до твои скрины сгенерированы нейросетью и а ты мне лично физический телефон покажи
И о чём ваши ссылки говорят? Это просто универсальная инструкция. Я так и не увидел реальных примеров устройств.
Прежде чем ссылки кидать - сначала с содержимым ознакомиться не плохо бы чтобы в просак не попасть.
Там же опять теория. А пруфов на факт нет. Как всегда у вас, впрочем.
у меня нету слов, ты будешь верить мне только если я принесу телефон тебе в руки ? спор окончен, я прав а ты не хочешь принимать обьекьтивный факт и даже не почитал мои ссылки
с чего вообще взяли что предустановленные приложения в рамках "исполнения требований законодательства стран" в system/priv-app, а не в system/app (разница большая!), кроме прочего, а что в privapp-permissions.xml для этих приложений?, даже если вдруг в priv-app они.
Вот хотя бы теорию изучили про system/priv-app , system/app, в чем разница и что такое privapp-permissions.xml
(А телефон приносить мне не надо мне ничего не стоит пойти купить телефон, который рутуется, и посмотреть, а потом вечером переработать несколько часов и отбить потраченные деньги). Только ответ и так понятен, - с какого перепуга вендоры дадут опасные разрешенения в privapp-permissions.xml каким-то русским приложениям.
@zarazaexe настолько не умеет внятно и уважительно общаться, что перешёл на ответы скриншотами из ИИ.
Вопрос даже не в том, что умеет та или иная прога nowadays, а кто за ней стоит. И если это какие-то мутные или госуха, то ставить это нельзя. Это же аксиома. В данном случае это даже не мутные, а вполне ясные гебисты.
Блин, и только в самом деле
Очень не плохая реализация шпионской программы. Я даже не знаю, какой еще функционал не реализован.
Ну вот, а я уже подумывал с iOS на андроид переходить. Теперь не буду :)
Хотя, надо почитать подобное расследование про яблоки, есть такое? Или с ipa реверс-инжениринг сложнее?
Аппаратный фингерпринт через Widevine DRM — для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства.
Во-первых widevine хранится не в TEE напрямую а в /data/misc/mediadrm/ Из чего следует что поменять его таки можно. Например через перепрошивку устройства или если устройство было прошито, например через twrp, можно удалить data и произойдет генерация заново. Переустановка аппы действительно не сбросит значение, но это не тоже самое что TEE. TEE вообще не хранит такого.Справедливости ради не каждый пользователь будет заморачиваться и перепрошивать устройство или вообще понимает как это работает и в теории отслеживать таким образом можно. Во-вторых а где пруфы что действительно макс использует widevine для трекинга? в репозитории я не нашел никаких пруфов, а беглый анализ показал только то, что он используется для проверки типа DRM но нету ничего чтобы указывало на то что хеш генерируется и отправляется куда-то в сеть.
Во-первых widevine хранится не в TEE напрямую а в /data/misc/mediadrm/ Из чего следует что поменять его таки можно. Например через перепрошивку устройства или если устройство было прошито, например через twrp, можно удалить data и произойдет генерация заново. Переустановка аппы действительно не сбросит значение, но это не тоже самое что TEE. TEE вообще не хранит такого.Справедливости ради не каждый пользователь будет заморачиваться и перепрошивать устройство или вообще понимает как это работает и в теории отслеживать таким образом можно
чувак погугли, это в корни не так
вторых а где пруфы что действительно макс использует widevine для трекинга? в репозитории я не нашел никаких пруфов, а беглый анализ показал только то, что он используется для проверки типа DRM но нету ничего чтобы указывало на то что хеш генерируется и отправляется куда-то в сеть.
RTFM
# File: work_26.16.0/apktool_base/smali_classes3/wq4.smali
.method public final a()Ljava/lang/String;
.locals 3
const-string v0, "c6681ae4..."
invoke-static {v0}, Ljde;->a(Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
invoke-static {v0}, Ljava/util/UUID;->fromString(Ljava/lang/String;)Ljava/util/UUID;
move-result-object v0
new-instance v2, Landroid/media/MediaDrm;
invoke-direct {v2, v0}, Landroid/media/MediaDrm;-><init>(Ljava/util/UUID;)V
const-string v0, "7e01152a..."
invoke-static {v0}, Ljde;->a(Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
invoke-virtual {v2, v0}, Landroid/media/MediaDrm;->getPropertyByteArray(Ljava/lang/String;)[B
move-result-object v0
invoke-virtual {v2}, Landroid/media/MediaDrm;->release()V
if-nez v0, :cond_0
const-string v0, "5c3f88d3..."
