Comments 156
А следов mytracker не видно? Было бы логично его тут встретить
Я чуть глубже копнул в APK и посмотрел именно на аналитику/трекеры.
Нашлось интересное:
✅ внутри есть:
Huawei Analytics + Hatool (стандарт для HMS-девайсов)
Adjust
Amplitude
VK Ads / MRADX / AppTracer (sdk-api.apptracer.ru в строках)
❌ а вот чего нет:
MyTracker / myTarget
AppMetrica (Яндекс)
AppsFlyer
Firebase Analytics / Crashlytics / Google Analytics
Mixpanel / Sentry / Bugsnag
То есть упор сделан на Huawei-экосистему + часть западных SDK (Adjust, Amplitude), а привычных для СНГ myTracker/AppMetrica тут не нет.
Странно. А вот тут про my.tracker пишут https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
Huawei HMS-интеграция очень глубокая - явно нацелено на устройства без Google
Видимо, скоро все сервисы Google пойдут под топор.
5 страничек текста на 100-мегабайтный бинарник это что угодно, но не «технический разбор».
В манифесте есть:
READ_CONTACTS, WRITE_CONTACTS CAMERA, RECORD_AUDIO ACCESS_FINE_LOCATION, включая background доступ к медиаВообще, довольно стандартный набор для мессенджера, так что можно сказать что один из главных набросов — фейк.
Про какой такой «главный набос» речь не уточняется, почему это так взволновало «Максим Гришутин @BarredEwe Platform Lead в Okko» тоже не ясно. Уж не ради ли последней фразы всё писалось?
А я и сам хз что взволновало так 😃
На счет претензии на 'тех разбор', в теме указано что 'Простой уровень' и в самом начале указал:
В динамику (Frida, MITM) пока не лез, ограничился статикой.
Если я правильно тебя понял, ты же про то что мне занесли? (а я был бы рад 🥲)
Уж не ради ли последней фразы ли всё писалось?
В моё представлении «простой уровень» это текст, в котором есть подробные пояснения для не подкованных в вопросе.
Если я правильно тебя понял, ты же про то что мне занесли?
Я про то, что не нужно называть «техническим разбором» то, что им не является. Как, на мой взгляд, должен выглядеть технический разбор можно посмотреть у меня в публикациях: ассемблер и Android-приложение.
В манифесте судя по https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger есть еще много другого из разрешений.
Все так, выделил самые спорные для себя, на контакты, камеру и тд. Остальные вещи типа POST_NOTIFICATIONS, INTERNET и тд не стал указывать, так как без этого мессенджеры вообще не работают)
PS: Я не видел этот разбор до написания поста)
Но в целом вижу что в нем примерно тот же вывод:
6.2. Отсутствие прямых признаков патчинга/эксплойтов:
На основе анализа
AndroidManifest.xml, прямых разрешений, указывающих на возможность патчинга системных файлов, получения root-доступа или инъекций в другие процессы (таких какWRITE_SECURE_SETTINGS,MOUNT_UNMOUNT_FILESYSTEMSили использованиеDevice Administration API-BIND_DEVICE_ADMIN), не обнаружено.
Мы видим разные выводы
Приложение "Макс", несмотря на отсутствие явных низкоуровневых эксплойтов, представляет собой мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности. Комбинация обширных разрешений, таких как доступ к микрофону, камере, местоположению, контактам, списку установленных приложений, а также захват экрана и сбор данных о внутреннем вводе в чатах, создает полную картину поведения пользователя. Обфускация кода продолжает скрывать точные механизмы и цели сбора и обработки этих данных, что еще больше усиливает опасения по поводу конфиденциальности и безопасности. Приложение активно закрепляется в системе через механизмы автозапуска и постоянных фоновых служб, обеспечивая непрерывную слежку.
Не вижу приотворечий) Это совершенно стандартные разрешения для мессенджера. Например для тг)
У ТГ тоже есть управление аккаунтами и настройками сети?
Это не ирония, я действительно не знаю.
Да, есть. Можно у них в репозитории глянуть:
https://github.com/DrKLO/Telegram/blob/72922d74e6b3d7d9868202f69445d99f8ec28c2b/TMessagesProj/src/main/AndroidManifest.xml#L76
Эти разрешения относятся к лончеру и нужны для взаимодействия с ним. Например, для рисования циферок на иконке приложения.
Тянутся, скорее всего, из ShortcutBadger
да там одинаковый набор, это с первого дня показывало что эти обзоры/разборы не оч. Но большинство вместо того чтоб заглянуть, продолжали просто повторять как мантру.
https://reports.exodus-privacy.eu.org/en/reports/org.telegram.messenger/latest/
https://reports.exodus-privacy.eu.org/en/reports/com.whatsapp/latest/
отличие только что у мах есть DOWNLOAD_WITHOUT_NOTIFICATION
Более, в принципе обзоры про безопасность на андроид приложения не могут быть очень.
