Comments 231
Спасибо, за наконец-то нормальный анализ. А то из каждого утюга доносятся горе икспертов-блогеров о том, что у Макса просто биллион шпионских разрешений. Даже некоторые коллеги-программисты начинают впадать в паранойю. И конечно же, очень будет интересна статья, про сетевые запросы the мессенджера.
Спасибо Вам за обратную связь!
проблема, то не в разрешениях и их количестве, а в том как ими пользуются. тоже интересно посмотреть какие там сетевые запросы
И еще кто пользуется...
тоже интересно посмотреть какие там сетевые запросы
Основные вопросы у "икспертов-блогеров" именно к сетевым запросам, которые в статье не описаны. Но это ж неудобный факт, если его признать - то поорать "вы все врёти" не выйдет.
Так и сами запросы толком никто не описывает, в основном форсится "разбор" нейросеткой...
Если есть годная статья - поделитесь?
Ни разу не видел разбора сетевой активности Макса. Все как раз форсят тезис вида "Макс просит разрешение на микрофон, а значит может подслушивать" и "Макс просит очень много разрешений, значит он шпионская программа". Ну и пользовательское соглашение любят разбирать, типа "там написано, что данные могут передаваться партнёрам, а значит они их будут тебя подслушивать, а потом эту информацию продавать всем подряд"
Там get и post в основном
И правильно делают что впадают в параною, ибо главное не то что творится на клиенте, а то, что происходит на сервере.
И если на сервере все Ваши переписки анализируются в реальном времени и за фамилию Навальный Вас поставят на карандаш автоматом, то меньшее о чём Вы будете думать - это о количестве разрешений в клиентском софте.
И если WhatsApp/Telegram из коробки заявляют что "мы ничего не читаем и не можем видеть в личных переписках пользователей" и это подтверждено судами, то подобных заявлений от разработчика Max'а не то чтобы нет, а даже не ожидаются.
Я вообще не понял, откуда эта шумиха про клиент.
Вся цель - централизованно контролировать общение и иметь лёгкий и полный доступ к истории общения нужным майорам, это в СКАМе достигается из коробки. Клиент и будет чистейший, тут не нужны бекдоры какие-то.
Вот именно, основное это доступ к серверной части. А тотальная слежка в клиенте, с тайным постоянным включенем микрофона, камеры, геолокации и т.п. это просто никому не нужно, поскольку это уже действительно только против настоящих шпионов и диверсантов (а они на заведомый "жучок" вряд ли купятся). Да и батарейку тотальная слежка будет жрать как не в себя. Но вот тотальный слив переписки и звонков, вероятно с последующим автоматическим анализом, это очень печально. Причем независимо от политики. Даже на совершенно аполитичного человека может собраться куча приватной информации, которая потом, как у нас часто бывает, будет слита наружу.
Да и как реализовать тайное включение микрофона, камеры, геолокации.
Дык отечественная охранка просто перенимает передовой опыт. Контора палантир уже даже специальную нейросетей сделала, которая будет переписки анализировать и помечать неблагонадежных.
А все кто сейчас хочет сказать "тамошним майора до меня дела нет", хочу напомнить что начальство может и помириться и снова как раньше данными обмениваться. Плюс ваши данные передаются в кибер командование для аналитики и проведения псиопс разного рода (от информационных выбросов до слива мошенникам в днепровский офис). Вся эта тотальная слежка кем бы не проводилась ничего хорошего вам не сулит
Товарищьмайор это одно, но с учетом регуляторных инициатив, все это будет продаваться официально и не очень всем подряд. Уверен владельцы "колл-центров" уже в очереди стоят, в ожидании "слива".
Опять же пиар не такой... ввести статью за дискредитацию скрепного мессенджера и еще одну за неустановку, ну и третью за умышленное владение кнопочным телефоном с невозможностью установки онного поделия и всё наладится...
Не понял, если они сегодня не анализируют и это заявляют, то что им помешает включить этот анализ завтра и главное, если он проходит на сервере, то клиенты смогут про это узнать только при сливе. А так то переписки у тг например хранятся на серверах и есть приценденты выдачи органам.
Имхо, тг для развлечений и гражданской переписки, скелетные данные через секрнтный чат, но лучше через что-то более безопасное
подтверждено судами
Устрой фейковый суд и все поверят, что ты трушный. Иногда до смешного доходит как легко обвести вокруг пальца псевдогиков. ТВ у них зомби ящик, а анонимно подписанная научная статья - тру трушное.
Так-то Telegram могут читать личные переписки, они же не серверах дешифруются. А вот WhatsApp не могут читать личные переписки
Откуда такая информация?
Скажем так, вотсап утверждает, что не может читать личные переписки. Что там на самом деле хз, клиент то не опенсорсный, что он там шифрует и как никто не знает.
Для того, что бы WhatsApp не мог читать личные переписки, вы должны сообщения шифровать/дешифровать ВНЕ приложения WhatsApp, закрытым ключом, который вы сгенерировали ВНЕ приложения WhatsApp.
Если ключи шифрования созданы внутри приложения и вы не контролируете где и как они хранятся, и шифрование само по себе выполняется внутри приложения, как вы можете утверждать, что никто не может читать переписку?
одно дело когда читают где то там за океаном, а другое тут
одно дело когда читают где то там за океаном, а другое тут
Не волнуйтесь — если мы тут прочитаем что-то заслуживающее внимания, мы с Вами обязательно свяжемся.
Спасибо Вам за обратную связь, товарищ майор.
Ну на самом деле в этом вопросе, как и во многих других, 2 лагеря:
- Макс шпион (режим паранойи)
- Макс - отечественный продукт, надежный как швейцарский нож (в основном слышу от пропагандистов)
По факту, вызывают сомнения e2e-шифрование, а главное и страшное решение - это интеграция этог мессенджера с госуслугами...
а главное и страшное решение - это интеграция этог мессенджера с госуслугами...
Которое, впрочем, вполне объяснимо. Какой-то способ госсвязи так или иначе появиться должен был, т.к. телефония показала что с подтверждением личности собеседника там просто никак и ей стремительно верить перестают. А связь организация(не только государственная) <-> гражданин иметь хочется.
Можно было бы сделать электронную почту (со всеми подписями и шифрованием вроде могло получиться), но от нее успешно все отвыкли. Вот и остается месседжер.
Другое дело, что было бы лучше сделать приложение, которое именно для общениями с организациями, без возможности личного общения и всего того, что в месседжерах сейчас ожидается.
Как я понимаю, мы равняемся на стратегических союзников - Китай. Max - последователь WeChat, а РКН усиленно стремится создать подобие золотого щита. Теперь ждём введения социального рейтинга (хотя, думаю, он уже вычисляется, но информация из него доступна только для определенных служб).
Ну и что-то от других стратегических союзников - КНДР - тоже есть, наверно. Вот только что там у них реально творится - информации мало, так что параллели провести сложнее.
Вообще, кмк, по "стратегическим союзникам" можно понять к каким путям развития стремится страна. Хотя это и так было давно понятно.
Подобная статья была опубликована ранее (правда без сравнения с Telegram и WhatsApp). Доступна по вот этой ссылке: https://habr.com/ru/articles/938518
Исходная ссылка на разбор зависимостей из приведённой статьи теперь ведёт не туда, куда нужно (репозиторий кто-то удалил). В комментариях нашёл другую ссылку: https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
Думаю, будет полезно к ознакомлению.
Да, спасибо. Я их уже читал ранее.
(репозиторий кто-то удалил). В комментариях нашёл другую ссылку: https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
И правильно сделал(и). Уж на что я презираю такое поведение, но об...хаяли его предостаточно в issues и pull requests. Но за дело. Мало того, что там чел буквально уровня скрипт-кидди (+ забавляется black hat !"№ей. Бывает, но это индикатор), так там весь этот "глубокий анализ" -- это скопированный ответ нейросети, никем не проверенный. Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах, а не нести на публику под видом проведенного тех. анализа!
Уж на что я презираю такое поведение, но об...хаяли его предостаточно в issues и pull requests
Скриншоты этих issues и pull requests будут? Или дальше ничем не аргументированного личного субъективного мнения это утверждение не идёт?
Мало того, что там чел буквально уровня скрипт-кидди
Вы обладаете достаточной экспертизой для оценки навыков анализа ПО рандомного "чела" в Интернете? Если нет - это уже субъективное мнение, с которым можно и поспорить.
так там весь этот "глубокий анализ" -- это скопированный ответ нейросети, никем не проверенный
Да-да-да, скоро будет целое множество людей, для которых всё, что публикуется в Интернете и не согласуется с личным мнением "сгенерировано нейросетью". К слову не всё, что сгенерировано нейросетью шлак. Типичные LLM-модели уже обладают большей экспертизой, чем среднестатистический человек (причём в разных областях, не говоря уже о междисциплинарных областях).
Да и... где гарантии, что Ваш комментарий не сгенерирован нейросетью?
Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах, а не нести на публику под видом проведенного тех. анализа!
Я согласен с тем, что полноценным глубоким техническим анализом это не назовёшь, однако некоторые компоненты там разобраны по верхам и можно наметить хотя бы какой-то план для более достоверного технического анализа. Какую-то информацию из этого анализа использовать можно, а какую-то - нет.
Да и не AndroidManifest'ом едины. По уму здесь нужно запускать приложение и мониторинг системных вызовов проводить: какие дескрипторы приложение использует, куда данные записывает, в каком количестве, какие драйверы использует, факты патчинга ядра нужно детектировать и много других деталей, которые выходят за рамки AndroidManifest'a, ведь и его можно обойти (при определённых условиях).
Скриншоты этих issues и pull requests будут? Или дальше ничем не аргументированного личного субъективного мнения это утверждение не идёт?
Эх, потрачу время. Но буквально ткну носом, что это вы могли бы проделать и сами. А поскольку кэш не вечен, то увековечу копипастом оставшийся кэш Яндекса здесь.
10, 11, 14 - pull requests и/или не осели в кэше.
Нет ли доступа к буферу обмена #1 - От 11 августа 2025 15:50:02 GMT
almirus: Нет ли доступа к буферу обмена
NTeditor: Для доступа к буферу обмену не нужно разрешение.
Есть ли xml файлы верстки? #2 - От 18 августа 2025 16:08:51 GMT
by NTeditor, no message
всё фуфло #3 -- От 18 августа 2025 13:37:48 GMT
webzavoda (4 👍): предполагается, что это всё и так есть у любого мессенджера.
поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
DrZoidberg813 (5 👍):
предполагается, что это всё и так есть у любого мессенджера. поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
Тоже решил пройтись и посмотреть схожести и отличия, по крайней мере в рамках permissions приложения.
Есть отчеты по Telegram и Whatsapp.
Я нашел отличия лишь в том, что MAX запрашивает DOWNLOAD_WITHOUT_NOTIFICATION, а в другом всё то же самое. Тут уже всё зависит от того, как именно приложение использует данные ему разрешения. И как описал автор, значительная часть кода обфусцирована, так что придется ждать, что кто-то захочет провести деобфускацию кода.
Мод на обход телеметрии. #4 - От 20 августа 2025 17:44:15 GMT
klementii229 (2 <3): Если кто знает ссылку на такой, дайте пожалуйста, не могу найти в интернете.