invoke-static {v0}, Ljde;->a(Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
iget-object v1, p0, Lwq4;->a:Landroid/content/Context;
invoke-virtual {v1}, Landroid/content/Context;->getContentResolver()Landroid/content/ContentResolver;
move-result-object v1
invoke-static {v1, v0}, Landroid/provider/Settings$Secure;->getString(Landroid/content/ContentResolver;Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
return-object v0
:cond_0
invoke-static {v0}, Lwq4;->b([B)Ljava/lang/String;
move-result-object v0
return-object v0
.end method# File: work_26.16.0/apktool_base/smali/c95.smali
iget-object v0, p0, Lc95;->Y:Landroid/content/Context;
const-string v4, "fb7e5486f63c1195e3"
invoke-static {v4}, Ljde;->a(Ljava/lang/String;)Ljava/lang/String;
move-result-object v4
invoke-virtual {v0, v4}, Landroid/content/Context;->getSystemService(Ljava/lang/String;)Ljava/lang/Object;
move-result-object v0
instance-of v4, v0, Landroid/telephony/TelephonyManager;
if-eqz v4, :cond_e
check-cast v0, Landroid/telephony/TelephonyManager;
goto :goto_e
:cond_e
const/4 v0, 0x0
:goto_e
if-eqz v0, :cond_f
invoke-virtual {v0}, Landroid/telephony/TelephonyManager;->getNetworkOperator()Ljava/lang/String;
move-result-object v8
invoke-virtual {v0}, Landroid/telephony/TelephonyManager;->getNetworkOperatorName()Ljava/lang/String;не буду спорить. простейшая проверка с format data меняет значение на другое. если бы он хранился в TEE то от обычного форматирования значение не менялось. потому что TEE участвует в генерации но не хранит. в остальном макс действительно получает значение хеша и по всей видимости трекает пользователя с его помощью.
UPD На самом деле частично правда. Все зависит от такого “уровня безопасности” Widevine. L1, L2, L3. Короче, перепрошивка действительно может изменить то что хранится в widevine но на уровне l3. но если l1 то храниться будет реально в TEE. Хотя вряд ли кто будет пользоваться непонятными прошивками на основном устройстве.
Как человек причастный к разработке приложений, которые собирают инфу о телефоне, заявляю, что 3/4 упомянутых функций есть в банковских приложениях а также, неожиданно, приложениях некоторых ретейлеров
Можно summary для технического человека, но не в части мобильных ОС? Что делать-то?
Обложили со всех сторон, даже чат провайдера об авариях оставили только в махе.
Думал в отдельное пространство на устройстве его запереть, но, судя по статье, это только часть проблем снимет.
В идеале - Knox у меня "чистый" для банковских приложений, если бы можно было для маха отдельную песочницу создать (ну как на обычных Андроидах, не Самсунгах)...
И даже если окончательно прижмет, и придется ставить его на старый телефон - все равно лучше в песочницу, или нет смысла заморачиваться?
В заголовке "15 вещей", в списке 13 пунктов, из которых 13й — это "многое другое". Так сколько всего? Просто интересно (это не придирка, если что, и не попытка "уколоть")
Я айтишник, но в другой сфере (аналитика), и то, часть терминов мне неизвестна и непонятна, так что "верю на слово", рассчитывая на фактчекинг со стороны более подкованной аудитории хабра. Но как донести всю эту инфу до простых пользователей? Им даже список в шапке статьи не очень то понятен.
Ну и риторический вопрос) Что делать-то? Таскать второй телефон "для Макса" — не вариант. Делать изолированную среду на тлф чисто для Макса (на заборе была как раз статья недавно)— мне-то лень разбираться и ковыряться (поэтому я использую Макс только на компе через web-морду на голой виртуалке), не говоря уже об обычных пользователях.
поэтому я использую Макс только на компе через web-морду на голой виртуалке
web-морда: “Наведите камеру на QR-код, чтобы войти в профиль или скачать приложение” Через какое приложение регистрировали? Для мобильности надо таскать ноут с виртуалкой?
Что делать-то?
Не ставить. В крайнем случае, если уж совсем прижмёт, взять вторую трубу чисто под Макс, и больше ничего личного.
Подскажите, если такой реверс для Telegram и WhatsApp? Интересно сравнить методы. После публикации материалов Сноудена про Prism - все понимают, что спецсредства слежения есть у всех
Уверен был. Но прямо такого "набора вопросов" не было. "Аппетиты" у следящих ограничиваются независимостью разработчиков, их репутацией, широким общественным и судебным контролем. АНБ было достаточно метаданных.
Но давление усиливается. Отключение E2EE, изменение законодательства, предустановка гос. троянов. Бизнес реагирует на это и сопротивляется - Apple в Индии, например. Часто аргументируя. Именно что нарушение безопасности ради контроля недопустимо.