Там (в андроиде) безопасность приложений не про пользователя, и не его данные.
(Угнать данные, собрать данные может легитимный разработчик.)
а про апп разработчика. и его денюшки. и денюшки гугла. чтобы пользователь не мог нелегально что то использовать, "ломать", ограничивать.
это вам не винда и люникс десктоп. в которой все гораздо проще с ограничениями для ПО. где это видано чтобы AIMP у меня в аутлуке шарился, картинки тырил в галерее?
ведроид (яблоко) не про безопасность пользовательских данных.
... потому что рядом сим карта, это во первых.
Ты с транспарантом, я васяпупкин, велик соблазн тебя плотнее исследовать. дурачок какой то, ходит с бейджиком, хочет анонимности.
пользователя просто успокоили, что все безопасно а тянут данные ВСЕ приложения.
кстати, по разрешениям что ТГ что ВА такие же что МАХ.
ПС. то что мне выгоднее отдать данные в ВА и ТГ, чем в "родной" МАХ.
это понятное опасение, история показывает, что нужно бояться "своих".
кстати, по разрешениям что ТГ что ВА такие же что МАХ.
ПС. то что мне выгоднее отдать данные в ВА и ТГ, чем в "родной" МАХ.
Учитывая что Мах стремится стать вичатом с блекджеком, то все там будут в той или иной степени. Просто часть людей будут пользоваться им так же "часто" как и приложением гос.услуг.
пример ва и тг с их набором разрешения, приводится не потому что "вот нехорошие шпиёнят, раз вы туда отдаете почему бы и сюда нет", а потому что это практически стандартный набор разрешений для аналогичной функциональности. И все те ужасы про то как будут шпионить делать скрины и тд и тп. просто не коррелируются с этим. Иначе бы все это было бы уже давно про тг и ва но на мировом уровне а не локальном. Но мы такого не наблюдаем.
Очень странно на более-менее технических ресурсах видеть как люди верят на слово, причём каким то нонеймам, и даже не пытаются проверить а как оно на самом деле в Android работает и на что влияют эти разрешения в итоге, и какой жизненный цикл приложения.
Ого, а у вас есть ещё истории про безопасную винду? )
Вопрос еще в каком формате они хотят все эти разрешения.
У приложений банков, например, принцип "всё или ничего": пока не предоставишь полный доступ ко всему, всегда и навсегда - будет ругаться и отправлять куда подальше. Очень сомнительное удовольствие.
У моего банковского приложения нет доступа к списку контактов.
Каждый раз плачет "Дай, очень надо, работать не буду", когда я по номеру кому-то пересылаю рубль. Плачет, но работает.
(Дисклеймер: я знаю, что мой граф контактов уже давно построен из других источников, но дополнительно поддерживать его актуальность не хочу).
А как считаете, чем может грозить дать приложению (допустим, действительно вирус) доступ к своим контактам? Взлом аккаунтов?
Увеличение спам-активности телефонных мошенников, более точная персонализация рекламы, утечка базы контактов в широкий доступ, что может подставить людей, которые поделились своим номером только с вами, а вы уже сдали их третьим лицам, поделившись своим контакт-листом.
Конкретно банки были замечены в том, что обзванивали контакты по поводу возврата кредита. И совсем дикий случай - звонили с рекламой с явной ссылкой на человека - "Нам василий васильевич дал ваш номер т.к. полагает что вас заинтересует наше предложение". Случаи не массовые, но и не единичные.
Про всякий прочий спам и скам вообще молчу.
пиздеж, я все ограничил, кроме камеры и уведов и работает на похуях
Да не, уже давно почти все (у меня их с полдюжины) нормально работают и без геолокации, и без контактов, и без чтения СМС (а смысл? привязанная симка всё равно в другом телефоне). Лет 5 назад, да, дичь процветала...
Там много интересного.
FOREGROUND_SERVICE_MEDIA_PROJECTION - беспалевно захватывть экран тоже не выйдет. Требуется показ неудаляемого уведомления, которое привязывается к ForegroundService.
Бро буквально взял приложение из AppGallery (Huawei) и пишет
Huawei HMS-интеграция очень глубокая - явно нацелено на устройства без Google
Реально?
Какой-то у вас короткий список "в манифесте есть". У меня он вышел длиннее.
Max 25.8.1
Requested Permissions android.permission.POST_NOTIFICATIONS android.permission.REQUEST_INSTALL_PACKAGES com.sec.android.provider.badge.permission.READ com.sec.android.provider.badge.permission.WRITE com.sonyericsson.home.permission.BROADCAST_BADGE com.sonymobile.home.permission.PROVIDER_INSERT_BADGE com.anddoes.launcher.permission.UPDATE_COUNT com.majeur.launcher.permission.UPDATE_BADGE com.huawei.android.launcher.permission.CHANGE_BADGE com.huawei.android.launcher.permission.READ_SETTINGS com.huawei.android.launcher.permission.WRITE_SETTINGS android.permission.READ_APP_BADGE com.oppo.launcher.permission.READ_SETTINGS com.oppo.launcher.permission.WRITE_SETTINGS me.everything.badger.permission.BADGE_COUNT_READ me.everything.badger.permission.BADGE_COUNT_WRITE android.permission.VIBRATE android.permission.SYSTEM_ALERT_WINDOW android.permission.INTERNET android.permission.ACCESS_WIFI_STATE android.permission.ACCESS_NETWORK_STATE android.permission.ACCESS_FINE_LOCATION android.permission.BLUETOOTH android.permission.BLUETOOTH_ADMIN android.permission.BLUETOOTH_CONNECT android.permission.CHANGE_WIFI_STATE android.permission.RECEIVE_BOOT_COMPLETED android.permission.READ_CONTACTS android.permission.WRITE_CONTACTS android.permission.CAMERA android.permission.READ_EXTERNAL_STORAGE android.permission.WRITE_EXTERNAL_STORAGE android.permission.READ_MEDIA_IMAGES android.permission.READ_MEDIA_VIDEO android.permission.RECORD_AUDIO android.permission.WAKE_LOCK android.permission.DISABLE_KEYGUARD android.permission.MODIFY_AUDIO_SETTINGS android.permission.ACCESS_COARSE_LOCATION android.permission.FOREGROUND_SERVICE android.permission.USE_BIOMETRIC android.permission.USE_FULL_SCREEN_INTENT android.permission.READ_PHONE_NUMBERS android.permission.READ_MEDIA_VISUAL_USER_SELECTED android.permission.FOREGROUND_SERVICE_MEDIA_PROJECTION android.permission.FOREGROUND_SERVICE_MEDIA_PLAYBACK android.permission.FOREGROUND_SERVICE_MICROPHONE android.permission.FOREGROUND_SERVICE_CAMERA android.permission.GET_ACCOUNTS android.permission.AUTHENTICATE_ACCOUNTS android.permission.MANAGE_ACCOUNTS android.permission.USE_CREDENTIALS android.permission.DOWNLOAD_WITHOUT_NOTIFICATION android.permission.FOREGROUND_SERVICE_DATA_SYNC android.permission.USE_FINGERPRINT com.google.android.gms.permission.AD_ID com.google.android.c2dm.permission.RECEIVE android.permission.CHANGE_NETWORK_STATE ru.oneme.app.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION com.htc.launcher.permission.READ_SETTINGS com.htc.launcher.permission.UPDATE_SHORTCUT com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE
PS: Я не знаю что из этого характерно, а что избыточно. Просто список.
Все так. Я дополнительно указал что не все вывел. Подробнее можно глянуть здесь:
https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
Если сейчас нет никаких явных эксплойтов (чего, впрочем, данный обзор как не утверждает, так и толком не опровергает) это не значит, что их не будет в будущем. Надо быть полными идиотами, чтобы всё это туда напихать на раннем этапе накопления клиентской базы, куда логичнее добавить всё через полгода-год, когда волна хейта спадёт, все мало-мальски попривыкнут, а альтернатив, возможно, не останется.
Согласен. Вполне могут, с обновлением приложения можно как запрашивать, так и удалять доступы к разным вещам в телефоне.
Если посмотреть как сейчас у нас выкладывают в AppStore заблокированные приложения, которые маскируются под другие, то там фактически можно что угодно вообще вшить.
Достаточно сказать , когда принуждают ставить мах этот , что он на твой телефон не ставится из за рута или другой причины . И слать лесом всех пропагандонов.
Вариант «из-за Android 4 и денег на новый телефон нет» надёжнее.
Вариант у студентов "вся коммуникация - ТАМ". И пофигу, какой у тебя телефон, хоть дисковый. Можешь не ставить, к старосте за новостями и расписанием ходи.
Так с самого начала рекомендуют под него использовать "пустой" телефон за 1000 р . Я про то чтоб на основной не ставить
Недавно статью кидали на одном сайте с разъяснениями, ты можешь и так нахуй слать всех, не твоя проблема будет, а того, кто информирует, он обязан будет самостоятельно найти способ донести до тебя, пока законодательно работает по такому правилу.
Чует жопа скоро изменится.
Можешь не ставить, к старосте за новостями и расписанием ходи.
А в чём проблема?
Новости не нужны, расписание должно рядом с деканатом висеть. При очной форме обучения староста и так 5 дней в неделю под боком.
При отмене первых пар заранее понять, что утром можно поспать.
При отмене последних пар можно заранее (до приезда в ВУЗ) скорректировать свои дальнейшие планы.
В том, что оперативность изменений может не совпадать с оперативностью их публикации на стене у деканата. А потом на резонное возражение "Я не знал" будет железобетонное "Мы в МАХе все выкладывали, ваши проблемы"
И если новости не нужны лично вам - это не значит, что не нужны никому.
У меня в сентябре первокурсник будет, а им ох как много нового предстоит узнавать вовремя. Раньше это решалось любым [MESSENGER_NAME]. А тепрь надо откуда-то рапортовать о тысячах уникальных установок в день. ВУЗу это все тоже нафиг не впилось, но у них приказ сверху.
Так что да - дополнительная мобилка-оповещалка, как уровень изоляции личных даных.
Таким образом можно много каких приложений подогнать под эти "будущие" изменения.
Главная проблема MAX'а ( на данный момент ) - насильственное проникновение его в телефоны рядовых бюджетников. И в целом, рекламная политика Макса.
Его вроде сделают как центр подписей электронных, типо либо ставишь мах, либо ножками там до мфц/больницы условно, пока подробности не видел
Кого это когда беспокоило? Ютуб всем пихали на телефоны с 2010 года, причём даже на ios (гугл лярды за поиск и ютуб платит apple). А Facebook который только через adb прибить можно было на андроид устройствах? Это вдуматься покупаешь телефон, там стоит не нужное приложение которое удалить нельзя, отключить - попробуй найди, и даже если отключил всё равно есть отдельный фоновый процесс в системе с кучей прав. Все прям так о своей безопасности задумали с этим Максом, что просто смешно ))) За годы на западе уже несколько компаний и продуктов появилась который предлагают решения для анализа бигдаты от сервисов меты, амазона и альфабет и т.п. типа того же Palantir.
Давайте будем честными, дело ни в какой приватности по отношению к конкретному сервису. Нет, у всех трусы становятся тяжелее именно от мысли, что к каждому в квартиру придёт товарищ майор если он будет в национальном мессенджере обсуждать экстремизм, терроризм, детское порно, наркотики и схематозы, тогда как западный спец. агент знает даже больше, но вот так в гости не заглянет.
Нашел такой текст, оригинал непонятно где, все репостят:
Безопасный национальный менеджер MAX - сделано в Украине?
Как так? Спецы с GitHub'а препарировали "безопасный национальный мессенджер" МАХ и выяснили довольно предсказуемую вещь: оказывается, при создании мессенджера использовались не очень-то национальные библиотеки производства США, Польши и других стран. Но и это не самое смешное: среди прочего, МАХ использует целый ряд библиотек такой себе компании Yalantis (https://yalantis.com/).
Компания значится как международная, с офисами в Украине, Польше, в Эстонии и на Кипре, однако на самом деле компания вполне себе украинская, весь её топ-менеджмент - украинские граждане, и не просто украинские граждане, а ещё и большие фанаты Салорейха и ВСУ.
К примеру, президент компании Александр Холодов в одном из интервью сообщил, что компания задонатила на ВСУ 1 миллион евро (https://itukraine.org.ua/ukrayinska-it-kompaniya-yala..), при компании действуют курсы IT для бывших военных, а в начале войне сотрудники компании были "мобилизованы" (https://forbes.ua/inside/dlya-ukrainskikh-tekhnostart..) на распространение пропаганды в западных социальных сетях.
Кстати Холодов (фото), как и второй совладелец компании, Сергей Фесенко - родом из Днепропетровска, где находится большая часть тех самых "офисов" телефонных мошенников.
И вот создатели МАХ'a решили, что именно у этой публики стоит купить целую пачку библиотек для "безопасного национального мессенджера"!
Между тем, история может быть ну вот прямо совсем не смешной, особенно если учесть, что, по данным спецов с того же GitHub, МАХ собирает просто неимоверное количество информации о своих пользователях, включая перечни приложений, которые у них установлены, информацию о покупках в интернете. Кроме того, в МАХ предусмотрена функция захвата экрана (то есть, с его помощью можно буквально следить за тем, что вы делаете на своём телефоне и даже с кем переписываетесь в других мессенджерах!), а некоторые говорят, что МАХ время от времени без спроса активирует камеру и микрофон телефона, на котором установлен!
И полбеды, если все собранные таким образом данные окажутся в распоряжении Товарища Майора с Лубянки (в чём, впрочем, тоже очень мало приятного!). Хуже, если они также окажутся в распоряжении Пана Майора с Владимирской улицы в Киеве, где расположен главный офис СБУ - ну или у каких-нибудь ловких парней из днепропетровских "офисов"...
И еще: "Новый отечественный мессенджер MAX (на самом деле, переделка убогого Там-Там с американским, украинским и индийским кодом)..."
Может спецы прокомментируют?
Меня бесит, что у него нет возможности полностью отказаться от доступа к контактам телефона, специально полэкрана занимает кнопка разрешить доступ к контактам, которую иногда можно задеть. Это мне кажется не очень хорошо. Так же много глюков графики, наложение окон. Ну и тормозное оно, по сравнению с телегой. Сервера тоже тормозные какие-то, сообщения приходят с ощутимой задержкой, в сравнении с другими мессенджерами.
Телеграм, для меня, эталон по скорости работы приложения и удобности интерфейса + у них открытый код.
эталон по скорости работы приложения и удобности интерфейса
был эталоном.. последние версии мобильной телеги каждый день радуют рандомными глюками. мои "любимые" это
1) вечно весящий значёк о 7 непрочитанных чатах когда все прочитаны, который появился два апдейта назад и до сих пор не пофикшен
2) полное зависание раз в 5-7 дней
3) отсутствие кнопки в настройках "выключить нахрен всё что связано со сторис" (и да я это считаю глюком, багом, кривотой)
а конкретно у меня к MAX претензии в полном отсутствии десктопного клиента (веб клиент и электрономусор в appimage не считаются за нормальный клиент) и в закрытости исходников, а ещё в том что нигде не указаны лицензии на использованные открытые библиотеки как это принято у взрослых ребят. это позорище..
Для персонального общения эталоном стал WA, если смириться с отсутствием десктопных версий и синхронизации истории.
не знаю где он там стал эталоном, но у меня точно нет. проигрывает телеге по всем параметрам, а по некоторым проигрывает и собственному matrix/xmpp.
в целом не представляю как можно добровольно поставить себе мессенджер который показывает твой номер телефона всем в груповом чате вне зависимости от того хочешь ты этого или нет, ну и кроме этого к нему есть куча претензий.
и что значит "если смириться с отсутствием десктопных версий и синхронизации истории"? без этого месенджер в целом нафиг не нужен, а то сидели бы в tox и не парились.
Качество голосовых звонков на порядок выше (особенно заметно при звонках в Австралию) и приятный минималистичный интерфейс без сторис.
Не понятно, зачем участвовать в таких групповых чатах, где боишься номер пошарить
ну если использовать для общения с близкими и отбросить всю эту хуйню из-за которой telegram постепенно становится super-app, то ws в плане чатинга гораздо удобнее, я уже не говорю о том что там если не ошибаюсь Signal Protocol, и в плане безопасности не уступает TG, поскольку последний вроде для обычных чатов не юзает E2E.
А зачем вам для обычного чатинга вообще шифрование? 99% содержимого всех чатов безполезный мусор.
Но при этом wa сильно всирает в плане общения когда к тексту добавляется мультимедия.
Для отправки нюдсов и сканов документов.
А зачем вам для обычного чатинга вообще шифрование?
Оно не для обычного чатинга, а для создания общего шумового потока. Поскольку, когда вам действительно понадобится шифрованный канал, вы явным образом выставите три красных флага в алярм-систему перехватчика самим фактом его использования.
Паранойя должна быть параноидальной!
1) конституционное право на тайну переписки
2) не сказал бы что мусор, помимо документов, различных тайн (мед, юр и тд), другой нежелательной для огласки информации (те же нюдсы), там содержится огромный простор для мошенников, а особенно в эру ИИ.
Не знаю стоит ли перечислять, что могут сделать мошенники со всей этой информацией, но думаю вы имадженировали
Вотсап это эталонный детектор слабоумного пользователя, согласного на любые унижения. Сколько было шуму про новый юзер-агримент, не меньше чем сейчас про этот макс. Умные сразу снесли вуцап, а опущенные продолжили пользоваться. Такие же куколды напихали в карму минусов, видать, сильно бомбит.
Некоторое время было неудобно без чтозаха, а потом, смотрю, стали массово появляться в телеграме контакты из вцпа. Обычно это всякие мамки из детских групп, строители и т.п.
у меня к MAX претензии в полном отсутствии десктопного клиента
с учётом стремления разработчиков получить всю пользовательскую информацию, десктоп версию долго ждать не придётся. В этом смысле, web версия гораздо безопаснее, т.к. не позволяет выйти за пределы разрешений браузера.
Полная чушь. Десктопное приложение я сам могу ограничивать как хочу, даже по памяти и процу, могу даже выдать одному конкретному приложению отдельный ip и отдельную цепочку фаервола. Попробуйте провернуть такое с отдельной вкладкой в браузере.
К тому же.. Как часто открывая веб клиент вы проверяете что загрузился именно тот самый клиент а не его клон? С десктопным клиентом такое невозможно впринципе.
А если поставите его, а он затребует для запуска прав админа или, если службой, системы? Тоже, конечно, решаемо (виртуалки, песочницы), но в такое уже точно смогут не только лишь все.
Пусть требует что хочет, кто ж ему их даст то? 😁😁
Мы ведь говорим о ситуации с заламыванием рук, когда озвучиваемые сейчас хотелки воплотятся в реальность (когда всё, вплоть до любых покупок в интернете или авторизации в банковских приложениях, а также любое взаимодействие с госструктурами от школ до больниц завяжут на него), а без всех запрашиваемых прав мессенджер откажется запускаться.
Возьмем самую очевидную и популярную ОС, которая скорее всего будет установлена у обычного человека - Windows. Времена ZverCDDVD прошли, там вероятнее какая-нибудь домашняя редакция, Pro, LTSC, Enterprise - изредка.
Чтобы изолировать приложение надо накатывать VirtualBox, Sandboxie, настраивать их. Всякие групповые политики, встроенная песочница доступны только на Pro+, файрволлы - требуют дополнительного порога входа.
В пару кликов, это, к сожалению, не делается.
На мобильных устройствах чуточку легче - во многих оболочках Android уже есть разные реализации вторых пространств, с A15 на aosp появилось Private Space, на iOS всё по умолчанию в песочнице (что с другой стороны - огромный минус в удобстве при необходимости переносить файлы между приложениями. Например, тот же raw снимок с камеры отправить в Telegram файлом без сжатия - нужно столько кликов, что мне плохо становится).
И да - через браузер тоже дыряво получается.
В том числе - даже установить любой браузер уже небезопасно. Игрался в виртуалке с Ябраузером. Нажимаем на exeшник "Я скопировал все ваши закладки из браузера по умолчанию, продолжить настройку?" - безальтернативно любая программа имеет доступ ко всей файловой системе, можно читать всё, что ей хочется.
На мобильных устройствах чуточку легче - во многих оболочках Android уже есть разные реализации вторых пространств
С них станется обязать производителей поставлять нужные приложения предустановленными, да еще и заставить вшить их на уровень системы, чтоб без бубна не удалить, как родные приложения большинства китайских вендоров.
могу даже выдать одному конкретному приложению отдельный ip
Можно узнать как?
По интерфейсу, серьёзно?
Когда одни и те же действия могут то работать, то не работать? Когда видео показывается, но нельзя переслать, потому что "неправильный формат"? Когда на кнопку по 2-3 раза надо нажимать?
Отсутствие нормальной карусели картинок - это тоже эталон?
Я просто накидал что сразу вспомнил. Если посидеть и повспоминать, то много чего можно написать.
Вы просто привыкли к куче мелких багов, но они совершенно точно есть и в мобильной, и в десктопной версии телеграма, и их, видимо, исправлять никто не собирается.
Что скажете про искусственные ограничения, которые есть даже в Премиум подписке? Сейчас ещё и платный поиск по глобальным постам, "шикарно" же.
Про привязку к телефонному номеру даже не говорим.
Про всё большую залепленность рекламой даже не начинаем говорить:)
И что значит открытый код, когда есть и закрытый, который собственно и есть курица с золотыми яйцами.
Кстати, конкретно по интерфейсу - почему контакты с телефонной книги, каналы и чаты ВСЕ в общей куче и их никак не разделить? Этим идиотизмом (по другому не скажешь) страдает и Телегам, и Ватсап, и теперь ещё и отечественный Макс.
в телеграмме вы же можете папки создавать и разделить лс, группы, каналы, ботов и тд
Что такое карусель картинок?
А как насчёт микроскопических кнопок принять/отклонить вызов вместо слайдеров? Захочешь - с первого раза не попадёшь, а не захочешь - случайно нажмёшь. Ну и невозможность полностью запретить звонки туда же.
Хах, а для меня(у меня IOS) это уже давно антиэталон. Проваливаясь в комментарии поста никогда не знаешь откроется клавиатура или нет(хотелось бы нет, но это постоянный рандом). Если твое сообщение получило лайк, то очень часто нажимая на плавающее сердечко, которое должно тебя перекинуть на твое пролайканное сообщение - ничего не происходит, итд.
Но САМОЕ любимое - это видео и видеоплеер(у меня еще и подписка). Меня так достало пользоваться видео в телеге, что я НЕРЕАЛЬНО кайфанул, когда открыл посты с видео в максе... боже, видео грузятся без проблем, ты можешь спокойно двигать ползуное плавно перемещая его по таймлайну и видео сразу и точно воспроизводится с этого места... Видео в телеге - это настолько ужасно, насколько это вообще возможно
Он,конечно,быстр (иногда),но вот по удобности интерфейса-разве что с WA сравнивать.А так он даже QIP'у проигрывает
Эталон? 2 мбит/с 🤡 уведы часто не приходят, даже когда сидишь в чате, часто несколько минут он не получает сообщения часто, а на компе за 8 лет так и не пофиксили баг, из-за которого вкладка проц под 0 выжирает, не удивлюсь, если он threadripper сожрет
На картинке папка ru.ok.tamtam с котлиновскими файлами, откуда это? jadx не создает код на котлине, плюс расположение файлов не похоже ни на старую, ни на новую версию макса.
ТамТам это какой-то сервис от одноклассников был. Тоже для общения или чего-то там. Не взлетел, как вы понимаете.
ну почему же был.. этот позор всё ещё существует.
Кажется, это декомпилированные исходники макса, но:
Почему некоторые файлы на котлине?
Какая это версия? Я ни в одной версии не нашел упоминания о PlayerModule, ImageModeration, или ru.ok.tamtam.register.
А есть умельцы ssl пиннинг отвязать? Я пытался, фридой(ios, mac и windows приложение потыкал), максимальное что удалось – он не коннектился к серверам. Но у меня тупо не хватает опыта и экспертизы в обходах ssl пиннига, даже в связке с ии, это вторая попытка, первая года три назад с простенькой аппхой, там удалось за пару часов фридой пропатчить вызовы.
Совершенно не удивлюсь, если в какой-то момент он еще начнет слушать сокет на localhost.
а вот типичный чат или как VoIP-клиент он вполне сгодится
Не знаю кому он там может сгодиться, без E2EE и по сути заведомо скомпрометированный в плане конфиденциальности общения 😅 Спасибо, я пас…
Удалите все приложения телеграмм, потом установите новое и авторизуйтесь, угадайте откуда прилетела вся ваше история ) Когда Паша отчитывается, что удаляют каналы, аккаунты и ботов торгующих наркотиками и прочей чернухой, это они как-то обходят E2EE обходят? А не расскажете, как так в шереметьево украинцев разворачивают обратно в турцию, который очень тщатльно зачистили телеграмм? )
Может пора повзрослеть и понять, что анонимность в интернете она только относительная? )
Ну лично по мне, TG это тоже ненадежный мессенджер с дурной репутацией, именно поэтому я им тоже не пользуюсь 😅 Поэтому и удалять мне нечего, в соответствии с вашими рекомендациями )
Анонимности в Интернете зачастую вообще нет, но только вот я и не стремлюсь к ней. Меня куда больше беспокоит приватность и соблюдение конфиденциальности моих переписок. Ни MAX, ни TG этого обеспечить не могут, так как E2EE отсутствует в обоих мессенджерах (в одном как класс, в другом по умолчанию).
приложения телеграмм, потом установите новое и авторизуйтесь, угадайте откуда прилетела вся ваше история )
И все же это можно сделать нормально. У Matrix вот сделано. Другое дело что процедура добавление нового устройства становится...заковыристой (надо подтвердить с любого из авторизованных имея их оба рядом, чтобы получить ключи, ну или не подтверждать но тогда истории не будет а будут сброшенные ключи а в группах будет это светится)
Проблема max не сколько в том, что он прям следит-следит, а в том что его навязывают и 100% твоя переписка утечет всем подряд. А есть в нем трекеры или нет это уже второстепенно
И дополнительная дыра в безопасности: вашему знакомому бюджетнику сказали принудительно поставить скам-мессенджер, он и устанавливает, разрешает доступ к контактам. А в его контактах - вы Пупкин Василий Алибабаевич с номером таким-то. Еще подтверждение, что вы владелец такого-то номера, вас спамить можно называя по имени, когда база скама утечет. Как и со всякими getcontact.
А в его контактах - вы Пупкин Василий Алибабаевич с номером таким-то. Еще подтверждение, что вы владелец такого-то номера
Эта информация становится достоянием почти сразу после покупки сим-карты, которые легально нынче без паспорта не купить.
Не в оправдание маха, но кажется, с этим вектором атаки уже смирились те, у кого номер телефона используется достаточно давно и засвечен регистрацией в разных сервисах. Уж чтобы номер с 2012-го года, например, никуда не утек с именем владельца — как нужно его беречь?)
Проблемы этого мессенджера не в коде клиентского приложения, а в том, кто и с какими целями управляет серверной частью.
признаюсь, всю статью ждал название либы для тов. майора. Но вы правы она на северной стороне
Именно! Собрались взрослые как будто люди и обсуждают, хороший ли цифровой ошейник, мягкая ли изнанка, большой ли диапазон регулировки.
Я видел чат, где взрослые разумные люди на полном серьезе сетовали, что ошейник, по криворукости разработчиков, скорее всего будет недостаточно строгим, а все альтернативы надо было запретить уже давно.
Ну когда-нибудь и до серверной части доберёмся, и когда-нибудь и в клиентской части появится/обнаружится что-то, действительно заслуживающее интереса. Этот путь длинный, мы только в самом начале.
А кто мешает установить это чудо на второй телефон, и пользоваться им в рабочее время через точку доступа основного телефона? Или, если всё государственное завяжут на него, то для авторизации и прочих похожих действий достаточно включить Wi-Fi непосредственно перед получением кода авторизации. Можно пользоваться и на компе через виртуальный Android, если нужен периодически, а старого тела с Android 10 не завалялось. Зачем усложнять?
Мешает совесть: если мне что-то навязывают, я это стараюсь не брать. Иногда могу очень в долгую в убыток себе.
Причем тут совесть? Потому что ставить это, значить продать свою честь.
Слишком для многих совесть - это пустое слово, подпись под назидательной картинкой в букваре, на которой кто-то бессовестный, с кем они подсознательно ассоциируют себя, угнетает тех, с кем они не хотят себя ассоциировать.
Но это всего лишь синоним сознания (весть = знание, от ведать, т.е. знать), приходить в которое для их успешного функционирования не просто избыточно, а вредно.
А что мешает изолировать через рабочий профиль ? И например shelter, так тот ещё будет полностью замораживать приложение вне активности, у меня так bitrix, wa, и другой софт для работы.
Shelter
Веб-клиент есть, зачем устанавливать?
Этому явлению самое место в инкапсулированной среде смартфона, типа Knox на Самсунге или "Вторая система" у китайцев, где можно подсунуть любую телефонную книгу или вообще в любой момент отключить функционирование песочницы в которой он стоит.
Я не разработчик я только учусь. Объясните мне какая гарантия что итоговое приложение собирают именно из сорса этого репозитория? Просто если такой гарантии нет, то какая вообще разница что там в публичном репозитории?
В паблик репо лежит ток разбор конкретной версии. Сам апк файл для разбора взят, как я понял, именно из магазина приложений.
О каком репозитории речь? Автор анализировал готовый апк-файл, а не исходный код.
Тащем-та, никто никому никогда не даёт никаких безотзывных гарантий. Даже когда Вы приобретаете очередную прибулуду у авторизованного производителем продавца, остаётся место для обмана, злоупотребления, и обстоятельств непреодолимой силы. Но, как уже верно замечено, анализу подвергли именно тот Макс, который можно забрать из Рустора. Возможно, в будущих версиях окажется цыганский код, который позволит угнать у пользователя все табуны данных. Может, он уже где-то в обфусцированных глубинах работает — без длительного и вдумчивого анализа сказать точно нельзя. Но, судя по общему качеству кода, мрачных чудес ждать не приходится. Макс — стандартный мессенджер, с вкраплениями экстренно импортозамещённого говна и ИИ-палок. Данные он, конечно, может (и будет) понемногу стилить. Как и любое другое приложение с обширным функционалом. Ну, может чуть больше и чаще — телеметрию он забирает, видимо, всю возможную. Наверное, в предстоящих обновлениях всё станет ещё более воровато, во имя большей безопасности и лучшей защиты. Но у установленного на Вашей шайтан-коробке антивируса этот потенциал всё равно будет выше. А уж в том, что всё передаваемое через него «может быть использовано против Вас в суде» никто и сейчас не сомневается. Гитхабовский разбор показывает, что такая возможность явно есть. Но странно было бы ожидать от Макса конфиденциальности. Спасибо и на том, что хоть какое-то шифрование завезли.
В общем, Макс — тот ещё Скам, но разгонять конспирологическую истерию не стоит. Товарищу майору текущего функционала хватит. Дальнейшие изменения кода будут, скорее, служить оптимизации производительности и удобства использования. Иначе как ни форсируй это барахло, им широко пользоваться не станут.
Теперь tamtam надо разобрать и распутать этот клубок наконец)
libtensorflowlite.so внутри. Вероятно, для модерации картинок/видео или UX‑фич.Удивило, что ML прямо в клиенте.
Я, наверное, сильно отстал в плане технологий, поэтому не буду интересоваться, на кой черт тут машинное обучение вообще. Но вопрос о наличии прям в клиенте поддерживаю.
Наконец-то нормальный анализ без инфоцыганщины про сидящих внутри Макса хакеров, обходящих все системы безопасности Андроид для получения неограниченного доступа к данным пользователя. Действительно, набор разрешений по большей части абсолютно стандартный и в свете последних законов тревогу может вызывать разве что чтение списка установленных в ОС приложений. А вот чего точно не хватает ни в одном из обзоров - это слона в посудной лавке в виде отсутствия 2фа при полном доступе любого подключенного к аккаунту устройства ко всем перепискам. То есть 1 СМС, попавшая не в те руки, и весь ваш МАКС становится чьим-то ещё со всей его историей и доступами. Это совершенно непростительная функциональная дыра, делающая использование Макса крайне небезопасным. Ну и по мелочи - суверенный мессенджер не умеет работать в фоне без иностранных пуш-сервисов, хотя это тоже обходится малой кровью.
Сейчас препарирование Макса стало одной из дисциплин специальной олимпиады и я тоже заморочился в конце июля и расковырял этот APK. Так-то, в статье всё уже написано, но из интересного - сравнение макса с другими мессенджерами по запрашиваемым разрешениям:
https://lanseg.github.io/2025-07-24/comparison.txt
В общем, я до сих пор считаю, что это просто такой же мессенджер, как и все остальные и шпионские фичи ему и не нужны, потому что к серверной части у спецслужб и так есть полный доступ.
Технический разбор Max: что внутри APK