MadTooth (1 👍): Если тебе так нужен мод на этот гавно.апк, тот 4pda (что-бы скачивать = регистрация), напишешь мудоделам что-бы "актуалочку" модифицировали, может сделают 😁
Бред #5 - От 20 августа 2025 15:51:52 GMT
Qweasd123tg (6 👍 12 😄): А если бы разрабы макса переименовали функцию getAge на getUserMoney автор бы подумал что макс ворует деньги со Сбера или Тбанка? Причём даже сомневаюсь что он сам все эти писал просто скинул код нейронке на разбор. Короче слишком жирно)
Chi-Firka (3👍 7👎): а, да, разрабы белые и пушистые и эта инфа ГОСУДАРСТВЕННОГО вируса точно не будет использоваться для чего-то большего, чем обмен мемасиками :clueless:
кто-то явно недооценивает нынешний уровень 1984
выбирай:
сливать инфу в загнивающую европу без риска присесть
или
пользоваться СВОИМ, ДОМАШНИМ, НАШИМ 💪🏻 малварем, но одним днем уехать за решеточку за просмотр фоточки фембоя с косметичкой, который напоминает пресвятого царя и бога всея руси и мира
Qweasd123tg (4 👍 3👎 1😄): (полная цитата комментария выше)
просто для справки изучи что такое вирус также что такое малварь, прочитай книгу 1984, и вообще изучи как работают те или иные приложения особенно серверная часть , можешь в целом как автор репо??? закинуть код в нейронку и постепенно разобрать его с вопросами двух категорий 'что тут хорошо' 'что тут плохо' для объективности, данные действия будут очень полезны для твоего саморазвития и в целом расширения кругозора
Chi-Firka (6 👍 4👎): и ни одного слова по делу
Chi-Firka (3 👍 5👎): ну правильно, когда нечего возразить - остается только обвинять собеседника в его некомпетентности. увы, зря надеялся на аргументированный ответ
Chi-Firka (3 👍 4👎): защитники чебурнета они такие защитники...
Chi-Firka (3 👍 5👎): основная позиция - текст написан нейронкой. ого, спасибо, без тебя бы не разобрался никто, кеп ну да, как я мог не догадаться, что это вашингтоноботы пришли испортить репутацию НАШЕГО, СВОЕГО, РЕВОЛЮЦИОННОГО, ПРОГРЕССИВНОГО вредоносного ПО(носа). вот только мне чет плевать абсолютно кем там этот текст написан, я между строк читаю, а не таращусь на буковки и думаю на каком это там языке написано и чтаэтазначит
Chi-Firka (3 👍 4👎): многабукаф, надеюсь, осилишь
Chi-Firka (3 👍 4👎)(отредактирован): ладно, извини
я подстрекал тебя на мыслепреступление
это тяжело, я знаю
nersind (1😄): я вчера написал в максе что я хочу взорвать кремель и меня ещё никто не скрутил
Qweasd123tg (2👎): Chi-Firka
и ни одного слова по делу
я бы честно ответил по делу, но опыт показывает, что отвечать по делу когда изначальная мысль(репо) сама не особо дельная???, смысла нет. в целом и распинаться изначально смысла не было ибо те кто шарят игнорируют подобный интернет кринж или же им тупо лень ибо других дел хватает, а те кто не понимают не поймут наших объяснений и тупо проигнорят, не факт что даже до гитхаба дойдут и в целом даже новость полностью не прочитают, им хватает заголовка для построения полной картины
c4llv07e: (полная цитата второго + прошлого комментария)
А у тебя как-будто бы есть? Тут даже не проблема в каких-то взглядах, просто макс - это прям генерик дефолтный мессенджер, который как будто бы создан по рандомным гайдам из интернета, и декомпиляция кода это и показывает.
Если хочешь, я тебе могу за любую претензию пояснить в репе, кроме сервера. Ибо на счёт сервера надо лишь понимать, что тут никак не проверишь приватность общения (ну, кроме сквозного шифрования, которого тут нет), а следовательно надо предполагать, что любое твое сообщение будет просматриваться третьими лицами, и поэтому там не надо писать ничего такого. Просто репа приравнивает Макс чуть ли не к пегасасу, что явно не так.
Chi-Firka (2 👍 2👎): (цитата прошлого)
Так мне не так интересны технические подробности, которые, как ты и говоришь, ничего из себя не представляют. Я поболтал с защитничками и понял, что они просто не могут догнать, какую ошибку они совершают. Там чел напрямую написал, что статус "официального государственного приложения" (держим в уме какой именно страны и чем она "славится") это достоинство. Ну, что ж... Я ожидал просто клуелесс человечков, но здесь фанатичное убеждение, а это не лечится в интернете
c4llv07e: (цитата прошлого)
Статус "официального государственного приложения" - это про ФСТЭК что ли? Ну, типа, он должен быть у каждого ру продукта, который работает с конфиденциальными данными. ТГ тоже в реестре ФСТЭКа есть, в этом ничего такого.
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Qweasd123tg: (полная цитата первого комментария c4llv07e)
Вопрос, а что там должно быть не дефолтного зачем изобретать велосипед? ну типо нам нужен мессенджер с доступом к нему правоохранительным органам примерно как тг сливает некоторых юзеров органам из франции)
делать полное прям шифрование везде смысла нет
а так сверху народ уже разобрал репо и ничего особенного естественно нет
Chi-Firka (3👎):
Статус "официального государственного приложения" - это про ФСТЭК что ли?
Понятия не имею про ФСТЭКи. Скорее всего все проще - челу понравилось, что государство что-то сделало. Эм... Вот в самом репо этом была попытка в обратную инженерию. Так вот я не хочу реверсить просроченную вчерашним днём логику того чела и пытаться понять, что же ему так гордость защемило в том факте, что это гос. проект. Видимо, сидит в своем виртуальном окружении и просто ничего дальше пальца в своем носу не видит. Увы, в школах не учат критическому мышлению
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Да. С одной стороны - возможность похайпить. С другой - новый способ опознать вату или просто малоразвитых, которые не могут два плюс два сложить
Я в тебе вижу адекватного собеседника, поэтому не поленюсь достойно объяснить свою логику и почему я считаю, что этот высер не достоин называться чем-то большим, чем вирус
Что мы имеем: агрессивный маркетинг, закупки популярных личностей (не просто популярных, а именно среди молодежи, т.е. тех, кто в большинстве своем не делает контент, для понимания которого нужно думать, ТО ЕСТЬ стратегия пропаганды), растущее количество запретов с каждым месяцем (мне кажется, или раньше счёт шел хотя бы на годы) и тут я остановлюсь, этого достаточно
В медиа продавливают предустановку недософта на все смартфоны, а также добровольно-принудительную установку в учреждениях образования
Так для чего же это все? НЕ троян стал бы так себя вести? Достойное приложение нуждалось бы в такой рекламе? Отсюда вывод, что это ни что иное, как вирус
Знаешь, у меня уже очень давно нет вирусов на ПК. Секрет в том, что я научился думать. Не бездумно качать все что попало. Анализировать. Это и есть суть
-- оставшиеся 4 комментария в кэше отсутствуют, динамическая прогрузка --
Сравнение с WA/TG? #6 -- От 19 августа 2025 20:03:55 GMT
hololoev (6👍): Звучит ужасно, но что в сравнении с другими мессенджарами? Подозреваю 2/3 всех этих же разрешений они запрашивают тоже
Defowl01: Даже больше чем 2/3, там разница в 1-3 разрешениях.
plazmer (1👍): Facebook
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission-group.LOCATION
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission-group.CONTACTS
android.permission.GET_ACCOUNTS
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission-group.SMS
android.permission.CAMERA
android.permission-group.CAMERA
android.permission-group.MICROPHONE
android.permission.RECORD_AUDIO
android.permission-group.SENSORS
android.permission.BODY_SENSORS
android.permission.CALL_PHONE
android.permission-group.PHONE
android.permission.READ_CALL_LOG
android.permission.WRITE_CALL_LOG
android.permission.PROCESS_OUTGOING_CALLS
android.permission-group.CALENDAR
android.permission.READ_CALENDAR
android.permission.WRITE_CALENDAR
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission-group.STORAGE
android.permission.DUMP
WA, что-то мало. видать остальное лучше спрятано [прим. VADemon: не спрятано, а не всё в пространстве android.permission определено, но спасибо автору, хотя бы видно из-за чего у него недосчёт]
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_NETWORK_STATE
android.permission.CAMERA
android.permission.GET_ACCOUNTS
android.permission.INTERNET
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.RECORD_AUDIO
android_permissions
android.permission.UPDATE_DEVICE_STATS
android.permission.WAKE_LOCK
android.permission.WRITE_EXTERNAL_STORAGE
track:
_limit_ad_tracking
trackAnalytics
advertiser_tracking_enabled
application_tracking_enabled
Как повторить? (apt install binutils - чтобы strings получить)
unzip any.apk
cat *.dex | strings | sort | uniq | grep "android.perm"
Это просто «байт» для журналистов. #7 -- От 20 августа 2025 15:41:23 GMT
romanesko (16👍 2👎):
Со стороны может показаться насколько всё ужасно, но любому специалисту ясно, что любое приложение, где есть форма ввода «введите своё имя» занимается передачей личных данных на сервера и позволяет вести слежку сколько Олегов зарегистрировалось в системе.
Ну к-мон, это просто левый вброс, написанный нейросетью.
Дорогие журналисты, прежде чем постить в новостях — обратитесь к специалисту за консультацией.
Chi-Firka (4👍 15👎): разница в том, кто увидит твою инфу
какой-нибудь далекий гУгОл, которому ты нахрен не сдался и который хочет лишь продать тебя поскорее или же...
умничка, дальше сам догадаешься
Остаток приложения после удаления #8 - От 20 августа 2025 17:46:01 GMT
demargorn: Скажите, после удаления сего "мессенджера", остаются ли какие-то следы этого приложения на устройстве? Не останется ли слежки за устройством после удаления приложения?
Pan4ur (7👍 1👎 8😄): Добрый день! После просмотра интерфейса приложения MAX, в голове меняются нейронные связи и мозг начинает слать сигналы на МКС (Это из декриптованных архивов Кремля). Чтобы это предотвратить - воспользуйтесь инструкцией на картинке.
IMAGE
бред от чата гпт #9 -- От 18 августа 2025 15:47:11 GMT
pablushaa (1👍 1👎): с первых же строк можно понять, что аффтар сия поноса тупо прогнал весь код приложения через чат гпт (причем, походу, не только через чат жпт, но и через другие ии), чтобы срубить много упоминаний и классов. никакой реальной аналитики сделано не было. чисто байт для журналюг, профит от исследования нулевой
ИИ-слоп от человека, который даже не знает, что такое реверс #12 -- От 20 августа 2025 15:32:52 GMT
Прим.: сравнивать, видимо, надо со скриншотами из репы. Сопоставить ссылки не смогу.
https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
LSD00 (23👍 3😄):
Я в своем сообщении лишь разберу скришоты.
IMAGE
Автор их никак не комментирует, поэтому это сделаю я. Скриншот, указанный ниже, показывает DLL библиотеки, половина из официальные либы от самих Microsoft, а другая половина - библиотеки Qt6, что автор увидел в этом зловредного - одному богу известно
Автор не указывает название вызова метода/класс, поэтому тут спешу сделать предположение, что это https://dreamswork.github.io/qt4/classQNetworkAccessManager.html - класс QNetworkAccessManager из Qt, который из описания позволяет приложению отправлять сетевые запросы и получать ответы, что автор увидел в этом плохо - тоже лишь одному богу известно
IMAGE
Здесь лишь подтверждается мое мнение, не более, смешит лишь невежество автора данной репы, ибо он не смог самостояльно нагуглить пример работы функции и попросил сделать это нейронку))
IMAGE
Здесь опять скришот без каких либо комментариев, поэтому это сделаю опять я, https://doc.qt.io/qt-6/qabstractsocket.html - класс из того же Qt, который дает базовый функционал для всех известных типов сокетов. Что же тут плохого - автор также не поясняет, видать автор не любит Qt Framework
IMAGE
Здесь автор, решил похвастаться, что нашел путь на с компа на котором происходила компиляция программы(скорее всего CI/CD ибо Jenkins)
IMAGE
Здесь же полнейшая шизофрения, ибо QFontMetrics (https://doc.qt.io/qt-6/qfontmetrics.html) - класс для работы со шрифтами, т.е единственная возможная опасность - уебанский выбор шрифта, от которого у дизайнера случится инсульт
IMAGE
Резюмируя хочу сказать, что автор не разбирается в реверсе от слова совсем и решил, что стандартные классы/методы Qt - что-то опасное, надеюсь, что читающий это сообщение уже понял, с каким уровнем аналитики мне пришлось столкнуться. Про текст, написанной нейронкой и автором, который имеет ровно 0 знаний в IT я даже говорить не буду, это сделали до меня.
kiber-io (7👍 2😄): автор ничего не реверсил 99%, это реально просто высер нейронки)
Что-то пошло не так #13 -- От 20 августа 2025 17:45:57 GMT
jecustoms (6👍 3🚀):
Где всё ок/типично для любого крупного мессенджера
myTracker. Перечень событий (trackPurchaseEvent, trackLaunchManually, кастомные параметры и т. д.) действительно есть в SDK и выглядит обычно для аналитики/атрибуции. Это стандартный SDK VK (myTracker), и его API открыто документирован;
Перехват HTTP/HTTPS и кастомных ссылок. LinkInterceptorActivity с intent-filters под http/https — это просто App Links/Deeplinks, стандартный механизм, а не «шпионаж за веб-трафиком».
Foreground-сервисы и типы (microphone|camera|location|…) — нормальная история для звонков/уведомлений/медиа; с Android 14 это вообще обязательная декларация;
Плейсинговая информация. Пакет ru.oneme.app — да, это MAX в Google Play.
Где автор перегибает или смешивает старьё с актуальным
Громоздкий список разрешений. Многое из перечисленного либо устарело/сигнатурное и обычному приложению недоступно (например, DOWNLOAD_WITHOUT_NOTIFICATION), либо больше не даёт прямого доступа на новых SDK (storage теперь через scoped storage + отдельные READ_MEDIA_*). Сам факт «упоминания» не значит, что приложение реально может это делать на Android 12–14;
DISABLE_KEYGUARD. Механизм работы с экраном блокировки через KeyguardLock уже давно deprecated; современные приложения используют window flags. Если это где-то всплыло — вероятнее следы старого кода/аналитики, чем реальная активность на новых версиях;
MediaProjectionService ⇒ «захват экрана». Само наличие сервиса не даёт прав: захват экрана возможен только после системного диалога-согласия пользователя каждый раз. То есть это не «скрытый скринрекордер», а инфраструктура под функции типа демонстрации экрана/видео-звонков. (Это следует из стандартной модели MediaProjection в Android).
Стоит держать в голове
Масштаб трекинга. myTracker действительно умеет собирать много параметров (возраст/пол, кастомные ID, deeplink-атрибуция, события покупок, время в приложении и т. п.). Это типично для больших приложений, но это реально «богатый» сбор — зависит от того, что именно разработчики включили в конфиг;
Интеграция экосистемы VK. MAX — продукт из экосистемы VK; логично видеть их SDK/сервисы внутри.
T-Maxxx:
Я тоже орнул с ОНЭМЕ.
С замечаниями согласен.
Телеметрию нашли? Нашли. Библиотеку сбора нашли? Нашли (MyTracker). Конфиги не нашли, метрики не нашли, синки (noop, в логи (файлы), в сеть) не нашли. Доказательств отправки собранных данных не нашли (возможность нашли). Ну... Ладно.
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
Отдельно орнул с методов get/set возраста имейла и т.д. Ну да, ну да, нам же не надо это, полученное от бэка, рисовать в UI. Не исключаю и классическое "ну напишем, пусть будет, потом придумаем, куда приткнуть, когда дизайн будет". Юзедж методов/полей "последнего ввода" нам, конечно же, никто не покажет. Ведь если там ничего интересного, то придётся их выкидывать из абсолютно непредвзятого, сука, не просто отчёта, а, блядь, полноценного аналитического документа.
Qweasd123tg (1👍):
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
доступ к геолокации нужен как минимум для функции "поделиться геолокацией"
как максимум задел на будущее для интеграции тех или иных функций
и в целом как то беспокоиться об этом смысла нет ибо ты можешь напрямую в системе отрезать доступ к гео определенному приложению или вовсе отрубить гео и разраб приложения с этим ничего не сделает
tanelxen: У меня есть кейс, когда отдел маркетинга просил добавить в одно e-commerce приложение трекинг геолокации, чтобы слать пуш-уведомления с рекламой магазинов, когда пользователь оказывается рядом с ними.
Можно такое же ревью для Telegram или WhatsApp написать? #15 -- От 20 августа 2025 15:35:27 GMT
nimda2k: С такими же выводами о собираемых данных и интрузивности.
NTeditor: https://github.com/DrKLO/Telegram
nimda2k:
https://github.com/DrKLO/Telegram
Спасибо, конечно, но с
выводами о собираемых данных и интрузивности.
там туговато.
mitsukuri: (цитата issue) whataboutism - ваше всё
nimda2k: (цитата ответа) Это работает в обе стороны.
[troll] Чей Киев? #16 - От 19 августа 2025 19:58:24 GMT
vladimir-vladimirovich-putin: без описания
Гриш, зае**л, хватит позориться #17 - От 20 августа 2025 08:21:51 GMT
FurrDev-Alt (2👍 1👎):
Ну я понимаю ты себя крутым хакером возомнил, но зачем в анализ лезть если не разбираешься?
Иди лучше дальше взламывай ботов для сноса акков в тг :)
А если вот это прадва:
для структурирования и удаления ошибок тк над разбором работало 3 человека
,то это реально кринж.
MadTooth (1👍): Чё за тёрки ?, даже если автор(ы) репозитория законченные денераты либерлы лгбткхуй++, это всё равно не меняет того, что макс хуйня и точка, будет по заводу в прошивки сидеть, это только начало, очевидно что пользователя eboot в zопу, агрессивно навязывая этот мусор лохам под предлогам "наше", "ради вашей беzопасности", "чесная калкуренция", "сосите чмошники))", ну ты понял ?
[troll] Zаписьки польzоватиль максимки #1 #18 - От 20 августа 2025 08:59:27 GMT
MadTooth: (загрузил какое-то видео, но 404) ШТОТО ГЛУПЧИТ МАКСИСЯ БЛЕИН, ПАДСКАЖЫТЫ ЕСЛИ ПА 100500 РАЗИКОВ ПЕРЕУСРАНОВИТ ЕТОТ "ТОПЧИК" ПРИЛОЖУХА ДЕЛЯ КРУТИХ ПИСЮНООФФФ ТО НОРМ??? БУИТ РАБОТА?????, А ТО МНЕ ХАВОРЯТ ЩТЮ ЕТА ШПИОН В ТИЛИФОНИ, ОХ ОХ ПУК, ФИКСИКИ ПЖ НЕ ЛАМАЙЬЕ МАЯ ТИЛЕФОЧНИК МЯМА ПАРУХАИТ 😭😭😭
(И еще одно загруженное видео)
Остатком: This repository was archived by the owner on Aug 20, 2025. It is now read-only.
Так вот. После просмотра PR (таких же стебущихся) и особенно issue 12, я полез посмотреть на автора https://github.com/ZolManStaff aka Rigolit aka https://t[.]me/Rigolit22. Что я там увидел (а он уже спрятал репозитории + спасибо человеку, кто в WayBack Machine закинул):
BOFAMET_STEALER: BOFAMET stealer is a comprehensive solution for collecting data from target systems, consisting of a collector module (stealer) and a centralized command and control (C2) server
Теги: python windows golang web-server malware electron-app c2
Более-менее свежий форк виден здесь:https://github[.]com/Xcertik-Realist/BOFAMET_STEALERMAX-deep-analysis-of-the-messenger - виновник торжества
DeathCore: Project: DeathCore - Advanced System Disruption Framework
Теги: windows golang malware uac-bypass wiper windows-malware
BOTcontroller: теги: python windows linux telegram telegram-bot telegram-api tui
DISqRD: теги: python discord-bot hacking-tool hacker-tools discord-token
Что до моего высказывания об уровне компетенций автора, после именно issue 12, мне хватило увидеть, кхм, вот эту "эвристику" по краже сессионных данных Steam:
Отрывок кода, проходящийся вслепую по дискам B:-F: в Windows
def copy_steam_config():
user_home = os.path.expanduser("~")
destination_path = create_clients_folder()
steam_paths = [
r"B:\Program Files (x86)\Steam\config",
r"C:\Program Files (x86)\Steam\config",
r"D:\Program Files (x86)\Steam\config",
r"E:\Program Files (x86)\Steam\config",
r"F:\Program Files (x86)\Steam\config",
r"C:\Program Files\Steam\config",
r"D:\Program Files\Steam\config",
r"B:\Program Files\Steam\config",
r"E:\Program Files\Steam\config",
r"F:\Program Files\Steam\config",
r"D:\Steam\config",
r"E:\Steam\config",
r"F:\Steam\config",
r"C:\Steam\config",
r"B:\Steam\config",
]
config_copied = False
for steam_config_path in steam_paths:
if os.path.exists(steam_config_path):
shutil.copytree(steam_config_path, os.path.join(destination_path, "config"), dirs_exist_ok=True)
print(f"") # No output here, seems intentional
config_copied = True
break
if not config_copied:
print("") # No output here, seems intentional
Идем дальше по прошлому автора. Публикуется в сообществах мамкиных хацкеров и занимается очень даже вредительской деятельностью. Вот здесь релиз со скачиванием предлагается: blog.thread-community[.]net /z8hyoC1Qp3K , 23 июня "BOFAMET STEALER | Credit: Rigolit" "Пароли от архивов: @thread_invite". Ссылка на архив через посреднического ТГ-бота и Github автора.
Бот-посредник -- это новведение времен наших. Потому что серверы, например в Discord, за нарушения удаляются, а бот нет, то после удаления сервера можно всем пользователям бота разослать инвайт. Такая схема.
Про его деятельность могу отозваться лишь статьей "УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ".
Пусть я в целом и сторонник открытого кода и инструментария (метафора про кухонный нож). Думается, после вышеприведенного заявление писать можно. Есть шанс, что Гитхаб выдаст. Кто бы только занялся? Коммитит он из часового пояса +0500 (коммит восьмого мая 2025 и другой 12 окт 2024 г.). Гитом он пользоваться не умеет, потому что каждый коммит - либо через редактор веб-интерфейса, либо загрузка файлов через веб-интерфейс. Уж очень сомневаюсь, что это у него opsec такой продвинутый.
Вы обладаете достаточной экспертизой для оценки навыков анализа ПО рандомного "чела" в Интернете? Если нет - это уже субъективное мнение, с которым можно и поспорить.
Давайте спорить на основе issue 12 (остальные с негативом: 5, 7, 9, 13, и 17 - а это уже личное), отдельно сейчас более времени тратить не буду. После вас.
К слову не всё, что сгенерировано нейросетью шлак.
> Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах
Да и... где гарантии, что Ваш комментарий не сгенерирован нейросетью?
для которых всё, что публикуется в Интернете и не согласуется с личным мнением "сгенерировано нейросетью".
:)
Давайте спорить на основе issue 12
Пожалуй, смысла с вами спорить нет (как и с этим issue), поскольку в тексте "авторского исследования" (из изначального репозитория) прямых указаний на связь между README.md файлом и изображениями нет (либо я плохо прочитал, либо связь никак не обозначена). Изображения там действительно странные, вопросов нет, но и связи этих изображений с README.md тоже нет.
Я не считаю, что к такому исследованию нужно относится как к истине в последней инстанции (ещё раз это подчёркиваю, видимо из предыдущего комментария моего это не было понятно). К этому "исследованию" нужно относится просто внимательно, оно не идеально, разумеется и имеет свои недостатки. Своим комментарием вы просто показали другую сторону этого "исследования". Надеюсь в будущем будут появляться новые подобные работы, с более серьёзной аргументацией и фактами.
"Детективное расследование" не выкупил, смотрится скорее смешно и нелепо, чем серьёзно. Человек может просто изучал искусство написание вредоносного кода чтобы потом работать "белым хакером" или ИБ'шником в какой-нибудь конторе (причём уровень этого спеца, судя по программному коду (а пишу я его каждый день много и часто) скорее всего Junior). Вы же не знаете, где именно он этот код использует? Вот и нет смысла рассуждать о его "вредоносной деятельности", просто "предполагая".
По сути большая часть этих issues - чушь, бредятина и хрень какая-то, которая не имеет никакого отношения к изначальному "исследованию" размещённому в README.md. Есть даже политические issues, которые тут вообще не к месту (хотя, судя по всему, вас они очень даже интересуют, раз вы их сюда разместили, но это не удивительно).
Вы же не знаете, где именно он этот код использует? Вот и нет смысла рассуждать о его "вредоносной деятельности", просто "предполагая".
Можете снести все эти мои предположения не очередным набросом отвергая очевидное, а пройтись вслед за сообществом, где он тусуется.
Есть даже политические issues, которые тут вообще не к месту (хотя, судя по всему, вас они очень даже интересуют, раз вы их сюда разместили, но это не удивительно).
Разместил всё, до чего добрался, потому что это всё вымоется скоро из кэша. См. начало комментария. У американцев есть очень меткая поговорка про assume. Nice try.
Абсолютно верно, те кто орет во все дыры "сгенерировано нейросетью!!!" сами особо не отличают текст нейронки от текста человека, и естественно текущие нейронки умнее таких людей в любой экспертизе.
Отсутствие внятной структуры в том документе и повторения дважды пункта 4 про AndroidManifest один раз с кратким описанием, а другой раз списком -- я даже не знаю, чем иным назвать бы было в прошлые времена?
Но хорошо, вы-то мне скажете, каким образом разрешения на стоковом Android допускают получение root (!!!) доступа?
На основе анализа AndroidManifest.xml, прямых разрешений, указывающих на возможность патчинга системных файлов, получения root-доступа [...] не обнаружено. Также отсутствуют явные упоминания о рутинге или эксплойтах в самом манифесте.
1). У меня нет ничего из этой тройки, да и врядли будет. А кроме разрешений, они все еще и деанонят пользователя при создании аккаунта. Это ответ на вопрос почему "врядли будет". Есть куда более этичные месседжеры.
2). Во всей истории с критикой Макса, как нетрудно заметить, что за те, мягко скажем, "неодназначные свойства", которые в избытке имеються у всей упомятой в посте троицы критикуют ТОЛЬКО Макс, а у двух других этого же упорно НЕ замечают.
1) А у меня теперь есть все трое, потому что вацап и телега являются популярным средством связи у тех, с кем я общаюсь по работе и вне её, Макс же поставил вынужденно, потому что мне каждый день нужны видеозвонки, а их этим двум обрубили; как по мне, "одно кольцо, чтоб править всеми" для меня просто очень давняя мечта, и я лишь порадуюсь, если вацап и телегу совсем заблокируют или как-то запретят с внушительным обоснованием, чтоб я мог всем контактам объявить "отныне только палантир!" А то каждый первый считает, что он имеет право выбрать, в чём будет отправлять мне сообщения, и удивляется, а то и обижается, если у меня нет желания ставить ещё один пожиратель батарейки и подглядыватель за моей жизнью. И я боролся с вацапом не один год, но пришлось-таки его пустить обратно в свою жизнь. Сейчас вот всячески уклоняюсь от установки внутрикорпоративного мессенджера на смартфон. Хорошо хоть пользователи "этичных анонимных мессенджеров" не заставляют меня общаться с ними именно в них!.. ну или в нашей стране таких пользователей, как я подозреваю, менее процента от общего числа.
2) Это давняя игра оппозиции в нашей стране в чёрное и белое. Они будут кричать, что у Лады колёса на резине и она ездит на бензине, а когда начинаешь спрашивать про Форд с Фльксвагеном, сразу вянут и начинают сыпать словечками "вотэбаутизм", "ты лахтинский бот", "ну ещё скажи что у них негров линчуют!" и так далее. А так как они весьма крикливы, их хорошо слышно.
3) Добавление ко второму пункту. Как было указано в посте, над падением репутации Макса стараются не только противники, но и сторонники. Нельзя внушить всенародную любовь к чему-то просто взяв и ограничив/запретив привычные альтернативы, по моему ворчание народа на эту тему вполне понятно. И это ворчание оппозиционные силы пытаются всячески раздувать по вполне понятным опять же причинам - тут им прямая выгода.
Вообще п.1 лечится принудительным стандартным протоколом (типа как SIP в телефонке или IMAP в почте, только с человеческим лицом). И дальше ставь любой клиент по вкусу и пользуйся.
Если заинтересовать в этом опсосов, то они очень быстро такое продавят. Ещё и за копейку малую приоритет голосового/видео трафика организуют, чтоб не лагало.
Но, увы, увы, мечты-мечты. Каждый майор и бизнесмен хочет доить свою корову.
Хотя блин, звонки у всех и так ходят через стандартный WebRTC, стандартизовать надо только сигнализацию...
Когда-то, во времена джаббера был у меня nokia n9 и в него можно было добавить все актуальные на тот момент способы общения прямо в стоковое приложение "сообщения". Аська, вконтакте, одноклассники, даже скайп добавлялся (но он был встроен в систему изначально). Просто объединяешь различные соцсети одного контакта и общаешься через что хочешь внутри одного приложения. А потом все ушли в шифрование всего и вся, а джаббер забыли.
Чуть позже этот подвиг повторил Blackberry с BB Hub-ом. Сообщения из почты, скайпа, телеги, вотсапа и т.п. концентрировались в одном приложении. Правда, часто для ответа открывалось просто оригинальное приложение, но все равно это давало возможность обозревать все сообщения в одном таймлайне и одном месте.
В целом оно и сейчас доступно в гуглплее, но времена поменялись, эх...
Судя по вашему тексту о неких "оппозиционных силах", ваше отношение к ним не сказать, чтобы благодушное. Они, кстати, прямо сейчас с вами, в одной комнате? Могу ли я сделать вывод, что для вас данная "оппозиция" неприемлема в принципе?
как по мне, "одно кольцо, чтоб править всеми" для меня просто очень давняя мечта, и я лишь порадуюсь, если вацап и телегу совсем заблокируют или как-то запретят с внушительным обоснованием
Да, кажется, могу)
я лишь порадуюсь, если вацап и телегу совсем заблокируют или как-то запретят
Главное потом, порадовавшись, не кричать: "Товарищ Сталин, произошла чудовищная ошибка, нас-то за что?!" А то уже были прецеденты..
Макс же поставил вынужденно, потому что мне каждый день нужны видеозвонки, а их этим двум обрубили;
Так звоните во ВК, в чем проблема?
я лишь порадуюсь, если вацап и телегу совсем заблокируют
просто напомню, что политолог Сергей Марков очень радовался запретам и блокировкам, и всячески требовал признать как можно большее количество людей иноагентами
вотэбаутизм это когда приплетают ладу что она на резине и она ездит на бензине, а не потому что это «дешёвое» и плохое авто.
троицы критикуют ТОЛЬКО
Эээ, вы видимо прошлые десять лет пропустили. Телеграм с ватсапом критиковали все кому не лень, а первый еще и раньше блокировали, отсюда и кажущееся "положительное отношение" (дискорд и вайбер так и быть не будем даже вспоминать, хотя дискорд для связи с репетиторами я использовал, он был весьма полезен). Можете на хабре поискать, так ватсап здесь от Дурова критика была Почему WhatsApp никогда не станет безопасным / Хабр.
А так, к маху отношение ровно такое, насколько хамскими методами его продвигают. Если хамоватый мессенджер который агрессивно рекламируют из всех щелей, то и отношение к нему сложное. Заметно достали с рекламой всяческой ненужной коммерческой чепухи, да еще через государственные сервисы. Мало того, позвонить пожилой родне - невозможно (да и гугл-мит использовался для репетиторов после того как заблокировали дискорд), хотя годами прекрасно работало через проверенные и отобранные средства. Если люди выбирали какие-то программы, то были важные причины и эти причины никуда по решению госолигархии не исчезли, отсюда критика хамоватых коммерческих продвижений мутных программ. Кроме всего прочего, все хорошо помнят судьбу других нацпроектов, вроде "Спутников", "Атомов" или даже Роснано, где хитрые люди из госолигархии обогащаются, а потом проекты исчезают - нет гарантии, что мах не махнут на что-то еще и состригут еще денег с населения.
Резюмирую: хамоватые методы продвижения, ломание интернет-связи, грязная реклама маха, ухудшение жизни людей.
Так критикуйте хамские методы продвижения, как специфику связанную с Максом. В моем коменте ведь точно указано, что куча сомнительных моментов присущих всей троице критикуеться только у Макса, что автоматически вызывает сомнительное отношение к такой критике.
критикуйте хамские методы продвижения
Эээ, а вы что сейчас прочитали?
критикуеться только у Макса
Перечитайте пожалуйста. Критикуются все мессенджеры, тем более популярные. Мах просто довольно мутный выпрыгнувший "чертик из табуреткитабакерки" и все вместе создает ауру распильного творения, соотвественно, у людей появляются вопросы прямо сейчас к прямо сейчас выплывшему на поверхность воды неизвестному и подозрительному приложению, которое всем и каждому агрессивно продавливается на их личные устройства. Критика к резко выплывшему нечту - вполне ожидаема и скорее необходима. Если бы была бы речь про бесплатную раздачу смартфонов от государства с предустановленными сервисами, то дело иное - можно отложить и не пользоваться, а на личное устройство устанавливать что-то новое - не у всех есть желание, рекламного предустановленного мусора сейчас хватает. Или если бы только чиновники перешли на мах всей гурьбой, то тоже не было бы вопросов, это госкорпоративная причина (им и смартфоны частенько выдают), но не на личные устройства (тем более бывают старые и уже переполненные предустановленной рекламой). Иными словами, быстро появился, непроверен и всех заставляют этим пользоваться (в отличие от других двух), в таком сыром решении наверняка ошибки и проблемы (на хабре найдутся люди, которые приложения после пары лет использования широким кругом пользователей установят - нельзя сказать, что осторожные не правы, так как примеров утекающих данных из сервисов связанных с государством хватило всем и каждому - по видимому к приватности и надежности там относятся крайне небрежно). И это все!
Вот вы купили дорогие телефоы себе и родным ради связи и показа внуков, специально ездили, выбирали, настраивали и потом работало как часы. А в один непрекрасный день все ваши покупки и усилия оказались напрасными - ни связи с интернетом, ни настроенных у родни в селах приложений, чтобы востановить часть функций нужно проделать половину дел заново. А если у вас какие-то дела были с зарубежом (включая бывший СНГ) - так и вообще забудьте (если это коммерческие, то им тем более неприятно переходить на непроверенные серые приложения). Поэтому людей понять можно. Конечно лучше на свои решения переходить, но и на это нужно время (может кто-то опубликует статью).
Max навязываться государством, причём государством полицейским, карательным в отношении инакомыслия. Причем навязывается очень топорно, и еще и под лозунгом заботы о гражданах.
Поэтому и отношение к нему ровно такое, как к навязавающему его. У прочих-других тоже, конечно, есть куча нюансов и недостатков, но во-первых в сравнении их можно простить, а во-вторых если не можно простить, то есть выбор.
Погодите. Получается, что если мне кажется недостойным поведение, например, Ларисы Ивановны, я не могу её критиковать, не перечислив всех остальных женщин с аналогичными недостатками? Или вы считаете, что если ваш сосед бьёт жену, вас нельзя критиковать за аналогичные дейстивия, это типа оправдание такое?
Если в обществе есть некая сложившаяся норма (бить жену, писать месскджеры с кучей разрешений), то критиковать за такое поведение как-то странно. В таком случае обсуждать надо скорее саму норму, чем одного из ее последователей. Не "Вася плохой, он бьёт жену", а "Бить жен плохо, что мы можем с этим сделать?"
Кому надо? Мне не надо. Если вам надо и вы хотите обсудить общество, пожалуйста. А у меня претензии к Васе в данный момент. А кивать на соседей и общество меня в детском саду отучили.
Это ложная дихотомия. Можно параллельно критиковать Васю и сложившиеся порядки. И это не обязательно делать одновременно в каждом предложении. А вот кричать "Да что там Вася, когда все Нижние Грязищи жён бьют" или "Да что там Нижние Грязищи, когда вот рядом сосед Вася жену бьёт" - это чистая демагогия.
как мне кажется, в MAX больше пугает не сам факт хранения каких-то данных, а то с какой целью их будут использовать в нынешних реалиях
А что может пугать, если ты обычный, законопослушный, гражданин? Если ты что-то затеваешь - да. Так и должно быть.
Скорость изменения законов пугает.
А в России сейчас есть законопослушные граждане?
А что может пугать, если ты обычный, законопослушный, гражданин? Если ты что-то затеваешь - да. Так и должно быть.
В 2025 году читать такой комментарий и смешно и грустно... 🤦♂️
Вы дверь в туалет закрываете? Зачем, что такого предвзятого там может делать обычный, законопослушный, гражданин? А может вы чего-то затеваете...
Upd. Зашёл в профиль, это бот, вопросов более не имею.
Ваш законопослушный гражданин уже полюбил цыган?
Угу. А потом ты без всякой задней мысли посылаешь смайлик с Билли Херингтоном, и вот ты уже пропагандист ЛГБТ.
Законопослушные граждане тоже могут что-то затевать , вполне законное, но "служителям закона" неприятное.
Для этого в теории полагается менять служителей как презервативы и сохранять альтернативный механизм законного, но очень неприятного затевания .
На практике во всем мире годов так с 1970-х возможность такого затевания старательно уменьшалась, сопровождаемая пропагандой его неважности и ненужности.
Поэтому нет, так не должно быть. Хорошее общество - это общество, где сохраняется баланс сил.
В 2025 году ты не можешь быть уверенным, что ты законопослушный гражданин, даже если ты ничего не делаешь.
А вот педиатр, которой 5 лет дали - она что-то затевала, была недостаточно законопослушной?
Для меня, как для пользователя, ярким маркером в MAXе является отсутствие возможности пожаловаться на собеседника, что он мошенник.
Я был бы не против, чтобы после накопления критической массы жалоб на юзера, товарищ господин майор изучил бы жалобы, и инициировал (или нет) уголовное дело.
У меня есть название для этой фичи - «Постучать».
То есть, выявить преступника, это постучать? У вас по Русскому какая оценка была в школе?
У вас по Русскому какая оценка была школе?
А у вас?
Шутки про товарища майора всем нравятся, а про стукачей нет? ;) У нас пока вроде преступником человека назначает только суд, а не кнопка?
Мне кажется в этом месенджере все будет прекрасно.
То есть, выявить преступника, это постучать?
Человек может быть признан преступником исключительно по решению суда.
У вас по Русскому какая оценка была школе?
А у вас какая?
Слово «русскому» по правилам того самого русского языка должно быть написано со строчной буквы, а не прописной.
Я правильно понимаю, что если вы видите, как кто-то отобрал кошелек у старушки, то вы не станете помогать полиции опознать его, ведь суд ещё не решил, что он преступник?
Или вы видели, как машина сбила человека и уехала, а человек без сознания, то вы не станете звонить в полицию и сообщать номер машины - ведь суд ещё не признал водителя преступником?
Да, с русским ошибся, бывает. Закончил школу 45 лет назад.
НАстучать, ага)
Отличная штука, что бы создать проблемы на ровном месте, совершенно любому не понравившемуся вам человеку.
но ведь там нет мошенников!!
МВД даже уже не стесняется заявлять, что мошенники там есть и даже что-то успешно выманили. Создатели утверждают, что всех блокируют ещё на подлёте.
*не дискуссии ради, просто наблюдение
Да. Потому что МАХ точно определяет, хороший человек или нет, по опечатку пальца, по паролю и номеру телефона. И пускает только хороших.
Мечты сбываются.
Россиянам хотят платить за доносы в Max. Общественники предлагают ввести выплаты за найденный в госмессенджере запрещённый контент. Об этом заявил общественный деятель Максим Сурайкин.
По его словам, инициативу нужно закрепить законодательно.
Для меня, как для пользователя, ярким маркером в MAXе является отсутствие возможности пожаловаться на собеседника, что он мошенник.
Гражданин, вам же сказали, все мошенники в телеге остались, в максе мошенников нет, не дискредитируйте!
Уникальные разрешения MAX (3 шт.)
DISABLE_KEYGUARDОтключение экрана блокировки (например, для воспроизведения видео при заблокированном экране).
А оно позволяет отключить экран блокировки, когда он уже активен? Если да, то это очень удобная штука для товарища майора - когда чей-то телефон уже попал в его руки, но владелец отказывается его разблокировать.
upd. судя вот по этому - да, позволяет. штош...
Очень удобная штука, с учётом того, что МАКС будет принудиловкой поставлен на большинство устройств в стране.
Хотелось бы дополнить, что если бы у Ватсапа была абсолютно такая же функция, товарищ майор не смог бы ей воспользоваться даже если бы очень захотел.
Мне кажется, это зависит от конкретных методов в коде приложения, использующих эту функцию.
То есть если сценарий работает так: пользователь получает сообщение с видео -> жмёт на уведомление на экране блокировки -> видео начинает проигрываться, экран разблокируется - то это может провернуть кто угодно. А если функция дёргается только в сценариях, которые с разблокировки начинаются - то никак не заставить.
Можно, конечно, отдельный бэкдор запилить, инициируемый, скажем, произвольным сообщением с номера 02...
Не палите товарища майора, ему теперь придется еще два десятка статей выпустить о том как у других мессенджеров больше привилегий (в штуках).
А доступ к bluetooth & NFC позволит сделать копеечные карточки-анлокеры, которые со временем будут не только у майора, но и у каждого уважающего себя гопника.
А здесь не так сказано:
https://developer.android.com/reference/android/Manifest.permission
Allows applications to disable the keyguard if it is not secure.
Я это читаю как если нет защиты, то снимет блокировку, иначе нет. Кому в итоге верить?
Жаль, что до официальной документации вы не дошли:
https://developer.android.com/reference/android/Manifest.permission
Allows applications to disable the keyguard if it is not secure.
Иными словами, если у тебя не установлена вообще никакая защита экрана - может. Если там пин-код, пароль, лицо, палец - ничего не получится. Disable keyguard можно сделать только если ты device owner (COSU и прочие девайсы, которые на этапе первого включения надо конфигурировать специальным образом) или root.
А зачем товарищу майору разблокировать чей-то телефон, если, как утверждают параноики осторожные, ему, майору, доступны все сервера и их содержимое, заботливо структурированное и подготовленное для изучения ?
Что там означенный товарисчъ может увидеть для себя нового ?
Оно не может разблокировать экран, максимум вывести свое активити. Товарищу майору это не нужно, вся переписка и так будет открытым тексом на серверах вк лежать.
Например, будильник так делает.
Так на серверах вк будет переписка только из max, но не из tg или wa.
Майору может и не нужно, а сержанту на входе в метро - очень даже.
Ну и с учетом других разрешений вполне можно порыться в телефоне не снимая лок полностью.
Это разрешение чтобы активити входящего звонка на заблокированном экране можно было вывести
А в нем уже и фоточки, и звонки и смс. А смс это вообще всё. И не надо большое начальстиво беспокоить.
Отдельный прикол, что ТамТам MAX использует библиотеки от той же Meta, которая запрещённая в РФ организация. Ну и кучку других библиотек зарубежного разлива.
А есть источник этой информации? Хочется понять как они это поняли. Потому что понять это можно только имея доступы к исходным кодам, как правило.
Самый простой - расковырять APK и посмотреть какие библиотеки в манифест прописаны, например. Можно отдельно погрепать что-нибудь формата com.*.
Приложения на андроиде - это код на Java/Kotlin, его особо сильно не компилируют в совсем бинарники, в отличие от C/C++ и обычно только обфусцируют для усложнения анализа. Схема экранов приложения есть в тех же манифестах, например - догадаться о назначении вроде не сильно сложно.
У автора вон на скриншотах сигнатуры тоже упоминаются, так что вероятно там тоже это анализировалось, но автор про разрешения решил пояснить, а не про зависимости.
Есть ютуберский разбор, есть журналисткий разбор. Там вон выше в комментариях повторили ссылку на "детальный разбор".
"В коде MAX обнаружили украинскую библиотеку uCrop от компании Yalantis, а также компоненты из США и Польши" - кто обнаружил, где опубликовал - нигде же нет. Ни в одном детальном разборе этого нет
Это было в самом начале. Обычные библиотеки которые используются для разработки. А "Украинский след", в том что в uCrop контрибьютил в 16 году Украинец который работает в Yalantis, с тех пор он хоть и мейнтенит её, но только принимает пулреквесты. Но в том исследовании уверены, что раз библиотека с ногами оттуда, то в ней сделают правки и вот вам бэкдор.
Не стоит внимания тот "разбор", там люди абсолютно далёкие от разработки под андроид в частности и от разработки в целом.
Перед вами три ссылки и три автора. Ютубер утверждает, что самостоятельно даже проверял. Я не знаю откуда у вас ваша цитата взята, но вероятно стоило бы связаться с автором, не? Ну и опять же - не хотите верить рандомам - скачайте apk и загляните в манифест и погрепайте ascii содержимое на предмет библиотек.
Дело не в количестве разрешений вообще, а в количестве необходимых разрешений, без которых программа отказывается работать. Про это в статье ни слова. И не понятно, сколько из приведенных в таблице разрешений действительно необходимы тому или иному мессенджеру.
Далее, даже если все мессенджеры стучали бы куда-то в службы, тут возникает "большая разница". Если это органы некой другой страны, то им, скорее всего, по барабану, что и как обсуждают два гражданина РФ касательно их, этих граждан, внутренних дел. А вот если это наши, родненькие органы, то они очень сильно будут проверять каждое ваше слово и стараться найти статью сами знаете какого кодекса под это слово.
Далее, вполне вероятно, что пока идёт хайп и срач, и всякие проверки энтузиастов (как будет во второй статье автора) на шпионство за вами, Макс выпускается без функции шпионажа за пользователями. А вот когда всё утихнет, тогда очередное обновление установит всю шпионскую функциональность.
Ну и наконец
хочется видеть больше технических новостей, больше информации про технические решения
Ну как же, "ловит даже на парковке!". Так скажите уже, ловит или нет??
Дело в количестве разрешений вообще, а в количестве необходимых разрешений, без которых программа отказывается работать. Про это в статье ни слова.
Я написал, что не сильно разбираюсь в Android, поэтому не знаю как это проверить, чтобы было достоверно. Возможно, кто-то вдохновится и проверит в отдельной статье )
Макс выпускается без функции шпионаже за пользователем. А когда всё утихнет, тогда очередное обновление установит всю шпионскую функциональность.
Да, от этого никто не застрахован. Поэтому я показывал версии приложений, который сравнивал. Eхodus позволяет смотреть как менялось всё от версии к версии, но MAX там пока нет.
Так скажите уже, ловит или нет??
Я, как инженер радиотехник по образованию, могу вам и так сказать, что это реклама )))
не знаю как это проверить
Элементарно. Если программа отказывается продолжать без получения разрешения (а вы пытаетесь продолжить, не давая разрешения) или при рестарт программа она отказывается работать, пока вы не дадите разрешение, то это разрешение необходимое. Логика.
Eхodus позволяет смотреть как менялось всё от версии к версии
Что именно он смотрит? Потенциальные разрешения в самом бинарнике? Разрешения, которые уже даны? Непонятно. Но в любом случае он врядли показывает именно необходимые разрешения. Хотя не уверен
как инженер радиотехник по образованию, могу вам и так сказать, что это реклама )))
Блин, а я думал, что это даже ёжики знают, а не только инженеры-радиотехники) И да, это не реклама, а прямая ложь и дезинфоомация.
К слову, WhatsApp прекрасно работает без разрешений на камеру, медиафайлы, микрофон.
1) не совсем логика ) MAX запускается вообще без разрешений. Дальше, хочешь видео - дай разрешение, хочешь звонить - дай микрофон и т.д. Я просто не знаю, есть ли разрешения, которые пользователю не нужно давать в явном виде и как разные версии Андройда с этим работают.
2) exodus - посмотрите инфу на сайте. Все ссылки я оставил
3) Рекламу тоже не дураки делают. Далеко не все понимают как распространяются радиоволны. Я бы сказал, что большинство не понимает.
прямая ложь и дезинфоомация
Никто не обещал, что будет ловить на любой парковке ;-) А на какой-то - ну, наверно действительно ловит)
Это все равно ложь, потому что ловит не МАХ, а ловит телефон. Тщательнее)
Такое ощущение, что вы считаете себя самым умным. Да, физически волну ловит телефон, но то, как вы обработаете этот сигнал зависит от программы, которой нужен или не нужен какой-то конкретный диапазон или протокол. ПО запрашивает разрешение на использование датчиков. А то, что отследить человека можно по телефону без какого-либо установленного макса и так всем понятно, кроме ёжиков, потому что ёжик - животное. И если вкладываете скрытый смысл в слово "ловит", то учитывайте тот факт, что помимо одного значения этого скрытого смысла тут народ найдет еще пару тройку значений скрытых смыслов, о которых вы и не подозревали, поэтому лучше в явном виде излагать то, что хотите донести, или, если уж боитесь - не излагать и не путать других.
не знаю как это проверить, чтобы было достоверно. Возможно, кто-то вдохновится и проверит в отдельной статье )
Самый простой вариант - методом "тыка" (что соответствует возможностям рядового пользователя), на отдельную статью не тянет.
WA точно работает без:
доступа к контактам;
доступа к метосоположению;
доступа к микрофону;
доступа к камере;
доступа к вызовам;
доступа к sms;
доступа к файлам;
доступа к состоянию Wi-Fi;
доступа к BT;
доступа к ярлыкам на рабочем столе;
доступа к экрану блокировки;
Telegram точно работает без:
доступа к контактам;
доступа к метосоположению;
доступа к микрофону;
доступа к камере;
доступа к списку вызовов;
доступа к вызовам;
доступа к файлам;
доступа к ярлыкам на рабочем столе;
доступа к экрану блокировки;
Это в режиме "запрещено". Запрещать уведомления не пробовал.
Максом не пользуюсь и экспериментировать интереса пока не возникло - будем ждать отзыва от тех, кто его себе установил.
Вот про родные органы казалось бы логично все, но по факту оказывается что эти самые органы как правило вообще ничего делать не хотят, даже не то что могут а то что обязаны.
Поэтому есть у меня обоснованные сомнения во всех этих утверждениях про старания найти статью на каждого гражданина.
Для отдельно примечательных граждан, да, без сомнения. Ну так издержки рода деятельности, революционеры и конспирация всегда рядом.
Есть разрешение, которое вы даете по умолчанию при установке этого мессенджера. Давайте условно назовем его так: SEND_DATA_TO_FSB_WITHOUT_NOTIFICATION. Остальные разрешения уже вторичны.
У меня одна из кастомных прошивок Xiaomi.eu выводит классную статистику о действиях:
какое приложение сколько раз и когда запросило действия по тем или иным разрешениям или автозапуску. Когда система отказала.
Вот правда сравнивать с максом не буду... Во-всяком случае пока.
Имхо. Если разработчики хотят доверия к своему продукту от пользователей и инженеров надо делать как MS. Выкладывать исходники.
одно дело опубликовать исходники клиента и серверной части, а другое дело быть уверенным что на серверах работает именно этот код без "дополнительных модификаций", удостовериться об этом естественно нет возможности а выражение "джентльменам верят на слово" тут не подходит.
Для этого есть аудит других независимых компаний, которым дают доступ к исходникам и потом они подтверждают. Но это надо искать такие компании, которым вы поверите. А самое главное, "доверяй, но проверяй", пока сам не посмотришь никому доверять не будешь. Если уже привык никому не доверять и включать паранойю. Поэтому если ты не доверяешь, то никакие проверки тебе не дадут уверенности. Ты же даже сам можешь придти и посмотреть код на сервере, а после твоего ухода поднимут другой код, правильно? Вот и всё, если ты не доверяешь, то ты всегда найдёшь причину не доверять.
все верно, врятли конечно этот аудит будет вообще проводиться, темболие независимыми аудиторами из "недружественных стран", а доверять результатам отечественных аудиторов дело глупое.
А из недружественных стран не глупое? они нам тоже исходники не дадут\ют посмотреть (я имею ввиду какой нибудь телеграм или ватсап условный не даст независимым крупным студиям аудит своих серверов, даже не нашим, а каким нибудь китайцам или кому нибудь из европы, типа венграм)
насколько я знаю из более-менее известных мессенджеров независимый аудит проходили только Signal и Threema. А тем кто не пожелал проходить аудит значит есть что скрывать. С другой стороны если у вас уже есть более миллиарда пользователей то можно и не париться с аудитом, а то вдруг что аудит cнова подсветит что E2EE отсутствует и на сервере сообщения лежат в чистом виде.
Какие выводы, а главное зачем?
В MAXе есть сквозное шифрование звонков и сообщений? Нет. Это достаточный и весомый повод никогда им не пользоваться.
В Максе по глупости(или некомпетентности начальства) забыли про эту чисто маркенговую фичу. Ведь потребителю важно "есть" "нет".
Насколько это реально влияет на конфиденциальность обмена информацией звонящему с парковки все равно непонятно.
а где есть? и главное, чем докажешь, что оно есть и работает так как сказано?
просто интересно
Как надо для доящих свою корову везде.
Достаточно сказать, что синхронизация ключей шифрования по тому же каналу, по которому передаются как бы затем "зашифрованные" сообщения подвержена классической уязвимости "человек по середине", а вся эта троица проксирует трафик через свои сервера.
Есть и более тонкие моменты, связанные с тем что ключ короче инфы им с позволения сказать зашифрованной(а именно на этом хакнули Энигму, пользуясь компом слабее Ардуины) но уже сказанного абзацем раньше достаточно чтобы шифрование было лишь маркетинговым.
В бете Макса маркетиговую фичу со сквозным шифрованием не вставили либо по недомыслию маркетологов либо по некомпетентности начальства.
правильно реализованное сквозное шифрование не подвержено митму, смотри реализацию сигнал, телеграм.
В правильно организованном сквозном шифровании ключ не передаётся по тому же каналу что и шифруемое им сообщение.
В Телеграмм где все в одном канале передается, для синхронизации сесеионных ключей применяется алгоритм Диффи-Хеллмана-Меркля, что неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”.
Алгоритм Диффи-Хеллмана-Меркля уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда. Он лишь защищает от перехвата ключа пассивной прослушкой. Не путайте круглое с зелёным.
Есть и более тонкие моменты, связанные с тем что ключ короче инфы им с позволения сказать зашифрованной(а именно на этом хакнули Энигму, пользуясь компом слабее Ардуины)
Предлагаете всё шифровать одноразовым блокнотом?
чем докажешь
Забыл, что я на сайте маркетолухов, а не программистов. Вторым хотя бы известны аббревиатуры типа E2EE.
Доказывать олухам ничего не собираюсь, есть протоколы, есть публичные security whitepapers, независимые аудиты компаниями с репутацией и стандарты, а так же публичные методы проверки и сравнения и верификации ключей.
>есть сквозное шифрование звонков и сообщений
а это будет удобно для неуловимых джо? например в element нет поиска в принципе, как понимаю из-за того что всё-зашифрованным-якобы-хранится. и это офигенный минус элемента. мы его по работе пытаемся использовать.
например в element нет поиска в принципе
Даже локального поиска нет? Сообщения просто исчезают и не хранятся вообще нигде?
В мобильных клиентах кстати нет, как и ещё много необходимого функционала. Пользуюсь Матриксом пару лет, нормальных клиентов под протокол просто не существует, в полуофициальном (Элементе) issue на гитхабе висят по пять лет
Сообщения хранятся зашифрованными и расшифровываются на лету, видимо. Поиска нет, а скроллить можешь до посинения и искать глазами.
в web-клиенте то же самое. Хотя никакое энергосбережение тут не нужно.
гы-гы, цена безопасносте.
В рабочих чатах, где нет запрещенки, это всё очень "радует"
они уведомления только недавно починили. год назад ещё и уведомления не работали в ванильном андоиде. открываешь element - и тебе пачка прилетает, оказывается весь день тебя долбят, а ты и не знаешь. сейчас более менее ок с этим.
Я уверен, реализуют. Потому что, ну, внедрят они это шифрование... ключей будет несколько, и один - у товарища майора. А ещё всё, что будет до шифрования, тоже будет у майора, только в виде логов - чисто технически это легко реализуется.
Пустить лишний раз пыль в глаза наличием E2E они не преминут.
вирусы для смартфона обычно скрывают свои желания хорошо /сарказм
Хабр превратился в пикабу, от логики куда-то добрая половина аудитории перекочевала в сторону эмоций и фантазий. Рассуждения уже идут не о сути (приложении, разрешениях, передаваемых данных и т.д.), а о фантазиях, предположениях, что может быть кто-то там, где-то там, что-то с этими данными будет делать. В рамках рассуждения какой-то околокухонной политики это было бы уместно, но когда под техническими статьями на полном серьезе начитается обсуждение "я не верю что мне за то что я пишу ничего не будет" или "ну он же может за мной следить, если не сейчас, то когда-нибудь", это вызывает у меня недоумение. Тем более странно, учитывая что можно вообще не давать разрешений, которые давать страшно.
Спасибо за подобную статью со сравнением, интересно было бы еще увидеть какой-то мониторинг того, что передается по сети (если такое возможно проверить), а еще лучше препарировать сам мессенджер (опять же если это сделать возможно), посмотреть что у него в начинке
Спасибо Вам за обратную связь!
что может быть кто-то там, где-то там, что-то с этими данными будет делать
ООО "ВК" состоит в реестре организаторов распространения информации в сети Интернет. У ОРИ есть по закону обязанность хранить на территории РФ полгода и передавать органам информацию о факте передачи сообщений / аудио / видео и сами эти сообщения, а также, при передаче от одного пользователя другому идентифицировать их, а в случае использования шифрования - предоставлять ключи для расшифровки. Всё не только предельно прозрачно, но и описано в законах много лет назад.
С 28.06.2017 "Telegram Messenger Limited Liability Partnership" значится в этом реестре
за номером 90-PP
А WhatApp LLC - за номером 458-PP
Да, но уровень соблюдения законодательства (а также статистика уголовных дел на пользователей) у них и у ВК несколько отличается:
Мессенджеру WhatsApp грозит штраф до 18 миллионов рублей за повторный отказ локализовать персональные данные россиян.
В Москве мировой судья оштрафовал Telegram Messenger Inc за нарушение закона о локализации персональных данных и неисполнение российского законодательства.
Вот сейчас "альтернативу" приготовили, и можно будет и заведомо неисполнимые штрафы назначать, как для Google.
Рассуждения уже идут не о сути ... а о фантазиях, предположениях, что может быть кто-то там, где-то там, что-то с этими данными будет делать
Есть такая штука, давно уничтоженная в России - институт репутации. Не в последнюю очередь из-за этого весь сыр-бор. А ещё отсутствие открытости и честности с пользователями, отчётов о прозрачности, агрессивный маркетинг и тесное переплетение с государственной машиной — это не даёт никакого шанса на реабилитацию в глазах ИТ-сообщества ни приложению, ни разработчику, ни пиарщикам.
Коллеги, давно напрашивается вопрос. Возможно ламерский, я ведь электронщик, с небольшим опытом классического программирования в прошлом.
В сети много пишут о том что Max глубоко внедряется в андроид, перехватывает данные других приложений, отсылает периодически фото и аудио поток с микрофона, и тд. Может тайком включаться когда ему надо без видимых признаков, и прочие страшилки...
С моей точки зрения это или абсурд, или недостаточно понимаю устройство андроида. Если Max предустановлен как системное приложение, тогда конечно может всё что угодно. Но насколько понимаю, на нерутованном смартфоне приложение может установиться только как обычное (не системное), работает строго в границах выделенной ему памяти, и не может соваться в данные других программ, и тем более внедряться в систему. Это так, или как говорится "так, но есть нюансы"? И можно ли отменить ему некоторые разрешения на аппрарате без рута?
По личному опыту, раньше я рутовал свои смартфоны, но с самсунгом S10 на андроиде 12 уже не вышло. Научился неплохо жить и без рута. Поотключал всё что ненужно через adb, большинству приложений запретил работу и интернет в фоне, плюс ограниченное использование батареи. Много чему перекрыл доступ в интернет посредством Pcapdroid. В результате батареи хватает на 3..5 дней на одной зарядке, нет рекламы, и нету отвлекающих уведомлений. Я не министр обороны чтобы ежесекундно быть на связи) Кстати расход батареи - отличный индикатор несенкционированной активности приложений, который наверное не обмануть.
Андроид более разнообразен по количеству используемых версий, так же добавим сюда разнообразие источников установки приложений, это всё складывается в огромный вектор для злоупотреблений.
По поводу системных\глубоко внедряется и т.п., давайте дождёмся 1го сентября, вроде как тогда должны(или обязаны?) начать предустанавливать МАХ на новые смартфоны.. вот и посмотрим, в том числе на apple..
Не знаю как на других телефонах, но на всех моих android устройствах можно сделать абсолютно любое приложение системным без рут прав
Можно например следить за трафиком на устройстве. Как например работает множество подобных утилит типа Wireshark. Просто висеть на портах и ловить все что туда сюда гоняется. А потом эти пакеты отправлять на сервера Макса для дальнейшей обработки. Трафик на серверах скорее всего будет обрабатываться нейросетью. Далее будет происходить обработка по микропрограммам в зависимости от тяжести события куда ты заходишь, что пишешь и кому - тебе будет начисляться либо автоматический штраф либо статья УК РФ. Что такое будет сделано - уже можно не сомневаться по последним законам. Можно периодически делать скрины экрана. Отслеживать входящие SMS или всплывающие окна. Получать содержимое буфера (текст, какие то метаданные). И делать многое другое по сути не вмешиваясь в работу сторонних приложений. Тут уже все зависит от разработчиков их опыта и маниакальности заказчиков.
На счет рута - вот почему то я на 100% уверен что данная скрытая системная опция существует как раз по заказу спецслужб. На уровне ФСБ разных стран - думаю договориться о получении доступа к этой операции будет не сложно.
Кстати вот да - если трафик Макса не будет шифроваться то на любом из звеньев сети этот трафик можно перехватить и использовать в своих корыстных целях. Например как раз собирать компромат. Воровать пароли и делать все что угодно с полученными данными.
Недавно попадалась новость там протестировали корейский телефон (тут помоему на хабре статья даже была) который вывезли скрытно из страны. Там их аналог Макс делает периодически скрины экрана смартфона и складывает их в отдельную папку. Чтобы их патрули при случае могли полистав эти скрины удостовериться что клиент не нарушал закона.
Можно например следить за трафиком на устройстве. Как например работает множество подобных утилит типа Wireshark. Просто висеть на портах и ловить все что туда сюда гоняется.
Зачем вы взялись отвечать на вопрос, в котором не разбираетесь? Для Android нет Wireshark и доступа к данным и трафику других приложений нет. Чтобы перехватывать трафик в Android необходимо создать локальный VPN сервер, подключиться к нему через системный профиль VPN с ручным подтверждением от пользователя и анализировать трафик проходящий через этот локальный сервер.
Разрешение на создание профилей VPN и подключение к ним запрашиваются системой у пользователя в явном виде и не могут быть скрыты приложением. Потому приложений скрыто от пользователя следящих за интернет‑трафиком других приложений на Android не существует.
А @xirahai верно сомневается в понимании авторами «разоблачений» принципов работы ОС Android. В плане возможности слежения за другими приложениями у MAX нет никаких преимуществ перед WhatsApp. А что они оба делают с вашими переписками внутри них — уже другой вопрос.
Это было лишь предположение. Под андроид я с этим не баловался. Тут согласен. Там нет этого. Протокол для передачи используется WEBRTC если интересно. Вчера поковырял apk ку ради интереса. Ну что могу сказать опасения о сборе инфы реальны - много чего собирает. И да подтвердилось что есть разрешения на получение скринов экрана, получения установленных приложений и прочего с возможностью работы в фоне.
Согласен также на счет куда эти данные потом пойдут и с какой целью.
Под андроид я с этим не баловался
Ну что могу сказать опасения о сборе инфы реальны - много чего собирает. И да подтвердилось что есть разрешения на получение скринов экрана
Делать снимок экрана в Android без root и системных прав можно только для своего собственного Activity.
Фоновые службы — это типично для приложений Android, тем более для мессенджеров.
Получение списка установленных приложений в Android необходимо даже чтобы просто открыть системное окно настроек прав для вашего приложения.
Необходимость тех или иных разрешений в Android вовсе не всегда очевидна из их названия для новичка. Если вы серьезно не занимались разработкой под Android, то ваших знаний недостаточно для проведения какого‑либо анализа приложения. Изучайте документацию, пишите код, тестируйте. А пока все что вы тут делаете — просто вбрасываете дезинформацию.
Получение списка установленных приложений в Android необходимо даже чтобы просто открыть системное окно настроек прав для вашего приложения.
Глупый вопрос непосвященного - а зачем его вообще выводить? Попросишь что-то сделать, что правами закрыто - система спросит "разрешить или нет?" и запомнит. Нет?
Часть разрешений нельзя запросить у пользователя, а они выдаются Google Play автоматически. Но при установке приложения из других источников эти разрешения не будут выданы. И все, что остается приложению — показать инструкцию как зайти в необходимый раздел настроек и что нажать, или же открыть нужное окно настроек автоматически, что куда удобнее для пользователя.
Часть разрешений нельзя запросить у пользователя, а они выдаются Google Play автоматически.
Например?
Документация на русском языке открыта для всех. Чаще всего это: REQUEST_INSTALL_PACKAGES, SYSTEM_ALERT_WINDOW, WRITE_SETTINGS, BIND_ACCESSIBILITY_SERVICE, PACKAGE_USAGE_STATS.
Там под пунктом 6:Запросить специальные разрешения и пример кода, который демонстрирует
пользователь должен предоставить специальные разрешения на странице «Доступ специального приложения» в системных настройках. Приложения могут перенаправлять пользователей туда с помощью намерения, которое приостанавливает работу приложения и запускает соответствующую страницу настроек для данного специального разрешения.
Т.е. то самое "или же открыть нужное окно настроек автоматически, что куда удобнее для пользователя."
Утверждается, что оно не сработает, если у приложения нет возможности получить список приложений?
Для указанного в примере ACTION_REQUEST_SCHEDULE_EXACT_ALARM сработает и без списка приложений.
А, например, для запроса ACTION_REQUEST_IGNORE_BATTERY_OPTIMIZATIONS необходимо указать package URI, для получения которого требуется разрешение на чтение списка приложений.
Input: The Intent's data URI must specify the application package name to be shown, with the "package" scheme. That is "package:com.my.app".
Приложение своего собственного URI не знает что ли?
Смотря в каком случае. Если это целостное приложение из одного пакета, то знает. Если это подключенные внешние компоненты, как например плагины в Total Commander для Android, то нет. А уж если по ответам StackOverflow или LLM писать код, то можно запрашивать и без надобности. Скорее всего это связано с тем, что до Android 11 этот запрос не требовал специальных разрешений и использовался всеми подряд без особой необходимости.
Я смотрю вы-то читать документацию умеете. А значит может лучше прямо спросите что вас интересует, но в ней отсутствует, а не будете ходить вокруг да около, создавая бесконечный диалог?
А значит может лучше прямо спросите что вас интересует, но там отсутствует, а не будете ходить вокруг да около, создавая бесконечный диалог?
Я суда сунулся с аргумента
"Получение списка установленных приложений в Android необходимо даже чтобы просто открыть системное окно настроек прав для вашего приложения."
И дальше оказалось, что тезис не такой общий - это нужно только для некоторых разрешений и некоторых модульных приложений.
Поэтому хочется узнать - название разрешения у этого самого MAX(вроде бы его обсуждаем), которое нельзя запросить, не имея разрешения на получение списка установленных приложений.
Мессенджер MAX и не имеет такого разрешения, это все еще следствие неопытности @GambitOZ в попытке его анализа. Вероятнее всего он интерпретировал разрешение REQUEST_INSTALL_PACKAGES как получение списка всех приложений. Но на самом деле это разрешение позволяет только установить приложение или его обновление. Оно есть у MAX, WhatsApp и Telegram для обновления без работающего Google Play.
Не дайте себя запутать - количество разрешений не является существенным фактором. Пусть оно хоть никаких не запрашивает. Самое главное разрешение - возможность у кого надо читать ваши переписки. Может у WA или TG есть такие же возможности, но как всегда есть нюанс - пусть лучше мои переписки читает условный Джон, потому что "ахаха что ты мне сделаешь я в другой стране", чем читает районный прокурор при галстуке с портфелем
пусть лучше мои переписки читает условный Джон, потому что "ахаха что ты мне сделаешь я в другой стране"
Совершенно ничто не мешает Джону передать ваши переписки районному прокурору, более того, он наверняка обязан это сделать согласно каким нибудь бумажкам, временные политические разборки не повод для "ахаха что ты мне сделаешь я в другой стране".
Мы никогда не будем знать этого наверняка, это всё домыслы, что ваши, что наши. Но есть реальность, в которой происходят события и на которые всегда можно смотреть через старую добрую призму "кому это выгодно?". Если бы зарубежные мессенджеры передавали требуемую инфу в требуемых объёмах, то было бы незачем их блокировать и агрессивно навязывать отечественный
Кажется тут дело не том, какие разрешения используются мессенджерами, а в том, кому эти самые мессенджеры принадлежат. Макс позиционируется как отечественный мессенджер, соответственно вся инфраструктура, все сервера, все данные находятся и хранятся в России. Следовательно получить доступ к этим данным у условных спец служб не составит труда.
Правда думаете, что в других мессенджерах не так?)
Можете найти случай типа такого, когда WA или TG передал бы российским органам аналогичные данные?
Разве в телеграм нет download without notification? Функция встроенного обновления есть у версии "извне" гуглплея (например, с официального сайта) и, насколько помню, уведомления о загрузке она не показывает (думаю в Максе как раз для этого и нужно разрешение)
Пока функционала покупок внутри приложения у MAX нет, но, скорее всего, появится скоро.
В пользовательском соглашении Макса указана немного другая денежная функция
5.8 Одной из функций Сервиса является возможность посредством Приложения РНКО, доступного в соответствующем разделе Сервиса (далее по тексту независимо от фактического наименования – «Приложение РНКО»), осуществлять запрос платежной ссылки посредством системы быстрых платежей в соответствии с настроенными условиями для перевода денежных средств от одного Пользователя в адрес другого (далее – «Отправитель» и «Получатель» соответственно).
Приложение РНКО предоставляется РНКО «ВК Платёжные решения» (ООО), ОГРН: 1127711000042, на основании условий использования, расположенных по адресу в сети Интернет https://money.mail.ru/img/dmr_max_agreement.pdf. Присоединение к условиям использования Приложения РНКО является обязательным условием использования Сервиса. Заключая Соглашение, Пользователь как в лице Отправителя, так и в лице Получателя подтверждает, что принимает (акцептует) условия использования Приложения РНКО в полном объеме.
Дальше еще не прочел, и политику конфиденциальности тоже не прочел
вспомнилось :-) https://www.youtube.com/watch?v=Bxhs8jMnC7w
Вот именно, что без знания или глубокого анализа каждого из этих разрешений, нельзя однозначно сказать, сколько оно раскрывает информации.
Есть в Telegram и WhatsApp - UNINSTALL_SHORTCUT: смотрим SO.
Removing support due to its flacky design. Removing a shortcut causes a full reload. Also we do not have any concept of owner, so any app can remove any shortcut.
Читайте между строк. Приложение c этим разрешением видит каждое установленное приложения через его ярлык на рабочем столе? Благо в 2015 г. из AOSP удалили. А сколько оно дальше продолжало пользоваться? Другие лаунчеры вендоров со схожим функционалом/разрешением имеются?
Уникальное для WhatsApp - GET_TASKS: (Устаревшее) Просмотр запущенных приложений.
Безобидно что ли? Так Гугл КАК РАЗ из-за напасти приложений сканирующих всех соседей на телефоне порезал эти пермишены к чертям. А была именно напасть, из топ 1000 до фига и больше приложений этим занимались и отсылали к себе такую статистику на пользователя.
Потому статья - лишь поверхостное перечисление, но не пентестерский анализ за приватность. Тем не менее, +1 автору за начинание. С исходным посылом согласен.
это ядро разрешений, необходимое для базового функционирования любого современного мессенджера.
ACCESS_COARSE_LOCATION
ACCESS_FINE_LOCATION
Ну куда же функционировать современному мессенджеру без знания местоположения пользователя? А вдруг он заблудился! И это лишь те разрешения, которые не имеют отношения к мессенджеру от слова совсем, а еще половину разрешений Вы склонны объяснять с позиций разработчиков, хотя их применение куда шире. READ_CONTACTS - чтение списка контактов устройства для поиска друзей в мессенджере. Это просто чтение контактов, а как ими распоряжается приложение - исключительно на совести разрабов. Но пользователям да, они льют в уши, что исключительно для их удобства - поиска друзей.
Интересно, а есть какая‑нибудь интерфейсная прокладка, которая подменяет собой систему, и когда аппликуха запрашивает, скажем, ACCESS_FINE_LOCATION, прокладка отвечает «дааа, дааа, канешна!», а по факту льёт левые данные (координаты Шереметьево)? И чтобы можно было задавать, что пропускать насквозь, а что спуфить.
Таксисты вроде как подобным пользуются, чтобы "встать в очередь" в аэропорту.
Приложение типа Fake GPS. Настроить его. В настройках телефона для разработчиков - пункт "Выбрать приложение для фиктивных местоположений".
ACCESS_FINE_LOCATION было дано для примера. Надо, чтобы подменяться мусором могло любое разрешение — например, чтобы можно было сделать с точки зрения приложения список звонков девственно чистым.
https://github.com/noobexon1/XposedFakeLocation для координат (причем полноценно а не так чтобы приложение которые не хотят Mock Locations - vjukb j,jqnbcm
https://modules.lsposed.org/module/eu.faircode.xlua/ XPrivacyLua как универсальное решение для большинства пермишеннов.
Но - надо XPosed и рут (и часто это значит - надо уже их скрывать от приложений которые считают что имеют право знать об этом для защиты детей и прочих ну очень важных целей)
Эти прокладки, насколько знаю, есть в достаточном кол-ве в виде модулей Magisk (а это кастомная прошивка/рут). В том числе сокрытие/подтасовка списка контактов и т.п.
Обычный Android, несмотря на достаточно пристальное внимание Google -- шпионская система. iOS не отличается. Ну и не будут же они пилить сук, на котором сидят?
У меня вопрос по приложению Exodus. Оно так и должно при запуске глубоко задумываться над списком приложений? Я полчасика подождал и принудительно прервал его раздумья.
Тут дело не в разрешениях, а в том, что мне, например, все равно , что в тг или ватсап больше разрешений и что они за бугром читают мои сообщения, они ко мне не придут. А вот в скаме товарищ майор может прийти за тобой
они за бугром читают мои сообщения, они ко мне не придут.
It depends. Если у Вас в сообщениях переписки о том, как Вы испытываете какой‑нибудь там «Орешник» — наверняка придут и сделают предложение.
Да совсем недавно было
По данным издания, представители Интерпола получили сведения о неподобающем поведении 14-летнего подростка из Санкт-Петербурга от Google, на чьей площадке размещена игра. После этого они связались с коллегами из России и передали доказательства — скриншоты сообщений юноши из чата игры.
Стадия принятия
DISABLE_KEYGUARD - азблокировка телефона при обыске
Да всем понятно, что у разработчиков анало говнетного мессенджера просто ума пока не хватает, как реализовать тотальную слежку. А когда поймут, как это делается, уж будь уверен, развернутся на полную, правда могут доломать окончательно. Ну и фиг с ним
Но тут появилась первая сложность. Если Telegram и WhatsApp* легко анализируются, то MAX ни в какую не хочет. Его аналитики нет на этой платформе, а когда его ссылку на Google Play явно указываешь для «принудительного» анализа, то появляется ошибка. Как будто у MAX стоит какая‑то защита от подобных исследований.
Судя по тому, что я слышал, что на ios нельзя скачать MAX на аккаунтах, сменивших локацию, я могу предположить, что и в Play Store у приложения имеется ограничение по доступным странам. Exodus просто не может скачать apk файл под своим аккаунтом
Хотя, скрипт проверки показал, что доступно, но я бы ему не доверял особо
✅ Доступно: ['ru', 'am', 'az', 'kz', 'kg', 'tj', 'uz', 'tr', 'ua', 'by', 'us', 'de', 'fr', 'it', 'es', 'cn', 'in', 'jp', 'kr']
❌ Недоступно: []
Не знаю как Max, но тот же Ватсап ни разу за ним не замечал, чтобы он после закрытия программы, (заморозки) быстренько опять сам активировался и висел в фоне, как тот же Сбер например. И чего ему спрашивается там висеть 24 на 7 ? Про то что вашу биометрию хотите вы или нет, но оно собирает я уже умолчу. Если уж кто то реально боится за своё "уникальное" личное, то тот вообще должен выкинуть смартфон и общаться с помощью голубей. Или самому разрабатывать свою архитектуру чипа, заказывать его производство на Тайване, собирать свой смартфон, потом кодить свои приложения, умея в криптографию, желательно свой сервер, но и то все эти удовольствия как говорят до появления первых реальных квантовых компьютеров. Остальное всё , все эти хайпы и прочее - дымовая завеса для хомячков. Априори купил смартфон - купил шпиона.
Даже простой телефон свою локацию сообщает, просто по факту регистрации на разных базовых станциях.
Но. Разных рисков в целом в жизни полно, какие-то так и так принимать приходится. И модель этих рисков - дело сугубо индивидуальное. Но хоть лезть с советами типа "ты этого бойся, а этого не бойся" - дело такое себе, максимально эти риски подсветить, обозначив условия возникновения - благо.
Как очень просто решить, надо ли оно вам или нет:
Берёте список разрешений и представляете, что вы дали эти разрешения своему врагу. Если вас это устраивает, то проблем никаких нет.
А если не устраивает, то можно оценить, что этот ваш враг может вам сделать. И вот тут получается, что Telegram и Whatsapp находятся в других юрисдикциях, вряд ли могут сильно вам навредить. А вот СКА... простите... МАКС - это совсем другое. Товарищ майор живёт прямо в вашем городе. И он может причинить вам гораздо больше добра, чем все иностранные агенты вместе взятые.
А если учесть, что большинство программ, которые самостоятельно устанавливаются на моё устройство без моего ведома (как это сделал Samsung) - это вредоносные программы, то вывод совершенно очевиден.
Вот моё маленькое "техничное" расследование.
Скрытый текст
И даже ничего устанавливать не пришлось)
Но, надо понимать, что с обновлением количество разрешений может быть изменено, а рядовой пользователь не будет перед каждым обновлением проверять, какие новые разрешения добавил разработчик. Приложение на смартфоне автоматически обновится с новыми разрешениями.
Мне особенно нравится у Max - "отключение функции блокировки экрана". Не знаю как это работает, но лучше российским спецслужбам телефон не оставлять.
Нет в нем ничего особого. Уже раз 10 везде написали. Это просто запрет блокировать экран во время активности приложения. Видеозвонок какой.
Если телефон уже заблокирован, оно не делает ничего.
Whatsapp и Telegram как то обходятся без этого разрешения, хотя у них тоже есть видеозвонки.
Там код написали по другому. Так бывает. Это разрешение все равно не разрешает ничего плохого или опасного.
Надо просто прочитать документацию.
Disable the keyguard from showing. If the keyguard is currently showing, hide it. The keyguard will be prevented from showing again until
reenableKeyguard()is called.This only works if the keyguard is not secure.
Может делали для какого-то корпоративного применения. Где устройства будут без пароля киосками работать.
Лично мне, по большому счету пофиг на разрешения.
Больше всего напрягает вектор на обязательную установку (с сентября на всех новых смартах, и хрен удалишь без бубна), и главное - на обязательное использование, да еще и с привязкой госуслуг (в будущем, как понимаю), путем устранения конкуренции. Вектор на обязательное использование определяется тем, что уже сейчас в "правильных" новостных изданиях, брэнд "телеграм" подается в негативном ключе, вводятся определенные ограничения на полноценное использование (звонки).
Предлагаю разрабам Макса, позиционируемого именно как национальный мессенджер, киллер-фичу:
Вы набираете сообщение, Макс, если что, сразу пишет что Вам за это полагаеться по местным антиэксримиским законам.
Толковый разбор. Классно, что вы вынесли в сравнение именно разрешения — обычно все обсуждают «фейки» и политику, а до конкретики дело не доходит. На мой взгляд, самый интересный момент здесь не даже «меньше или больше разрешений», а то, какие именно уникальные запросы делает каждое приложение — по ним реально видно философию команды и их приоритеты.
Тут не хватает статистики, а как используются видеозвонки. И прочие интернет общение.
Вполне возможно, что "всем похрен" на свою приватность, и обсуждение "подгузников" не очень и интересует "т. майора". И MAX вполне закрывает эту нишу.
Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*