Тут же бизнес по сути государственный, точнее ведомственный. Аргументация невозможна.
И вот после этой статьи возникает два резонных вопроса: 1) А остальные "обязательные" российские приложения тоже так делают, или это только в Маске так? 2) А что делать? Заводить второй "патриотофон", где будут только все российские приложения?
Хороший разбор, задонатил немного
@zarazaexe Благодарю за этот труд добра и света!
А есть родственный анализ того, что анализируют и проверяют telegram, viber и whatapp? Или "это другое"?
Можно начать анализ с того, что telegram, viber и whatapp
- какие-то дяди на государственном уровне повсеместно ставить не принуждали
- все взаимодействие с государством туда не заводили
- единый цифровой аватар граждан с риском слива всех и вся ПДн в них не создавали.
Никто никого пока еще не принуждает, Госуслуги работают и без MAX
См. выше
Практически все граждане сами сливают все что можно и нельзя, хранят пароли незашифрованные в onenote и прочих obsidian, overnote, в т.ч. пересылают пароли через gmail и telegram в открытом виде, вместе со сканами паспорта и прочих СНИЛС. Microsoft Edge вон в памяти хранит пароли незашифрованные, любой сисадмин по сетке может просканировать память машин сотрудников и получить базу паролей, и что изменилось? Где волны хейта? А так-то да, только Max поперек встал, у всех остальных с инфобезопасностью нет проблем, нужно дружно держаться за Telegram и gmail любой ценой, ни в коем случае на max и mail.ru не переходить, иначе ужас что.
Кстати что случится-то? Есть реальные секретные секреты? Пароль от приватного github с домашним PET проектом nonewsql базы данных на Zig товарищ майор узнает и на допросе пристыдит и заругает, скажет что на Rust надо было писать или что произойдет?
Тут на хабре недавно инфобезник-яблочник с каналом в Максе выскакивал (если кому интересно - может у меня комментарий глянуть, я отписывался недавно в его теме) интересно, он в курсе?
нет оснований не верить автору публикации
Напомнило:
- Вы арестованы по обвинению в публичных призывах к свержению существующей власти!- Но... Помилуйте, какие же это публичные призывы? Всё это было в личной, приватной переписке в ватсапе! - Подозреваемый, Вашу переписку читают сотрудники пяти отделов трёх спецслужб - и это Вы называете приватной перепиской?..
И это ещё без учета служб поддержки, девопса и пр. в самом Вацап, рекламных маркетологов, формирующих конкретно ваш медиаплан рекламных предпочтений..
Интернет - открытая страна и всё, что публикуется, озвучивается и т.д. и т.п. - мало того, что остается в нем навсегда, так ещё и просматриваемо, читаемо всем кому ни попадя и в первую голову - разрабам. Ещё во времена BBS чатов уже мои коллеги подсматривали, контролировали кто зашел, откуда зашел, купил ли он клиента или украл.. Сам делал подобное исследование одной из первых версий РыжеЛиса .. помнится что было около 14 урл в Сети куда он сливал все что было можно.. А яндексовский punto switcher .. ну о чем весь этот спич? )))
А вот объясните мне про E2E, вам же для шифрования нужно обменяться ключами, как это происходит в tg, например?
О чем эта статья? Озвученные 15 фич для обывателя, ни разу не прочитавшему EULA до конца - выглядят просто как штатные функции Whatsapp, Telegram и Skype, которые наконец-то сделали и в Max, ура.
Даже Павел Дуров признавал, что Android и iOS имеют слишком много контроля над пользовательскими данными и приложениями, и эти ОС нельзя называть защищенными.
А в свете операции Триангуляция (см. википедию) все эти разговоры о приватности и защищенности выглядят и вовсе как фарс. Оказывается можно было просто сделать видеозвонок любому человек и получить полный контроль над его телефоном и данными. И? Сколько человек выбросило свои iPhone после операции Триангуляция и сколько человек вообще о ней знает?
В наше время защищенные коммуникации - это наверное отдельно стоящий в бетонном подвале компьютер, подключенный лишь к бензиновому генератору, который сообщения пять раз кодирует в модифицированном GnuPG и потом записывает на CD-RW для последующей передачи его через компьютер, подключенным к интернету в соседнем здании. Все остальное это лишь спекуляции о доверии, которого по определению быть не может до тех пор, пока ОС может произвольно читать память процессов и приостанавливать их, и пока она сама может коммуницировать со своим вендором-разработчиком.
Верить что ты в iOS поставил галочку "отключить автоматические обновления" и теперь со стороны облаков apple и не apple тебе по интернету не прилетит некий blob кода для исполнения без твоего согласия - это какой-то верх наивности.
15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще