Comments 775
Не разбирали ли подобным образом последние версии официальных клиентов WhatsApp и Telegram?
Зачем? Макс - клон телеграма из которого специально было вырезано шифрование что бы гебня могла следить за людьми. Его можно вообще не проверять, он специально создан для компрометации юзеров.
Ой, кажется, Вы не правы!
Честно говоря, сказанное даже было бы хорошо (в смысле копии телеги), но нет, там пож капотом другое поделие.
чтобы вы стали интересны "гебне", нужно начать хотя бы наркоту продавать промышленными масштабами. ну или оружием приторговывать, или взрывчаткой.
Опасное заблуждение
Ну пока что не находим пруфов, что это заблуждение. Все, кого гебня нагибает (по разным свидетельствам из разных источников), занимались как минимум шпионажем, активным участием в качании лодок и революциях, или как сказано выше (но это совсем топовый уровень). Торгаши крупными кусками наркоты и оружием обычно не так наивны, как поджигатели релейных шкафчиков и революционеры.
В целом, признак инфантилизма - рассуждать про гебню и при этом добровольно использовать электронные средства связи, каждая микросхема в котором не исследована тобой до основания и пытаться защитить себя на самом высоком слое абстракции - рассуждая про какие-то там пользовательские приложенечки операционной системы. Это примерно как обеспечение физической безопасности завода установкой на входе таблички "плиз не воруйте и не поджигайте - директор запретил".
Самая прикольная ошибка, конечно, - это думать, что ты уникален и гебня не знает о тебе примерно всё просто по данным, набранным из наблюдений за такими же.
Пруфы находим. Вы либо не там ищете, либо априори считаете людей с отличными от вас, к примеру, политическими взглядами, преступниками и "раскачивателями лодки". И это не обязательно должна быть политика. С каждым годом растет количество сомнительных законопроектов, с максимально расплывчатыми формулировками, по которым оштрафовать можно если не каждого, то каждого второго. А каждого пятого отправить на зону. Есть статистика - это десятки тысяч дел за посты, лайки и комментарии в соц. сетях.
Теперь тейк про микросхемы, которые "ты сам не смотрел под микроскопом и не реверс инженирил". Начнем с того, что чем ниже слой абстракции, тем банально сложнее и дороже туда встроить нечто структурно сложное, потом это удаленно контролировать, и чтобы было незаметно и не мешало работать всему остальному. А даже если там что-то вдруг есть, все эти микросхемы - зарубежные. И шансы того, что завтра к тебе постучит ЦРУ, или МГБ Китая, и отберёт кошкожену и миску риса - крайне малы. Особенно, если ты проживаешь в селе Нижние залупки Липецкой области.
И, пожалуй, самая прикольная ошибка - считать что ты неуязвим и тебя это никогда не коснется. Что какая-нибудь отечественная нейросеть из центра Э, парсящая через Макс все твои данные, не зацепится за что-то, казалось бы, несущественное, но что-то, что повысит уровень раскрываемости кибер преступлений для товарища майора, который точно не потирает ручки и не ждёт квартальную премию. Ведь ты не какой-то раскачиватель лодки, ты - порядочный гражданин и патриот!
Не находим. Иначе бы мы их увидели в ответе хотя-бы. "Политические взгляды" - понятие себя давно девальвировало и "выражением политических взглядов" стали называть любой выданный наружу текст, содержащий токены, классифицируемые как "политота". И тексты с раскачиванием лодок стали называть выражением политических взглядов и вполне годные конструктивные тексты с описанием идей развития страны) Гебне интересны только первые - они ничем не отличаются от "выходим резать <id группы лиц>" - это, конечно же, нужно жёстко давить, беспорядки никому не нужны. Но когда гебня жёстко давит на корню зачатки любых никому не нужных беспорядков, то конечно спасибо ей никто не скажет, зато если задавленный выдал ртом какой-то токен про политоту, гебня будет обвинена в преследовании по политическим мотивам - знаем такую фишечку, ага.
Тейк про микросхемы - а при чём тут "сложнее и дороже"? Никто не говорил, что будет просто. Микросхемы вообще далеко не дауны задёшево делают, а огромные дорогие человекочасы, могут себе "сложно" позволить. Бекдоры в алгоритмы шифрования тоже не просто встраивать и чё, их от этого перестали встраивать туда что-ли. Зарубежные они там или нет - какая разница, учитывая что тебе неизвестно кто там у кого в этой сфере что ворует и перевербовывает туда-сюда и кто на кого там работает. Сделали одни, ломанули и заюзали другие, украли третьи и пользуются, насмехаясь над первыми двумя неудачниками.
Тема про неуязвимость откуда возникла? Кто сказал, что я неуязвим? Да меня банально на улице могут легко зарезать за просто так, какой там центр Э, какий нейросети.
Вполне понятно, почему не находите. Я бы тоже хотел жить в мирке, где гебня - это добрые дяди Стёпы, четко следующие букве закона, где принимаемые нормативные правовые акты не конфликтуют с Конституцией, и где людей не сажают за конструктивные идеи развития страны (если они собирают аудиторию и идут вразрез с текущей повесткой), в мирке, где под беспорядками обычно понимаются не мирные протестные акции, одиночные пикеты и ленточки на одежде, а настоящие погромы. И где спецслужбы сознательно не провоцируют и не подталкивают людей на определенные действия ради отчетности. Но увы.
При чём тут "сложнее и дороже"? А при том, что никто из крупных игроков не будет тратить миллиарды на задачу без конкретной цели, рискуя всем. Капитализм не так работает. Да и зачем такие усилия, если и так всё, почти у каждого, отправляется в гугл или айклауд? И ты сам это им разрешаешь, акцептируя пользовательское соглашение. Именно поэтому наше правительство и обязало всех операторов хранить пользовательские данные на серверах в РФ, но почти никто на это не согласился. Какая жалость... А данных то хочется, вот и приходится Максы на ходу выдумывать, и по умолчанию на каждое устройство предустанавливать!
Про неуязвимость, возможно, перегнул, но, как минимум, ощущается некая уверенность в защищенности... Вот, чтобы снизить риски быть зарезанным на улице, можно, например, стараться не гулять по ночам и оглядываться. Возможно, переехать из села Нижние залупки в какое-то более безопасное место. Возможно, в верхние...
А чтобы снизить риски, например, быть наказанным за слова или картинки, можно не устанавливать мессенджер Макс. Или поставить на отдельный телефон или в виртуальное пространство, если надо.
Отправить перевод не на тот номер и уехать в дальние края за финансирование терроризма. Перейти не по той ссылке и уехать туда же за поиск экстремистских материалов. Написать пост в соцсеть и отправиться вдогонку за признаки оскорбления/разжигания/дискредитации. Не, простому Васе, который от зарплаты до зарплаты квасит под Шамана, скорее всего боятся нечего, а вот за Васю, у которого бизнес средней руки, уже волнительно. Не приглянется ли этот бизнес кому-нибудь, например.
Отправить перевод не на тот номер
подержите ка мое пиво... взять чемодан в аэропорту не у "того" парня и полететь с этим чемоданам на юга в Тайланд и присесть там на ПЖ за перевозку ххх кг наркоты. Или это другое?
Чистоплотность и разумность во всем должна быть. Нельзя переводить деньги анонимам. Может он детским порно торгует или веществами? Или донат собирает чтобы склепать бомбу и что нибудь взорвать? Хватит уже инфантильно относиться к жизни. Взрослеть надо.
Перейти не по той ссылке и уехать туда же за поиск экстремистских материалов.
вот прям случайно перешел по ссылке и попал на страницу "поваренная книга анархиста" и присел? Пруфы есть о вынесенных приговорах за случайный клик?
Написать пост в соцсеть и отправиться вдогонку за признаки оскорбления/разжигания/дискредитации.
Вы сильно удивитесь кол-ву приговоров в той же Англии за репосты и посты. Для сравнения в 2023м Англия 3300 Россия 400. Может детям пора уже головой думать что за "базар" отвечать надо. ( простите мой кривой французский )
Не приглянется ли этот бизнес кому-нибудь, например.
если ваш Вася не нарушает закон и весь в белом и пушистом - он нахрен никому не нужен. Если вы Чичваркина в суе вспомните или Малика Хатажаева ( Леста ) то там грехов на два пожизненных эциха с гвоздями.
Что я хотел сказать то этим: что "детям" ( да и как ни странно многим взрослым ) давно уже пора осознать что они несут ОТВЕСТВЕННОСТЬ за свои действия. Нравится это их нежной душевной натуре или нет.
ЗЫ панамку приготовил - накидывайте.
Для сравнения в 2023м Англия 3300 Россия 400.
А вы погуглите пруфы, есть подробный разбор, что не "приговор", а арест\допрос\повторный допрос.
Вася не нарушает закон и весь в белом и пушистом - он нахрен никому не нужен.
а если попробовать вбить в гугле "Канские подростки"?
а если попробовать вбить в гугле "Канские подростки"?
а если почитать не желтую прессу а материалы уголовного дела? и мотивировочную часть суда?
После занятий в школе подростки штудировали литературу по минно-взрывному делу, смотрели видеоуроки для начинающих подрывников, где детально разбирались способы закладки самодельных взрывных устройств (СВУ). Затем, по данным оперативников, пришло время перейти от теории к практике – подростки собрали бомбу из легально доступных ингредиентов и испытали ее в промзоне Канска. В дальнейшем школьники продолжили совершенствоваться в мастерстве изготовления СВУ, уменьшая или, напротив, увеличивая заряд. Пустыри, заброшенные дома, стройки служили им полигонами для подрывов.
там по хорошему у этих "детей" лет на 8 эцих без гвоздей
если ваш Вася не нарушает закон и весь в белом и пушистом - он нахрен никому не нужен.
В последнее время понятие "не нарушает закон" очень сильно размылось, и чем крупнее бизнес, тем более размытые границы. "Добровольные взносы в бюджет" и вот это вот все.
"Добровольные взносы в бюджет"
всегда можно отказаться. и тогда тендер не выиграешь. или проверка найдет не совсем законную оптимизацию налогов.
докопаться до любого бизнеса можно боле-менее крупного.
можно считать что это своего рода дань за то что государство закрывает ( временно ) глаза на шалости бизнеса с оптимизациями.
А с наркотиками, кстати, совершенно такая же во всех смыслах упоротая тема: найти у подозреваемого пакетик неизвестного порошка - избитая классика.
Пруфы есть о вынесенных приговорах за случайный клик?
Как я понимаю, пока нет даже самих дел - закон приняли меньше двух недель назад. Но зато хорошо представляю, как организовать транзитную ссылку, в том числе и через поисковик, и как трудно будет доказать что ты совсем не туда собирался зайти и не собирался ничего сохранять, особенно если ты простой Вася, а против тебя заключение эксперта, которому нет причин не доверять.
"детям" ( да и как ни странно многим взрослым ) давно уже пора осознать что они несут ОТВЕСТВЕННОСТЬ за свои действия.
Многие взрослые, и даже некоторые дети, уже хорошо понимают - чем тоньше лёд, тем проще жить акулам.
Многие взрослые, и даже некоторые дети, уже хорошо понимают - чем тоньше лёд, тем проще жить акулам.
ну то что было нормой 40-50 лет назад сейчас представляется в другом свете. Пора взрослеть. Мир изменился и как раньше в старые ламповые времена уже не будет никогда.
Интернет не анонимный. И писать безответственно что угодно больше не получится.
В самолетах нельзя курить, досмотр в аэропортах не отменят.
Возмущаться против этого, все равно что ссать против ветра. Простите мой кривой французский.
Интернет не анонимный. И писать безответственно что угодно больше не получится.
Критиковать офицально-опубликованную информацию - безответственно?
Критиковать офицально‑опубликованную информацию — безответственно?
Критикуйте сколько угодно. У себя на кухне. Не забудьте анальный зо Алису сперва выключить. Вам же говорят: времена изменились: раньше точно так же критиковали на кухне в узком кругу — а теперь каждый блохер сам себе СМИ. Я не говорю, что «это хорошо» — я говорю, что это дивный новый мир, «объективная реальность, данная нам в ощущениях».
вы в своей критике рамки закона не переходите и оперируйте фактами а не домыслами. А то и на клевету можно словить статью.
Другими словами, "критикуйте так, чтобы нам нравилось".
Нет, спасибо.
Другими словами детский максимализм гасить надо. И закон соблюдать. И критикуя - надо оставаться в правовом поле. А то можно наболтать на 5 лет эциха без гвоздей или на три но с гвоздями.
🤷♂️
При произвольных законах с произвольной трактовкой, "критика с соблюдением закона" = "отсутствие критики".
В таких условиях как раз любые оглядки на закон териют смысл.
если вы, молодой человек, за всю свою жизнь не научились оставаться в правовом поле в пылу полемики или критики - то да, вам лучше молчать и не критиковать.
Или взрослейте.
Третьего не дано. Увы.
не научились оставаться в правовом поле в пылу полемики или критики
хороший аргумент, только абсолютно неверный. чудеса современного законотворчества и "право"применения привели к тому, что абсолютно легальные вещи вчера могут легко стать нелегальными сегодня и человек, внезапно, становится участником длящегося правонарушения. это касается и постов в интернетах и донатов и много чего ещё.
Закон же обратной силы не имеет.
Раз то что было легально вчера сегодня стало нелегально - не нарушайте.
🤷♂️
Закон же обратной силы не имеет
Тверской суд 30 августа 2022 года арестовал Гозмана на 15 суток за публичное отождествление СССР и нацистской Германии (ч. 2 ст. 13.48 КоАП). В составленном на него протоколе речь шла о статье, опубликованной на личной странице в "Живом журнале" в 2013 году.
ну хватит уже читать желтую прессу - читайте МАТЕРИАЛЫ суда. Благо они в паблике лежат:
Правонарушение совершено в городе Москве при следующих обстоятельствах, 24 августа 2022 года по адресу: г.Москва, ул.Б.Дмитровка, д. 28, в служебном помещении № 15 выявлен факт размещения Гозманом Л.Я. в ИТКС «Интернет» в социальной сети «Facebook»
https://www.mos-gorsud.ru/rs/tverskoj/cases/docs/c...
Официальный портал судов общей юрисдикции города Москвы
https://www.mos-gorsud.ru › cases › docs › content
ну где там про посты 2013 года? Всё свежее.
Ну так вы читайте, что копипастите:
24 августа 2022 года по адресу: г.Москва, ул.Б.Дмитровка, д. 28, в служебном помещении № 15 выявлен факт размещения Гозманом Л.Я. в ИТКС «Интернет» в социальной сети «Facebook» на своей странице пользователя «Леонид Гозман» (https://facebook.com/leonid.gozman.77) информационного поста
это не пост отправлен в 22 году, а был произведён осмотр страницы
мне нечего ответь - я не имею доступа к постам FB и дату их публикаций не могу проверить. Но про статью ЖЖ от 2013 года в материалах суда ни слова ( возможно я в глаза долблюсь... ) но там есть вишенка на торте:
Как установлено судом и подтверждается собранными по делу доказательствами, Гозман Л.Я. при изложенных выше обстоятельствах нарушил запрет, установленный Федеральным законом от 19 мая 1995 года № 80-ФЗ на размещение информации с использованием информационно-телекоммуникационных сетей, включая сеть "Интернет", содержащей отождествление целей, решений и действий руководства СССР, командования и военнослужащих СССР с целями, решениями и действиями руководства нацистской Германии, командования и военнослужащих нацистской Германии и европейских стран оси, установленными приговором Международного военного трибунала для суда и наказания главных военных преступников европейских стран оси (Нюрнбергского трибунала) либо приговорами национальных, военных или оккупационных трибуналов, основанными на приговоре Международного военного трибунала для суда и наказания главных военных преступников европейских стран оси (Нюрнбергского трибунала) либо вынесенными в период Великой Отечественной войны, Второй мировой войны.
1995й год полюбому раньше 2013.
так что нет - я не вижу что его осудили задним числом применив закон на прошлые деяния.
Впрочем, я и не юрист.
А этому пассажиру как я вижу из публикаций еще и нарисовали ст. 330.2 УК ( неуведомлении о двойном гражданстве )
Рафик совсем невиновный... да?
1995й год полюбому раньше 2013
вы как-то второй раз подряд очень выборочно цитируете материалы исключительно в пользу своей точки зрения:
В соответствии со ст. 6.1 Федерального закона от 19 мая 1995 года № 80-ФЗ «Об увековечивании Победы советского народа в Великой Отечественной войне 1941-1945 годов» в ред. от 01.07.2021
хорошо - зайду с другого края.:
И как вы можете датировать посты данного пассажира в Фейсбук если они удалены ( от какого числа были посты в материалах суда не указывается ) И я допускаю что они легко могла быть опубликованы в 2022м.
Ни доказать ни опровергнуть это нельзя на данный момент ( по крайней мере я не знаю как узнать датировку удаленного поста в FB ).
Но зато 100% точно можно утверждать что в материалах суда никакие посты в ЖЖ от 2013 года не фигурируют а вы имели неосторожность сослаться именно на посты ЖЖ от 2013 года.
Вернее не вы а журнализды которые как всегда не проверяют фактологию перед публикацией материалов. Вы просто процитировали их.
PS предлагаю остановиться на этом.
Этим вопросом надо было интересоваться своевременно, сейчас будет трудно найти те самые разборы, которые выходили по этим всем законам, со ссылками на конкретные примеры.
Но припоминаю, что, действительно, легко могли быть последствия за пост любой давности.
Обвинение в таком случае строится на вот каком принципе: пост публично доступен в интернете на странице автора прямо сейчас и, значит, он прямо сейчас распространяет то, что нарушает закон, независимо от того, когда пост написан, значит это происходящее прямо сейчас преступление, за которое можно наказывать.
опять же если принять за истину ваши слова, то логика тоже имеется в действиях прокуратуры.
Вы, допустим, на фасаде своего дома мурал Басаева и Дудаева нарисовали в 1991 году согласовав это все с мэрией и получив все необходимые на тот момент разрешения.
Все законно и прилично.... прошло 30 лет.
Но в 2021 ( год взят с потолка ) новый закон запрещает пропаганду терроризма. А мурал это пропаганда по мнению нового закона. Пусть висят - ведь "произведение 1991 года выпуска" или стирать?
Вы, допустим, на фасаде
Юридический ликбез для недавно зарегистрированных и расконсервированных.
Вы с разрешением от мэрии люто промахнулись.
В описанном примере прокуратура здорового человека
анулирует разрешение мэрии (или, скорее, этот и следующие три пункта обязует выполнить мэрию)
уведомит получателя разрешения
установит разумный срок для внесения изменений в фасад с момента получения уведомления
в случае невнесения изменений в фасад передаёт материалы в суд.
суд проверяет законность требований, выслушивает отмазки владельца фасада.
если внятных отмазок не нашлось (например смена собственника дома и отсутствие доступа к фасаду) передает дело приставам.
приставы дают срок на устранение уже более строгий чем в п. 3 и на оплату штрафа
при невыполнении приставы рехтуют фасад и выставляют собственнику здания счет + штраф.
при неоплате списывают деньги со счетов.
Без разрешения мэрии список на полтора пункта короче, но в любом случае тут нету уголовки даже близко т.к. умысел в бездействии сложно доказать. А без него никакой "пропаганды" быть не может.
Всё это совершенно невозможно если фото данных персонажей размиещены не на фасаде, а на стенах сортира и попали в поле зрение скрытой ГБшной камеры в унитазе.
Еще более немыслимо судить вас за нанесение моральных травм сотруднику гэбни видом своей задницы в объетиве скрытой камеры в унитазе.
пост публично доступен в интернете на странице автора прямо сейчас
Пусть сначала докажут, что Vassily.Pupkind — это я.
Что за нагнетание. Что то я не помню посадок за отправку случайно не на тот номер? Можете поделиться номером дела? Точно также про ссылки пржалуйста - номера дел и примеры посадок. А вот писать посты про разжигание/оскорбления/дискредитацию случайно не получится - видимо тут уже умысел или инфантильность - собственно тут все логично - сам дурак. И если у вас тем более БИЗНЕС СРЕДНЕЙ РУКИ - вряд ли вы отсылаете переводы на случайные номера/ищете экстремистские материалы/постите попадающие под УК посты - иначе вы очень странный бизнесмен.
вот писать посты про разжигание/оскорбления/дискредитацию случайно не получится
Получится. Потому что никто заранее не знает, что именно, кроме очевидного, будет считаться дискредитацией.
Сегодня фраза "мне не нравится вася" может быть "дисредитация васи", "фейки про васю" или "оскорбление чувств васи". Хотя на самом деле про непосредственно васю тут ни слова, я про себя пишу что он мне не нравится. А уж как я могу дисредитировать васю вообще непонятно. Я вижу только один способ - переодеться в васю и творить под видом васи всякую дичь. Но про такие дела я не слышал.
Перемножаем это на де-факто обратную силу и получаем 100% покрытие любых действий (и бездействий) уголовным кодексом.
— Говорят, Васю Пупкина посадили. Не слышали, за что?
— Он в 2023 году написал, что Тимур Иванов ворует.
— А по какой статье посадили? Уж не за дискредитацию ли? Ведь он и правда воровал жеж!
— Не-е-е-е, за разглашение военной тайны!
А эти "десятки тысяч дел" - они сейчас с нами, в одной комнате?
А эти "десятки тысяч дел" - они сейчас с нами, в одной комнате?
Десятки тысяч дел — это не менее 30 кубических метров дел. Так что нет, в одной комнате с нами не поместятся!
а если эта комната - спортзал с потолком метрах в 10 над полом? =)
Спортзал, в котором рядами компьютеры, компьютеры, компьютеры? Кайф‑то какой! ©
30 кубических метров
это комната площадью 12 м^2 с потолками 2.5 - типовая спальня в панельке
А разве стандартная площадь комнат панелек не 3x5м, т.е. 15м² (во всяком случае тех, которые строились порядка 40 лет назад)?
Ну, если взять в качестве сферической сорокалетней панельки в вакууме какую-нибудь достаточно популярную 137 серию, то вариантов, близких к 12 там тоже много. Там, правда, потолки 2.7, но это дает примерно те же 30 кубометров на площади 11 с копейками. Возможно, в других домах было более жесткое деление на секции, не знаю
Hidden text
Ну ведь задача была поставлена "быть в одной комнате с делами", то есть в той комнате должны ещё минимум 2 человка помещаться. Или они что, на той куче дел под потолком в лежачем состоянии?
покапитаню: спальня в панельке - это пример такой комнаты, что найти комнату площадью больше, чем она, не составит особого труда. даже гостиная в двушке в такой же панельке позволит поставить разместить пару человек
Ну зачем же под потолком?
Дела же можно стопками до потолка сложить, а людей вертикально поставить у двери.
Тем более, если людей под потолок класть, то их туда помещать и вытаскивать слишком долго будет. Может и кислорода не хватить. =)
Стадо уже на столько отупело, что им можно смело управлять.
Общялся не давно с одним, он мне тоже твердил чего нам простым смертным боятся слежки, даже элементарно решил с другом вспомнить 95 квартал или рассмеши комика, сказал другу, что Зеленский красавчик, нравится тебе как комик, а завтра пойдешь гулять с собачкой, а рядом будет несанкционированный митинг и ты чисто случайно в кадр попадешь, а учитывая как у нас силовики работают, уедешь лет на 10 в Сибирь лес валить без суда и следствия.
"Есть статистика - это десятки тысяч дел за посты, лайки и комментарии в соц. сетях." - будьте так любезны, дайте ссылочку на что-то официальное (может, официальная статистика на сайте МВД или ФСИН?.. (нет)) для ознакомления с "десятками тысяч дел". Окатиться обжигающей правдой, так сказать. У вас, случайно, дома на стене нет портрета Солженицына?..
Ну а сколько там официально дел за "дискредитацию"? Вроде уже давно за 1к перевалило и темп увеличивается, толкование расширяется.
Т.е. де факто есть какая-то деятельность государства против которой я не могу возражать ни в какой форме. Этого как бы более чем достаточно, на мой взгляд.
Но ведь посадить того, кто сообщает о проблеме, намного проще, чем решить проблему!
Вот честно - проверять данные даже по "уже давно за 1к перевалило и темп увеличивается" очень лень. Однако, вы не находите, что "1к" и "десятки тысяч" - это разница НА ПОРЯДОК? Именно так и рождаются мифы про "200 млн репрессированных "кrававой кrасной гэбнёй"". Ни замалчивание, ни гиперболизация проблем не приносит пользы обществу. И второй очень важный момент: бывают, конечно, и "выстрелы из пушки по воробьям" у нашего правосудия, но в 90% (овердохуа) случаев все эти дела по поводу "дискредитаций" и прочего имеют под собой очень неиллюзорные основания, там если поскрести этих граждан ноготочком - хватит на несколько статей, и это будут не "поссал пьяный на газон" или "буянил и матерился на улице".
учитывая тот факт что ( как всплывает сейчас ) большинство из них сидело на бюджете USAID над чем смеялась вся "прогрессивная тусовочка" - а оказалось голая правда.
Все время вспоминаю историю с шпионским камнем и репортаж Аркадия Мамонтов по РТР - как его полоскали все либеральные СМИ, и на хабре не побоюсь этого слова хуесосили, да простят мне мой кривой французский....
мол 21й век какой нафиг камень, люди давно через облака все передают... ну они и тупыыыые на этом вашем РТР... и в этом же духе.
прошло 7 лет ( кажется ) и англичане сами подтвердили правдивость истории с этим камнем. и что? ни одна мразь не покаялась и не извинилась за тонны говна в адрес наших спецслужб и журналистов.
Совершенно верно, как-то усердно, аккуратно и стыдливо наши (и ненаши) либероляди "забывают" или отводят глаза ("Это другое! Понимать надо!") от всяких неудобных и неприятных исторических фактов, которые невозможно "отменить" или оболгать и очернить. Из плохого - даже в современных жёстких СВО-шных условиях, очень благоприятных для чистки и наведения порядка внутри страны от паразитов и мразей, очень упорно и настойчиво проявляются идиоты и откровенные вредители с йо6нутыми и очень вредными для страны идеями и законопроектами. И как всегда, за всей этой мишпухой и гешефтиками маячат очень большие бюджетные деньги или даже уши иностранных разведок, а чаще всего - и то, и другое.
Потрясающий по своей иллюстративности состояния развития нашего общества комментарий: и отсылка к либерализму, и к разведкам, и к вредителям, и к просто мразям, и к врагам в правительстве, и к чисткам с порядком. Да вам книги писать надо! Сейчас, в сволочное время, будет очень популярным чтивом. Особенно под псевдонимом "Шариков В. В."
Попытка в сарказм нифига не засчитывается, неуважаемый вы наш чемпион по петросян-дзюцу. Вы сначала бы хоть в педивикию заглянули, чтобы инициалы Шарикова посмотреть, коль не знаете, как его в книге звали. Вангую, что знакомы вы с данным персонажем исключительно из различных либерастных источников, где описывают "лаптеногих тупых кровожадных ватников, вылитых Шариковых", а вот имя-отчество персонажа не упоминают. Седлайте свой электросамокат, берите хорошее настроение, лавандовый раф на кокосовом молоке и 3,14здуйте в закат.
Что одни лозунги, что другие, аксиома Эскобара. Реальная проблема - продажа данных на черном рынке, так что за сетевой гигиеной следить полезно.
Касаемо десятков тысяч - где датасет?
ППКС, бро. Имярек просто никогда не сталкивался с ментовской палочной системы, а она не так уж далека от "расстрельных списков по порядку у телефонной книге". Ментам, к слову сейчас на 7,6% оклады подняли, а не учителям с медиками - надо отрабатывать.
Аргумент "раз ты не исследовал каждую микросхему - то смысла в защите нет" - это чистой воды подмена понятий. В жизни и в безопасности абсолютного не бывает: уязвимости всегда есть. Но мы всё равно пристёгиваем ремень, ставим замки и шифруем трафик.
Следуя вашей логике: раз завод нельзя защитить от диверсии на 100% - то не нужно ставить камеры и замки.
И да, цензура и политические статьи не ищут шпионов, они ищут повод. Репост, мем, неосторожная фраза - и ты уже под ударом. Приватность нужна каждому: не потому что ты преступник, а потому что любая информация в чужих руках превращается в инструмент давления.
В безопасности как раз абсолютное бывает. Либо безопасно, либо нет (есть дыра). Дыра либо есть, либо нет. Всё просто, да. Это важно, потом что через одну мелкую дыру грабят весь пенокурятник целиком без остатка.
В реальном реале (завод) у дыр есть цена, закрывают самые дешёвые и живут с дорогими. В виртуале у всех дыр одна цена - бесплатно, поэтому закрыты должны быть все.
Пока Вы не докажете, что в устройстве/ПО нет уязвимостей, нельзя считать его абсолютно безопасным. У Вас есть способ безусловного доказательства что, к примеру, в ПО нет уязвимостей?
Так его никогда никто и не считает абсолютно безопасным, поэтому гебня посто от интернета отключает всё что плохо лежит да и всё)
А в целом подобные методы есть, всякие там TLA+ для алгоритмов, фаззинги там всякие, в целом можно даже доказательно все ветки кода и все состояния перебрать исчерпывающе, но долго. А может иногда и не долго. Но проще взять привычку не говорить слова ртом в трубку такую, микросхемы в которой делал не ты.
Вы выше писали "В безопасности как раз абсолютное бывает."
Приведите пример хотя бы одного такого ПО, про которое можно было бы сказать, что оно абсолютно безопасно. При это ПО должно делать что-то полезное.
Большинство методик анализа и тестирования ПО, могут обеспечить низкую вероятность уязвимостей или их нахождения, но не гарантируют отсутствие оных.
Перебирать исчерпывающе никто и никогда не будет, это просто нерентабельно, и это тоже не гарантирует абсолютной безопасности, потому что современное ПО состоит из многих компонентов, которые регулярно изменяются.
Таким образом, с практической точки зрения, абсолютно безопасного ПО нет и быть не может.
С практической как раз абсоолютно безопасное ПО бывает. Мы тестируем систему на безопасность работы с определённым нужным нам набором входных данных, а остальные тупо зарубаем на входе. Всё, система абсолютно безопасна с практической точки зрения. Если мы особо упороты, мы ещё и количество внутренних состояний можем померять и все пройти. Непонятно почему такое очевидное надо разжовывать, ты профнепригоден там что-ли)
Причём, если ты не знаешь, безопасна ли система, это вовсе не означает, что у неё НЕ имеется некого абсолютного статуса безопасности - она в любой момент времени абсолютно безопасна или абсолютно опасна - коммент был только об этом, тяжело понять как можно было из такого примитива настолько разосраться. Например в системе абсолютно нет багов. Если ты пока не смог этого доказать, то это ещё не значит, что система не является абсолютно безопасной. Это лишь означает, что ты точно не знаешь какова она. И наоборот. Так-то.
У Вас есть способ безусловного доказательства что, к примеру, в ПО нет уязвимостей?
Я не уверен, но, как мне кажется, это алгоритмически неразрешимая задача, в общем случае? Или я что-то путаю?
Именно так, но @Fintank-ru утверждает следующее:
В безопасности как раз абсолютное бывает. Либо безопасно, либо нет (есть дыра). Дыра либо есть, либо нет. Всё просто, да.
Найти доказательство -- неразрешимая, проверить доказательство -- разрешимая
В безопасности как раз абсолютное бывает.
Ага. Профессионалы, открывшие тысячи замков, вскрывают 98% замков меньше чем за 5 минут. При этом, те замки, что вскрывали дольше минуты, рекомендуют как весьма надёжные, трудновскрываемые.
Теорема Гёделя о неполноте с вами не согласны
если хочешь быть здоров, жуй один и в темноте. что значит приватность когда вы обращаетесь к должностному лицу? то есть говорить вы хотите что угодно, вот только не раскрывая кто вы есть? я думаю этот мессенджер как раз для официального взаимодействия. то есть вы приходите в какое либо учереждение, и вас просят показать паспорт, что вы являетесь тем то. и это нормально, чтоб вы вы выдали себя за другого и тд. если хотите анонимности, приватности (вопрос для чего?) пользуйтесь другими способами общения. этот же мессенджер позиционируется как способ взаимодействия с официальными структурами, в том числе и гражданами. конечно это не выгодно мошенникам так как это деаномизирует их. а то приходите в МФЦ и возмущаетесь когда вас просят показать документы что это деаномизирует вас
раз завод нельзя защитить от диверсии на 100% - то не нужно ставить камеры и замки.
Тогда смысл защищать только один "завод"? Если то же самое делают другие приложения, не логично ли было бы ругаться и на другие более популярные мессенджеры за то же самое? Просто у макса тиктоковский прикол с прослушкой вырос в паранойю у людей, а то же самое в отношении TG/WA не работает (с такой же конфиденциальностью на бумаге и сотрудничеством с правительством).
"Репост, мем, неосторожная фраза - и ты уже под ударом"
Так следите за языком, времена такие. Или у вас прям крайняя необходимость постить провокационные посты/фразы/мемы? Жизнь без них не мила?
Ага , за мемы картинки , и комментарии двухлетней давности , если ты не согласен с выбранным наемным работником , вполне себе штрафы. А вы продолжайте жить в розовом меня мирке.
Розовый маня мирок как раз в том, что работник наёмный и что он выбраный. Точнее не так - что он наёмный для вашего социального класса и выбранный вашим социальным классом, что практически ничего не меняет.
Ну так тем более, если работник не наемный, и не мной выбранный, то он мне нихрена не лидер, и не нужно утверждать обратное. В условиях, когда так называемый лидер ведет существующих вокруг вас людей в направлении, куда вы идти не хотите, не так много вариантов действий. В том числе, при большинстве вариантов, отличных от движения вприпрыжку вместе со всеми - является затруднение внешнему наблюдателю оценки направления вашего движения.
А так, да, "не выбранный мной" или "выбранный не мной" - ничего не меняет, согласен.
Зять выпускник НЭТИ. Под хороший коньячёк и закуску в виде икры паюсной в 2005 году на спор за час. Зная только телефон юзера.
Включил отключенный пальцами кнопочный телефон и получил к нему доступ.
С тех пор у операторов связи много чего защитили.
Но в возможностях гэбни я до сих пор не сомневаюсь.
Бояться нужно проснуться на помойке с ломиком в заднице. Поругавшись с местным участковым.
Гэбня она все же больше головой и с уважением к государству и населению. А вот ментовня. Те непредсказуемы. Может поэтому пристрелили Щёлокова.
Этот коммент уже ближе к истине, но он почему-то рассматривает "ментовню" как самый угрожающий вам класс, упуская из виду горадо более невменяемый и распространённый класс - обычных грабителей на улице с ножичком, которые, например, вчера отсидели и вышли или с войны вернулись. Да что же это за такое стремление постоянно повысить свою ступень социальной иерархии, мол только с "ментов" начинается ранг тех, кто мне "указ", упуская огромный слой угроз, контактирующий с вами ещё большей площадью поверхности, чем "менты".
Гэбня с уважением к населению? Лол. Это самое тупое утверждение, что я читал за последние 10 дней...
Мне есть что рассказать, и про СОРМ, и про "кровавую гебню", но, в общей массе, это никому тут не нужно, да и писать я уже не смогу. Да, это он самый - инфантилизм. Я не в обиде, в целом, мне тоже хочется жить в розовом мире веселых пони. Впрочем, ближайшие лет 10-20 мы будем наблюдать своими глазами, как мир изменится. Все немного подрастут, и картина мира будет совсем другой. Я никогда не забуду, как менялась моя картина мира за последние 30-40 лет.
Все, кого гебня нагибает , занимались как минимум шпионажем, активным участием в качании лодок и революциях
Я прям и вижу в таких новостях предпосылки к революции...
Причем - случай не единичный
Я считаю, что незачем свои наклонности показывать на людях, особенно если в стране запрещена пропаганда ЛГБТ. Я, например, очень бы не хотел, что бы моя маленькая дочка видела таких персонажей на улице. Нравится вам ваша ориентация - ориентируйтесь в укромных местах. А насчет революции - какая может быть революция? Есть две составляющие счастья основной массы народа - хлеб и зрелища. Хлеба хватает - не чета 90-м. Зрелищ - выше крыши. Так что никакой революции и в помине не светит.
Del. Не тому ответил.
Смешно видеть как ты, пишешь о том что кто-то не допускает отличную от своего точку мнения, но при этом ты сам пишешь о том, что враг это твоя страна, а не любая другая враждебная, смешно видеть, что пытаясь быть объективным ты активно навязываешь мнение, о том что главный враг это твоя страна, а то что какой-нибудь швед может полностью читать все твои данные это нормально, смешно)))
Не знаю как в ваших краях, а в нашем островке социализма в центре Европы гэбня нагибала всех, кто делал платежи через фейсбук, презюмируя их направленность "экстримистским организациям" и предлагая выбор между добровольной выплатой в 1000x размере или отсидкой от 3 до 5 с гражданской казнью на выходе.
В целом, признак инфантилизма - думать, что люди, впиливающие аппаратные закладки в средства связи на международном уровне, представляют для тебя большие риски, чем свой, простой отечественный товарищ лейтенант, который очень хочет уйти на пенсию майором.
Ну и да, все мы очень хорошо знаем, кто любит запускать такие прогоны
Куча дел за называние войны войной в чатах Телеги, WhatsApp и подобного опровергает то, что вы пишете.
Отсутствия доказательств не является доказательством отсутствия доказательств.
Только не для него (пока) а для тех, кто поверит
Так точно, тащ майор! Верим на слово.
Или писать про политику или просто перейти дорогу кому-то, кто там работает. А может просто по приколу
Такие в доле уже.
инфраструктуру слежки создают для "гебни", а вот пользоваться ей смогут очень многие, с совершенно произвольными интересами.
Ну или написать другу что скрафтил патроны в игре.
"Гэбне" достаточно знать, например, что ты продал квартиру, хотел положить деньги в банк, и так получилось (не успел / не смог / что-то произошло), что деньги до утра лежат у тебя дома.
А дальше дело техники.
Откройте любые лемминговые социалочки. Сколько там вариаций на тему "уехал на Бали, вернусь чрез 2 недели" с сердечками и прочими телепузиками? Без всякого терморектального анализа, добровольно и с песней.
Даже структура социальных связей человека это очень важно и много может рассказать.
Непальское правительство тоже так думало.
Чел сними шапочку из фольги. Буквально не давно была статья как парня пытались засудить за старую переписку с другом в котором он разбирал способы создания взрывчатых веществ, самое смешное то что обсуждение у них шло в контексте игры(кажется, это был Rust), но товарищу майору это не особо помешало(конечно, зачем вникать) завести уголовное дело. И таких примеров в инфополе масса, но у нас(да и не только у нас) государство уже хорошо научилось цензурить такие дела, и не всегда даже зная что искать поисковик тебе выдаст нужную информацию(привет закону о поиске экстремистской информации(под которую вообще можно любую информацию подвести).
чтобы вы стали интересны "гебне", нужно начать хотя бы наркоту продавать промышленными масштабами. ну или оружием приторговывать, или взрывчаткой.
ну или как то так
Интересен или не интересен, но все эти данные в любом случае будут храниться на серверах кого надо и по надобности эти данные можно будет поднять.
Да и современные системы ИИ могут не требовать наличия заинтересованного лица, просто автоматически найдет что надо и вот вами интересуются.
С чего ты взял? тут например мобильная связь вся на прослушке, при чем на первом этапе эт было оч палевно))) и я замечу прослушка была ни на одном ни на двух, а тупо на всем населении. Суть же не в том что ты барыга или еще чего, типы собирают базу данных на всех, будь то барыга, нелояльный или еще какой то, а потом как дойдет суть до дела, все это спокойно подымут с баз данных, и ты вот сидишь в околотке а тебе на стол вываливают все че ток можно "тут ты великого фюрера обосрал", "тут тебе режим не нравится", тут тебе "закрытые границы не нравится" и т.д и вот тебе уже статья и не одна
Вы рушите их мечты, надежды что они настолько важные, что каждый из них интересен фсэрам 😁 в России столько народа нет, чтобы за каждым из них следить.
А ведь кто-то ещё должен работать.
Скажите, а зачем вашей гэбне следить за пользователями со всех возможных точек с которых он может генерировать трафик, когда можно следить центразированно из одного места - сервера Максима? Ведь это же гораздо удобнее, надежнее и стабильнее. И даже можно шифрование не отключать.
>Макс - клон телеграма из которого специально было вырезано шифрование
очередной свидетель зашифрованного телеграма. ну ок, не буду маня-мирок рушить )
Исходники клиентского приложения у телеграм открытые, сквозное шифрование можно по ним и почитать и проверить как работает, а ещё исходники можно собрать и пользоваться собранным приложением, вместо скачанного откуда бы ни было готового файла, внутри которого непонятно что.
А у Max где исходники почитать?
Зачем вам исходники Telegram, вам недостаточно того, что вы можете залогиниться на другом устройстве и получить полную копию чатов? WhatsApp, по крайней мере, утверждает, что это невозможно (во что лично я верю с большой звёздочкой и мелким шрифтом).
Человек, может, грубо высказался, но, я считаю, по сути верно.
Телеграму можно предъявить за то, что говоря о шифровании, они не делают акцент на том, что для этого нужно использовать секретные чаты, которые не синхронизируются даже на том же устройстве (Тг/Тг-Х). А MAX можно уже предъявить за заявления о p2p-шифровании, которое там присутствует только между клиентом и сервером, т.к. функционал секретных чатов там полностью отсутствует.
Это вы про недофичу, которая отсутствует в официальном клиенте? ))
Я даже и не видел такую. Ну, знаете, потому что невозможно увидеть то, чего нет в официальном клиенте, которым ты пользуешься.
А каким образом передаются ключи для p2p шифрования в ТГ?
Скорее всего через центральный сервер и у нас отсутствие возможности проверить соответствие ключей чатов.
Так что и телеграму никто не мешает посадить посередине майора
А каким образом передаются ключи для p2p шифрования в ТГ?
Общий ключ через ECDH, там через сервер обмен идет только публичными ключами
Если можно подменить ключ, то можно и MITM организовать. Ты просто будешь отправлять сообщения зашифрованные ключем не собеседника, а майора-по-середине.
Вообще телеге лично я не доверяю. Она очень агрессивно ведёт себя в плане прав, злоупотребляет темными паттернами UI и т.п.
Тот же вацап хоть и принадлежит очень стрёмной конторе (это наверное лидер по скрытой слежке вообще) но внешне ведёт себя гораздо приличнее. Хотя я бы и его снёс, но тогда совсем без связи останусь.
По-моему, вполне достаточно того, что телега требует для регистрации номер телефона (и проверяет его на настоящесть отсылкой кода по SMS). А потом товарищ майор делает маленький финт ушами....
ECDH не защищает от активного MITM. А как у telegram пересылаются сообщения в секретных чатах, через сервер telegram?
Мдя... Реально не понимаешь или расшифровать вопрос?
Точно Алиса получает ключ от Боба, а Боб от Алисы или Алиса и Боб получают ключ от Сервера, который прикинулся для них их собеседником(Алисой/Бобом)?
Соответственно вопрос к телеге в этом сервере ECDH - честный он или подсунут "кем надо".
В p2p общий ключ шифрования вырабатывается по схеме Diffie-Hellman. Она обеспечивает выработку общего секретного ключа в не доверенной среде. Клиент Телеграмма показывает отпечаток общего ключа в информации о секретном чате, соответственно, вы можете сравнить его с отпечатком собеседника и убедиться, что нет MITM. Такая же схема используется в звонках, но там немного модифицированная версия протокола, чтобы для проверки отсутствия MITM достаточно было 32 бит информации (4 простых эмодзи).
Проблема в том, что p2p шифрование используется только в секретных чатах и звонках, а защищённость секретных чатов пытаются обобщить на весь Телеграмм.
WhatsApp заявляет, что использует e2e шифрование во всех чатах и даже предлагает сравнить отпечатки общего ключа, но так как исходный код клиента закрыт, убедиться в правдивости крайне сложно.
Можно. Но, как это обычно бывает в opensource, исходники никто никогда не читает.
Max, насколько мне известно, форк TamTam, которым почти никто не пользовался (имхо).
Данная статья содержит кое-какие интересные моменты про текущие permissions Max'a, но было бы интереснее посмотреть ещё и на участки с эксплойтвми самого Java/Kotlin-кода приложения.
В любом случае, в этот мессенджер могут быть добавлены новые компоненты слежки чуть позднее, когда кроме фейковой аудитории появится и пласт настоящей - из работников госорганизаций, которых заставили поставить себе эту прогу и просто чайников, ставящих на основной телефон из любопытства.
Не забывайте про школьников и студентов,которым сказали общаться с учителями только через макс.
Вот здесь вообще не понимаю. "Сказали" - это подкреплено какой-то бумажкой, какие-то санкции пообещали? А если скажут им не курить, не пить и заниматься учёбой - сработает?
Просто учителя не будут отвечать в другие мессенджеры.
И никакой бумажки, что они в другие мессенджеры обязаны отвечать ни у кого нет.
судя по всему скоро на госуслуги без аутентификации через макс не зайдешь 🤷♂️
Как будто вотсап с телегой не такие
Это мы про шифрование, которое в несекретном чате телеги тоже нет?)))
клон телеграма из которого специально было вырезано шифрование что бы гебня могла следить за людьми
Прошу прощения, а в Телеграм было что вырезать?
И вы даже можете мне показать, как вне Телеграм сгенерировать свою пару ключей для шифрования/подписи сообщений внутри него?
Или под "шифрованием" вы понимаете то, как он некими, кем-то/чем-то сгенерированными ключами, доступа к которым у вас нет, пароля к которым вы не задавали, и где они хранятся вы не имеет ни какого понятия, делает, кхм, "обфускацию" сообщений от "дворовой гопоты"?
Макс - клон телеграма из которого специально было вырезано шифрование.
Для наивного но амбициозного юзера(наивно решившего что он легко и непринужденно обыграет государство в наперстки при помощи стандартных популярных месседжеров) это скорее полюс.
Повторю свой же коммент из другой ветки:
Когда имеем дело с государством полагаться на встроенное в популярные месседжеры сквозное шифрование, даже там где оно есть, это вопрос веры, а вовсе не следования суровой логике доказанной информационной безопасности. Более того есть доказательства их небезопастности.
**************************************
Возмем к примеру наиболе популярный в России Телеграмм:
В правильно организованном сквозном шифровании ключи шифрования не передаются и не синхронизируются по тому же каналу, по которому предается шифруемое этими ключами сообщение.
В Телеграмм где все в одном канале происходит, для синхронизации сесеионных ключей применяется алгоритм Диффи-Хеллмана-Меркля, что при таком раскладе вовсе неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”. Алгоритм Диффи-Хеллмана-Меркля уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда(Т.к. Вы не знаете с каким узлом сети Вы синхронизируете свои ключи шифрования). Он лишь защищает от перехвата ключа пассивной прослушкой.
К этому добавлю, что в известном видео-канале, что на одном непривествуемом российским государством видеохостинге, очень подробно и популярно всем пояснили, что метаданные аккаунтов Телеграмм и вовсе передаются в открытую, а сервера через которые проксируется российский трафик Телеграмм находятся в юрисдикции РФ. Были в том расследовании еще некоторые вишенки на торте, но уже сказанного достаточно для идеальной атаки MitM, “человек посередине”, товарищем майором, которую даже косвенно не отследить(ибо трафик при атаке пойдет как обычно, а кого товарищу майору слушать - понятно по метаданным).
С WhatsApp конфиденциальности не больше - к нему израильским разработчиком коммерческого шпионского ПО "Paragon" производиться клиент для бэкдора WhatsApp-приложения(поисковики все знают, хоть старую инфу трут, но появляеться все новая и новая). Тут можно не просто слушать перехваты собственно месседжера, а есть возможность на полную катушку использовать разрешения WhatsApp-приложения на доступ к микрофону, камере, экрану, файловой системе и т.д.
P.S. Тут как раз в тему вспомнить очевидный постулат от Брюса Шнайдера, о том что очевидное отсуствие защиты, лучше чем иллюзия ее наличия.
P.P.S. А высказанная здесь в комментах идея сделать свободный вариант клинента(что бы гарантированно без бэкдор-функционала) под протокол Макса мне представляеться весьма здравой. Теперь обменивайтесь УЖЕ зашифрованными, проверенным на ИБ способом, сообщениями. Разумеесться метаданные, привязанные к деанону при регистрации(как в WhatsApp и Телеграмм никуда не денутся и тут, но этот "слон в шкафу" почемуто многих как раз и не смущает).
В Телеграмм где все в одном канале происходит, для синхронизации сесеионных ключей применяется алгоритм Диффи-Хеллмана-Меркля, что при таком раскладе вовсе неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”. Алгоритм Диффи-Хеллмана-Меркля уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда(Т.к. Вы не знаете с каким узлом сети Вы синхронизируете свои ключи шифрования).
Он не защищает от MITM, но он делает так, что MITM не останется незамеченным. Чтобы убедиться в отсутствии или наличии MITM, можно в информации о чате посмотреть свой отпечаток общего секрета и сравнить его с отпечатком на стороне вашего собеседника. Остаётся только убедиться, что приложение, установленное на вашем устройстве, действительно собрано из опубликованных исходников и поэтому чётко следует протоколу.
но он делает так, что MITM не останется незамеченным
Это лишь в том частном случае, когда тов. майор вклинился после инициализации сессии.
Сам Телеграмм данное ограничение и сам не скрывает(https://core.telegram.org/api/end-to-end/video-calls):
we use a three-message modification thereof that works well when both parties are online (which also happens to be a requirement for voice calls):
Т.е. по русски:
мы используем модификацию из трех сообщений , которая хорошо работает, когда оба абонента находятся в сети (что также является требованием для голосовых вызовов):
Тут, алгоритмически, по умолчанию подразумеваеться, что возможность затем сверить "истинные отпечатки" Вы получили еще до аттаки(тоесть для обмена контрольным секретом этот же канал был вначале безопастным, что мягко говоря не гарантировано).
Сам себя поднять за волосы может только барон Мюнхаузен, да и тот только в собственных фантазиях.
К этому добавлю, что имея, в пределах подконторольной юрисдикции, гарантированный доступ к проксируему трафику, причем диференцируемому по метаданным до конкретной учетной записи, тов. майор может обойтись и "полуактивной" прослушкой:
Телеграмм даже не проверяет числа применяемые для генерации ключей(которые ему от сервера между прочим приходят, ибо клиент в принципе не может сам генерировать простые числа необходимой разрядности имеющие, прошу прощения за тавтологию ключевое значение в алгоритме) на математические бэкдоры.
Это лишь в том частном случае, когда тов. майор вклинился после инициализации сессии.
Поясните, как в схеме Диффи-Хеллмана можно установить соединение с MITM так, чтобы у абонентов были одинаковые отпечатки секрета?
we use a three-message modification thereof that works well when both parties are online (which also happens to be a requirement for voice calls)
Это нужно лишь для того, чтобы безопасно снизить длину кода верификации с 64 байт до 33 бит и показать его в виде 4 эмодзи. Это используется только в звонках.
чтобы безопасно снизить длину кода верификации с 64 байт до 33 бит
Не 64 байт, а 32 байт. Прошу прощения.
Поясните, как в схеме Диффи-Хеллмана можно установить соединение с MITM так, чтобы у абонентов были одинаковые отпечатки секрета?
Чтобы ответить на ваш вопрос, прошу сформулировать его алгоритмически(имея при этом в виду, что весь Ваш трафик проходящий через серверы Телеграма подконтролен "человеку посредине", т.е. может быть и прослушан и модифицирован).
То есть пошагово:
Начиная как Боб и Алиса устанавливают сессию с Евой посредине, т.е. откуда Боб и Алиса берут "секретные отпечатки", и как далее пошагово, как они используя эти "секретные отпечатки" выявляют присутствие Евы.
Замечу что сама по себе пересылка любого секрета(ответа на "секретный" контрольный вопрос например, хоть человеком, хоть программой) человека по середине не выявляет.
Вы, видимо, не до конца понимаете как этот алгоритм работает. Смотрите:
Алиса на своем устройстве (не на сервере) генерирует пару открытый-закрытый ключ. Боб генерирует свою пару. После этого Алиса и Боб обмениваются публичными ключами. Затем Алиса на основе своего закрытого ключа и открытого ключа Боба генерирует секрет, а Боб - на основании своего закрытого ключа и открытого ключа Алисы. Алгоритм устроен таким образом, что у них получится одинаковый секретный ключ.
Если мы говорим про MiTM, то тут возможны лишь два варианта:
Ключ генерируется на сервере - про такой кринж я, пожалуй, умолчу
Сервер использует свою пару открытый-закрытый ключ, и общий секрет вырабатывается не между Алисой и Бобом, а между Алисой и сервером и Бобом и сервером
Во втором случае из-за того, что сервер использует свою пару открытый-закрытый ключ, общие секреты на конечных устройствах будут отличаться. И чтобы это проверить достаточно сравнить даже не сами ключи, а, например, хэш-сумму, которой можно безопасно обменяться по недоверенному каналу
Вы не можете безопасно обменяться чем либо если с самого начала ограничены лишь каналом который прослушиваеться, а трафик может быть модифицирован.
То о чем вы говорите это по сути ЭЦП сессионным ключем. Вашу ЭЦП человек посредине без труда переподпишет(в вашем случае приложит хэш соответствующий своему ключу).
Атака человек посредине может быть детектирована лишь когда комплиметарный открытый ключ из пары сгенерированной Вашим собеседником доступен Вам способом независимым от недоверенного канала.
То о чем вы говорите это по сути ЭЦП сессионным ключем. Вашу ЭЦП человек посредине без труда переподпишет(в вашем случае приложит хэш соответствующий своему ключу).
Ну нет, ЭЦП и шифрование - это разные вещи. Еще раз - закрытая часть ключа, формирующего секрет никуда не передается, а без нее подделать корректный отпечаток ключа не получится. Атакующий может как угодно модифицировать траффик, но он не сможет (точнее может угадать, но вероятность этого крайне низкая) подделать корректный отпечаток ключа, а значит и скрыть MiTM (иначе зачем ему модифицировать траффик?)
З.Ы. и вообще, ECDH как раз для того и придуман, чтобы безопасно высчитывать общий ключ шифрования через недоверенный канал связи
З.З.Ы То, о чем вы пишите ниже теоретически возможно лишь в том случае, если все пользуются одним каналом связи, находящимся под контролем серверов телеграмма, вот только ИРЛ сервера телеги, провайдеры связи и госуха, которая пытается в слежку - это три разных актора, которые в данном варианте атаки будут как лебедь, рак и щука
Атакующий может как угодно модифицировать траффик, но он не сможет (точнее может угадать, но вероятность этого крайне низкая) подделать корректный отпечаток ключа, а значит и скрыть MiTM (иначе зачем ему модифицировать траффик?)
Атакующему нет необходимости ничего угадывать - каждому из собеседников он отправляет, как вы выразились "отпечаток" того своего закрытого ключа, который он синхронизировал по DH c данным собеседником. В этом и заключаеться модификация трафика с данной целью.
Собеседник же находясь лишь в рамках недоверенного канала не может установить с каким узлом он синхронизировал открытый ключ, которым проверяет он "отпечаток".
А в телеграме (в обычных чатах) тоже нет end-to-end шифрования. Все шифруется только до сервера. Так что в этом плане они не так уж и сильно отличаются
ндааа)
как в том анекдоте)
сам не смотрел но осуждаю)
Да какой, нафиг, анекдот. Почитайте советские газеты 1973 года, когда начали Солженицина гнобить. Только не "не смотрел", а "не читал". Когда наш преподаватель по истории кпсс вышел из аудитории, не закрыв дверь и получил в спину "кавторанг, закрой дверь", потом на попытку выяснить, кто, был добит вопросом, "вы же не читали?", и молча закрыл за собой дверь под хохот всей группы.
На самом деле шифрование наоборот нужно сделать в гос мессенджере. Ключ шифрования есть у разработчика и подобрать его, если у вас есть ваша хеш функция не составляет особого труда. Чё уж говорить, если ключ будет просто передаваться автоматом на сервер, в там уже любой Вася Пупкин на сервере может их расшифровать. Меня больше беспокоит гугллвская библиотека для сбора данных о пользователе. Неужели российский разработчик настолько туп, что будет передавать гос данные в Гугл для таргет рекламы?) я туда не лез, но чую должен быть там эксплойтик внутри, которые все данные в Гугл перекидывает .
Интересный разбор, но вот задумался, а почему проверяют только мессенджеры? Если такие приложения как Макс пропускает Apple, значит в любое приложения можно засунуть полную дичь для слежки. На Андроид ещё более интереснее, там пропуск приложений ещё слабее.
Можно сделать целый блок разбора приложений РФ, в особенности: Госуслуги, все банковские, маркетплейсы. Да блин, в теории Яндекс музыка может сливать много инфы?!
Я не спец, могу ошибаться, но посмотреть было бы интересно.
Ну и согласен с автором выше, разбор WhatsApp и Telegram плюс инста и прочие соц. сети. А потом уже сделать общий анализ на сравнение всего, получилось бы отличная статья!
Потому что мессенджерам легитимно нужны разрешения на доступ к контактам, камере и микрофону. Яндекс-музыка такие разрешения не просит, а если попросит - то не получит, потому что зачем оно ей?
Ну у меня приложения из российской юрисдикции или давно удалены или сидят на отдельном физическом устройстве.
если вы допустим проживаете в другой стране, возьмём любую Европейскую страну. Там 100% есть свои внутренне приложения сервисов, гос. услуг и т.д.
Почему бы не проверить их тоже? И я тут не сторонник Макса и прочее, это просто любопытство и так мы сможем выяснить, где же всё таки не следят за нами?
Я российский софт выпилил еще находясь в рф. Когда какой-то очередной софт спалился со слежкой и высадил батарейку за день и нагенерил гигабайт трафика в фоне.
Когкретно в той стране где я живу тут с этим всё плохо. Или хорошо, как посмотреть.
Приложений нет, а те что есть ничего кроме интернета не просят. Вся госка сидит на вебпорталах. За три года 0 (ноль) звонков с рекламой и мошенниками. Про массовые утечки я не слышал. Думаю это не сколько от хорошей защиты, а просто при массовом запросе данных любая государственная база зависает. Собственно те данные которые тут про меня есть они и так почти все публичные (если база не зависла). Но никакая техподдержка никогда номер паспорта спрашивать не будет. Никакие знания анкетных данных не дают нигде и ничего, кроме доступа к и без того публичной информации.
Местный коммерческий софт в отличие от той же телеги никакой подозрительной активности не проявляет, никаких сверхправ не просит. Банковское приложение вообще не знает о существовании адресной книги. Никаких переводов по номеру телефона тут нет. Не просит даже локацию, т.к. карты банкоматов в нём нет. Для единственного банкомата в единственном отделении карта не нужна. Да и в гугле можно найти, если отшибло память и забыл где открывал счет.
80% платежей - кэш. Хотя все эти оплаты телефонами, часами и электронными сигаретами работают и есть в каждом ларьке, но пользуются в основном только русскоязычные.
А китайские анальные зонды я выпиливал еще более нещадно чем российские. Хотя тоже проблемы с этим. Он либо интегрирован в UI так, что не поломав не удалить, либо без рута не удаляется, как например сервисы слежки от мордокниги.
Какой-то анальный зонд у меня рандомно в среднем раз в неделю-две повышает разряд батарейки с 5-10% до 25-35% в сутки. Но как его найти без рута - хз. Грешу на гугл или мордокнигу.
apple пропустил max только в рф, в других странах он недоступен
Не разбирали ли подобным образом последние версии официальных клиентов WhatsApp и Telegram?
Ха-ха-ха! Вот, такой же вопрос возник сразу же после начала чтения. Статья, конечно, совершенно слабая в технической части. Одни домыслы.
У меня одного возникло чувство, что это продолжение оплаченной волны на Макс по молодежным сайтам Рунета? Автор, может, и не получал ничего лично, но участник той волны однозначно, по факту. (Многие блогеры (авторы-любители) используются в тёмную, даже не догадываясь об том.)
Мед тем, Скотт Макнили, кто в курсе значимости персонажа, ещё в 99 говорил: забудьте про приватность и живите с этим. Есть статья в Wired.
Там тоже хватает интересных моментов, но разница в том, что телеграм хотя бы предоставляет опенсорсный клиент, где можно посмотреть, как эти разрешения используются, а вотс - это черный ящик от корпорации, которая зарабатывает на данных
Так что вопрос, кому вы больше доверяете
телеграм хотя бы предоставляет опенсорсный клиент
А можно всех опенсорсный сервер посмотреть?
Это газпром методичку выпустил переключить внимание на сервер?
Никто с айкью выше комнатной температуры конфиденциальности от переписки в скаме не ожидает (да и в телеге в общем-то тоже).
Вопрос в том какие данные скам может украсть (=украдёт) со смартфона за пределами приложения.
Кстати, при честном e2ee сервер вторичен. Пример - syncthing.
Вам не всё равно, что у ТГ и ВА в коде в рамках данной статьи? Как это коррелирует с Максом? Что изменится в жизни и что случится, если они будут одинаковыми? Или разными?
Зашел в комментарии это написать. А тут первый такой же комментарий. Было бы люто интересно, увидеть сравнение с мега-безопасными телеграмом и васаппом, в стиле "вот это разрешение есть у Макса, а у телеграма и ватсап нет".
почему все пытаются сослаться на все, что угодно - на другие мессенджеры, разрешения и т.п. - чтобы выставить макс белым и пушистым?
Я например так и не нашел ответа на свой вопрос - зачем макс скрыто прописывается в автозагрузке?
Единственный путь - реверс-инжиниринг протокола и написание альтернативного клиента. Цель - оставить товарища майора хотя бы только на сервере и прогнать его из собственного телефона.
И добавить в клиент pgp.
Боюсь что это повлечет для создателя обвинения по статьям 273, 274, 274.1 и 274.2. А так то идея хорошая, проблема только обеспечить канал передачи открытых ключей, как я понимаю основная сложность pgp именно в этом.
С другой стороны, а зачем, чтобы что? Иметь неблокируемый безопасный канал связи? Слишком малая аудитория, на мой взгляд. А для одноразового видеопотока управляемого аппарата - аудитория еще меньше, да и видео не зашифровать на устройстве, идет сжатие и тем самым повреждает данные.
может просто не пользоваться им?
Может и не пользоваться.
Но...
как жаль что нет такого удобного инструмента, в котором ученик может записать чтото чтобы передать родителям, а родители после ознакомления например расписывались бы. Думаю он должен был быть бумажным и не зависел от наличия ПК и смартфона с интернетом. Хотя подождите, ох блин /s
А ещё чтобы в нём расписание уроков записывать и оценки!
Хм, да это же золотая идея для стартапа! Можно будет продать за сотни миллионов долларов! Я даже название придумал: кринжбук.
Вот жеж! Я класса с 7-го дневник перестал заполнять, а батину подпись (да-да, в еженедельной графе, идущей после оценки за поведение) перестали принимать класса с 5-го (подпись матери, почему-то, вопросов не вызывала, хотя графически была значительно проще батиной).
Кстати, электронные дневники и MAX никак не связаны. И даже школьные чаты из Сферума официально только в 6 регионах переехали. Но мы все знаем, какую важную функцию выполняют учителя, поэтому картинка выше - любой регион РФ.
Связаны через ЕСИА
Есть такой удобный инструмент, однако дети могут не записать что-то, или записать неправильно. А ещё есть (внезапно!) информация, которая не совсем предназначена для детей и не может быть передана в этом инструменте.
1.Родительское собрание
2.Вызов родителей в школу, если что-то неотложное (сходу не могу представить - что)
Можно по каждому поводу устраивать собрание, но гораздо оперативнее и удобнее для всех оповещать через чат.
Как вызвать? Звонком? Щас такой народ нежный пошёл, на незнакомые звонки не отвечает, да и может не быть возможности ответить на звонок на работе.
Можно придумать кучу вариантов, но зачем, если есть чат.
Зачем же отвечать на незнакомые звонки, если есть знакомые? Например, учителя можно записать в адресную книгу)
Этих чатов развелось... почта, ватсап, телеграм, смс, вк, ок, дзен, imo, twinme, теперь еще этот одобряемый сверху. Пусть те, кто его одобряет, сами и пользуются, а другим не навязывают. Покажите мне хоть одну айти-инициативу, одобряемую сверху, которая действительно удобна и полюбилась всем. Только не говорите про госуслуги, их все просто вынуждены кушать, потому что других вариантов нет.
Покажите мне хоть одну айти-инициативу, одобряемую сверху, которая действительно удобна и полюбилась всем.
Ну тут я могу сказать шире, любые инициативы "сверху" не будут удобны и не полюбятся всем. Просто из определения государства.
Тогда придется убрать все альтернативы, то есть заблокировать все не разрешенное. Уже наблюдал, как работает эта новая фильтрация. Никаких вэпээнов, никаких альтернативных мессенджеров, только одобренное сверху. Ну, наверное я все равно не начну смотреть рутуб и читать вк, слишком они дрянные. Придется снова к книгам возвращаться. А вместо макса - телефонные звонки. Провались они все.
Только не говорите про госуслуги, их все просто вынуждены кушать, потому что других вариантов нет.
А нужны другие варианты? Или Вам в очереди интересно постоять, что бы услугу получить? Вы может еще квитанции за квартиру на почте оплачиваете до сих пор?
Можно привести пример срочной и внезапно возникшей информации, которую нужно передать, минуя ребенка?
Ок. Возникла сомнительная ситуация в классе, не в меру быстро повзрослевшие девочки слегка поиздевались над мальчиком. Учитель проинформировала о данной ситуации, попросив провести беседу со всеми сопричастными (участниками и наблюдателями), дав свои комментарии и варианты. Ситуация была неприятная (хоть и напрямую касалась не моего), о ней хотелось бы узнать поскорее, а через ребёнка такое передавать, разумеется, она не будет.
Оно может и не часто такое произойдёт, однако редко, да метко.
Ничего меткого не вижу. Что в этом срочного?
Ну тут у каждого свои понятия меткости и срочности.
Хотелось бы оперативно знать, что происходит с ребёнком, чтобы с ним поговорить о чём-то, а не ждать родсобрания.
А ребёнок сам, без помощи учителя, знает, что с ним происходит? Если да, то зачем в этой схеме учитель? Если нет - то точно ли это нормальная ситуация?
Помнится, в прекрасном почтовом клиенте The BAT! при прочтении адресатом письма показывался текст примерно следующего содержания: "письмо было открыто получателем, но это не означает, что оно было прочитано или понято". Когда дело доходит до "тонких материй", единственно правильным вариантом будет поговорить (прям, голосом) с каждым из участников индивидуально и убедиться, что он осознал весь драматизм ситуации. А вопрос незнакомых номеров решается максимально просто, 1 сентября выдается бумажка с номером служебного телефона учителя, которая потом возвращается с номерами родителей и подписью, что они его записали себе. И такие 30 листиков лежат в папке у классного руководителя.
Ну если ребёнок сам об этом не сказал - значит либо это совершенно не важно для него, либо он сознательно не хочет говорить с родителями об этом. Наблюдаю за излишне заботливыми родителями, от которых дети уехали учиться в ВУЗ в другом городе - прямо как рыбы, выброшенные из воды...
"Не важно" для ребёнка не означает, что это нормально.
Дети не осознают многих вещей.
С ними нужно говорить, объяснять. Я не сторонник "оберегания", но считаю своим долгом объяснять происходящее.
не в меру быстро повзрослевшие девочки слегка поиздевались над мальчиком
Про отношения девочек и мальчиков нужно где-то лет в 8 начинать "объяснять происходящее", до начала гормональной перестройки, которая буквально "бьет в голову". Так гораздо меньше шансов подвергнуться мнимым издевательствам, а настоящий буллинг это проблема совершенно другого уровня и срочности.
Впрочем, вы не указали возраст девочек и мальчика.
А родители знают - что нормально для этого возраста в это время?
Дискуссия давно зашла не туда, мягко сказать.
Пошли дебри воспитания и прочее.. А началось-то просто с замечания о школьных чатах и скрепном мессенджере :(
Но да, считаю, что родители знают, что нормально, а что нет. В силу жизненного опыта.
родители знают, что нормально, а что нет
ах-ха-ха-ха рыдает
вы, видимо, плохо представляете, какой процент населения считает нормальным, что ребёнка можно попросить "пояснить за шмот" или причёску и вообще живёт в мире, где можно обвинять жертву обычного и/или сексуализированного насилия ввиду того, что она была как-то не так одета или была "черной в пятницу вечером" (с)
у моих знакомых была ситуация в школе: дети в классе решили, что можно задирать юбку одной из девочек, при обсуждении на род. собрании некоторые родители всерьёз несли пургу в стиле "не, ну вы видели, какая она короткая - сама виновата". а один мой бывший коллега родом из дагестана рассказывал, что мальчикам лет до 14 не рекомендуют ходить в бассейн, когда на других дорожках плавают взрослые мужчины, так как эти мальчики своим внешним видом могут что-то там спровоцировать. т.е. никому не приходит в голову рекомендовать сидеть дома (идти колоть дрова или звонить в колокола) тем, кто не способен себя контролировать при виде подростка в плавках.
Наблюдаю за излишне заботливыми родителями, от которых дети уехали учиться в ВУЗ в другом городе - прямо как рыбы, выброшенные из воды...
«Мне так нужна игрушка — хоть кукла, хоть зверушка — но чтобы обязательно живая!» ©
Хотелось бы узнать поскорее для чего?
Вроде писал уже... расширю. Объяснить, что делать в таких ситуациях, если произойдёт с ним, попытаться донести, что не стоит вести себя так же по отношению к кому-то.
Обычный воспитательный процесс.
Т.е. это до вечера или до завтра подождать не может? Вам нужно узнать прямо сейчас, чтобы поехать с работы объянсять ребенку, что делать в таких ситуация?
не в меру быстро повзрослевшие девочки слегка поиздевались над мальчиком
Если это иные насильственные действия сексуального характера, совершённые группой лиц – то не в мессенджер пишут, будь то Max или что ещё, а вызывают наряд полиции, а они уже знают, кого, по каким каналам, и как скоро оповестить. В противном случае не вижу ничего срочного и экстраординарного.
Они знают, что
лучше не писать заявление все равно у нас есть дела поважнее и ничего хорошего из этого не выйдет вы же понимаете но если настаиваете надо проехать в отделение там посидите несколько часов вам дадут бланк и зафиксируют в кусп запрос на который вы не получите ответа потому что go to start
При насильственных действиях в отношении несовершеннолетнего? Да что вы говорите.
Но даже если и так, непонятно, чем в данной ситуации должен помочь мессенджер MAX.
Просто еще один из многих инструментов.
Решение проблем вашего ребенка - дело ваших рук, не школы, полиции, прокуратуры или Дурова.
Инструментов чего? MAX за вас в отделение поедет или как? Опишите типовой сценарий, я не понимаю.
Решение проблем вашего ребенка - дело ваших рук, не школы, полиции, прокуратуры или Дурова.
Правда что ли? Типа вы идёте решать вопросы, размахивая битой, в случае чего? Ну ладно, дело ваше. А MAX здесь при чём? Как именно MAX решает приведённую выше проблему, и в чём же его такая уникальность, что нужно использовать непременно MAX и уже имеющиеся средства (телефонная связь, СМС, иной уже имеющийся мессенджер) ну никак не подходят?
Бита или бумага - вечный вопрос.
"Надежный" мессенджер поможет зафиксировать, что кот Иванова зашел с помощью ЕСИА и написал - факт аутентификации, факт взаимодействия, факт содержания. Можно это все конечно поставить под сомнение, но безусловно тяжелее, чем коммуникацию через "менее надежный" канал, а тем более звонок.
И да, я в курсе, что любые, даже самые заверенные документы или кристально четкие видеозаписи могут легко сгинуть, а то и просто "не приняты во внимание" на любом уровне, Джо таки не зря неуловим, но все-таки вероятность поменьше - исключительно про это мой комментарий.
(А детские игры могут оказаться действительно просто играми, хоть и жестокими)
Просто еще один из многих инструментов.
Им бы для начала уже имеющимися инструменами пользоваться научиться — а тут ещё один предлагают.
И потом полетит письмо в прокуратуру.
При том, что есть комиссия по делам несовершеннолетних. Где на учет могут поставить чуть ли не с первого класса. Оно конечно тоже полиция, но несколько другая.
Скажите, с появлением этих чатов стало ли что-то лучше? Качество образования может быть улучшилось? Или быстрее стали распространяться сообщения типа "завтра всем принести 500 р на новые занавески"?
Я бы предложил прекратить убеждать меня "нахер тебе эти чаты", ибо я вижу последние десятки постов именно это.
Я говорил про мессенджер, его навязывание, не нужны чаты - не пользуйтесь...
Чат - канал распространения информации. Можно знакомить родителей с ней одним способом, можно другим, можно через чат.
Из свежего.
В субботу дети поехали в поход выходного дня. Планы чуток изменились, а именно место встречи класса на вокзале, в итоге проторчал с ребёнком не там. Встретились конечно, но в чате оказывается инфа была, где новое место встречи.
Ага, а потом вы узнаете, что у вашего чада 2 или 3 дневника)
Так гордится надо, (изворотливость в наше время тоже в цене)
И в каждом подписи классного руководителя?
если заморочится, то в каждом
Можно давать один для хороших оценок, а другой - для плохих.
Можно перерисовать подпись (родители же каждый раз при открытии будут проводить графологическую экспертизу, да?) в о второй.
Можно давать один для хороших оценок, а другой - для плохих.
Так, стоп, Петров. У тебя же вчера двойка была!
Можно перерисовать подпись (родители же каждый раз при открытии будут проводить графологическую экспертизу, да?) в о второй.
Даже раньше это вскрылось бы после первой четверти...
Моя классная руководитель собирала дневники раз в неделю и сверяла оценки с журналом. Тех оценок, которых не было в дневнике- записывала сама.
Ну, это несложно на самом деле - спросите у секретаря гендиректора...
у некоторых, сообразительных, учеников было по два бумажных дневника: для школы и для дома...
Ну перенесут туда чаты домовые. А дальше? Кто то вне этих чатов пользоваться будет?
Ну перенесут туда чаты рабочие. А дальше? Кто то вне этих чатов пользоваться будет?
Ну перенесут туда чаты госуслуг. А дальше? Кто то вне этих чатов пользоваться будет?
Я целиком за то, чтобы все перечисленные чаты перенесли в введение майора, чтобы потом ни одна собака не могла сказать "мы вам этого не говорили". А то меня, например, всегда заранее предупреждают о плановом отключении электричества - за два дня после этого отключения.
Думаете, что товарищ майор будет разбираться с тем, говорили ли вам про отключение до или только после? )
У товарища майора дела поважнее есть чем ваше отключение от электричества. Вы ещё не поняли живя в росии (намеренно исковеркано), что это не для вас делается, а для контроля над вами
Вас хотя бы предупреждают...
Я был бы рад, если бы эта калитка в обе стороны открывалась. Например, пусть всё общение с операторами связи, работодателями, наемными сотрудниками, банками, авто-салонами будет в этом мессенджере. Если кто-то захочет подключить мне какую-то услугу или ещё как-то обмануть, я просто нажимаю "Жалоба" и бутылка правосудия летит в профильный отдел. Я не хочу заверять скриншоты у кого-то, не хочу доказывать что условный смайлик "большой палец вверх" на сообщении означает согласие
заранее предупреждают о плановом отключении электричества - за два дня после этого отключения
Это ещё что - мне как-то заказное письмо пришло от судебных приставов - "оплатить штраф 50 рублей не позднее 04.03.2000...", отправленное, согласно почтовому штампу, 07.03.2000, ну и полученное, вестимо, сильно позже всех разумных сроков =)
У нас мэр города в соей телеге "предупреждает" об отключении воды через час-два после самого отключения.
Ну я вижу просьбу, а не требование. Просьбу удовлетворять не обязан и не буду.
Неделю назад дочку в сад переводили. Воспитатель: А у нас группа в сферум, ну и макс.
жена : Ни одного приложения от ВК на моем телефоне стоять не будет!
Воспиталка: Хорошо, добавлю вас в группу Ватсап
(предъявляет Nokia 3310): — Ну ладно, ставьте!
В прошлом году классная: Теперь у нас группа не в ватсапп, а в сферуме.
Жена: сферума на моём телефоне стоять не будет!
Классная: хорошо.
Итого несколько раз просрали нужную информацию, потому что дружественные родители могли её не передать (лично) или передать позже, чем надо, а в чате мы не состояли.
просрали нужную информацию
А вот вопрос - кому нужную: вам или учителю? Если учителю, то почему это ваша проблема? Если вам, то что мешало докопаться до учителя другим способом (да хоть бы и просто через ребёнка)?
Мне нужную. Самый банальнейший пример, за который, конечно же, заминусят на хабре - "в четверг фотографируемся для альбома, не забываем одеть детей поприличнее".
Чтобы докопаться до учителя - нужно знать, что ЕСТЬ эта информация, что нужно докапываться. Второе - как докапываться? Чаты появились не из придури, а из-за того, что это реально удобно. Иначе что, звонить? когда звонить, чтобы и учитель мог ответить, и самому было удобно. А просто через ребёнка.. он на то и ребёнок, что за него отвечают родители.
Грустно мне видеть эти страдания...
Купите китайфон за 2000т.р. с симкой, поставьте на него Макс, положите в ящик стола, чтобы разговоры не писал - в этих телефонах микрофонный тракт, как в Airpods Pro, или еще хуже.
И берите раз в сутки посмотреть. Можно чаще.
В чем проблема-то? Что у вас государство 2000р в очередной раз из кармана вытащило? Ну редиски, и что теперь?
Купите китайфон за 2000т.р. с симкой, поставьте на него Макс
А встанет, кстати? Китайфон за 2000 - это, сейчас, вроде бы, только БУ. А тут народ жалуется, что на старые андроиды оно не ставится.
на старые андроиды оно не ставится
Не меньше 10 (пруф https://help.max.ru/help/about/na-kakih-ustrojstvah-rabotaet-max)
2000 т. р. - это 2 000 000 рублей, ага. :)
Страданий-то нет. Уже взят битый-колотый-старый детский смартфон, ему куплен новый хороший. Спасибо самсунгу с его 3 или сколько там лет обновления ОС, версии андроид хватает (10 андроид нужен).
Купите китайфон за 2000т.р.
Фигасе у вас лухари китайфоны.
Все уже поняли, что внедрение таких вещей у нас будет происходить по принципу кота, которому задницу намазали горчицей (из известного анекдота), когда будут есть что дают добровольно и с песней.
Вы волнуетесь за своего ребенка и заботитесь о нем, вот за эту заботу вас и цепляют. Вы вынуждены делать то, что вас заставляют делать, чтобы ребенок получал достойное образование и все прочее, что должен.
Господи, одни инвалиды в стране... Без чатиков/групп и прочих телефонных фиговин из дома выйти не могут... И как же 30 лет назад вы образование-то получать умудрялись? Или вас всегда и везде бабушка сопровождала?
Нет. Но когда я сильно повредил шею и уехал в больничку из школы, родителям было очень весело это узнавать через несколько часов, а потом ещё искать - а куда это я уехал. А ещё очень весело было родителям, которые по каким-то причинам (работа) не могли прийти на родсобрание. И при чём тут образование вообще, чаты для родителей, а не для детей.
Ну а раз уж вспоминаем, что было 30 лет назад, то предлагаю пойти дальше и повспоминать, "а как же раньше было". И про образование (недоступное массе), и про здравоохранение, и про прочее. Только зачем вспоминать прошлое, если мы живём сейчас?
У меня подруга принципиально не ходила на родительские собрания. Если у учителя есть что-то сказать про конкретных детей - есть телефон или приглашение в школу. В некотором смысле я понимаю её - единственное полезное что там было для меня - посмотреть на учителей, понять примерно - что они представляют из себя. Всё остальное - бесцельная трата времени.
Странно... на моей памяти, на родсобраниях редко кто, кроме классного руководителя появлялся. Про весь педсостав я строил представление исключительно во время "частных визитов", правда, основную часть преподавателей я и так знал - текучка в нашей школе была небольшая (вот, литераторша, выпускавшая меня 30+ лет назад, лишь лет 5, как ушла из школы, ну в этом году и совсем; математичка одна до сих пор преподаёт, другая уж при мне была пенсионного возраста, но дочу мою пару лет учила)...
Какая разница, что было 30 лет назад? Давайте ещё вспомним, что было 130 лет назад, когда изредка мылись в банях и срали в горшок, оставляя его до утра под кроватью. Люди хотят жить в будущем, или, хотя бы, в настоящем, а не в прошлом, и не надо их за это осуждать.
Другое дело, что считать будущим. У меня вот, например, iPhone (компьютер, на который нельзя ставить программы по своему выбору) с будущим плохо ассоциируется. Средневековье какое-то. Может, и чатики это не прогресс, а регресс. Всё может быть для тех, кто open-minded и вообще хоть немного того… minded. Но сам подход «наши деды жили и не тужили» это точно что-то неправильное, я считаю.
iPhone (компьютер, на который нельзя ставить программы по своему выбору)
Не переживайте, с 2027 и на Android нельзя будет (пробегала тут новость, что Google будет требовать у всех приложений цифровую подпись разработчика, а ее получить можно будет только по паспорту). А на китайскую HarmonyOS, думается, с момента релиза нельзя.
Так что придется наконец-то допиливать сайт до нормального состояния и делать на его основе SPA. Вон, у Альфабанка десять с лишним лет личный кабинет на сайте был в стиле "привет, девяностые", а вот после 2022-го что-то случилось и резко пошли обновлять веб-версию: и дизайн сделали красявый, и полезные фичи типа платежи раз в две недели сломали / отпилили, и рекламы услуг понапихали.
Так я не переживаю, а как раз специализируюсь на смежных задачах. И на задачах из смежной области. Например, пока 2027-й не настал и ещё можно свои .apk'шки запускать без «сертификации» (ха-ха) девелоперов, как можно без компиляции целого Хромиума и без запуска локального веб-сервера дёргать нативный функционал платформы из джаваскрипта внутри webview. Там, как известно, интерфейс предусмотрен только в одну сторону. Или как на айфоне, где 2027-й год был с самого начала, задействовать хотя бы часть нативного функционала (типа блокировки ориентации экрана) не имея вообще ничего, кроме сайта. Правда, давно такие задачи не решал, но наш бронепоезд стоит на запасном пути.
Как было бы красиво (розовые влажные мечты), если бы Китай или Россия взяли FirefoxOS, и перезапустили. Чисто гегемонию подорвать. Но зачем им, когда можно подрывать гегемонию административно-правовыми методами. А они некрасивы, хоть и эффективны. И это ввергает в уныние любого любителя красоты.
Эта проблема будет только у телефоном с гугл сервисами - это раз. И даже в том случае любое приложение ставится спокойно через компьютер - это два. Даже у Apple их AppStore не единственный источник приложений, просто вы об этом не знаете. А если это кого-то беспокоит то он покупает устройство с разрешением на разблокировку загрузчика и ставит систему с Рут правами и ставит microG вместо гугл сервисов. Profit.
Просто предумали проблему которой не существует. А если есть отговорки, что все это сложно, значит просто не приспичило.
зачем минусить, наоборот спасибо за пример проблемы. Но почему это было не сообщено ребенку чтобы передать вам? Если ему не сообщили, то странное какоето место и класрук не на своей позиции, если сообщили, то ребенок в состоянии же понять важность этого сообщения и при необходимости записать кудато, а если ему не надо ну и ладно в чем проблема то? А если забыл, продолбал, не понял важности (а важно то для кого это должно быть, для вас или для него?), то вот он наконецто еще один урок жизни, ради этого же в школу ходят)
Ну, допустим, конкретно в этом примере с "одеться поприличнее" это вполне может быть нужно только родителям, но не ребёнку (в смысле, родители будут париться, а ребёнок забьёт). Говорю по собственному детскому опыту.
Всё верно, ребёнку это нахер не нужно, настолько неважная для него информация, что просто вылетит из головы тут же. Так что и в альбоме он выглядит.. не очень, и особого урока не извлёк.
особого урока не извлёк.
Ну вот взять мои школьные фото. Я за 30+ лет один раз заглядывал в эти альбомы когда паковал вещи при переезде. Ублюдочные по качеству фото (при этом есть более качественные и гораздо более старые фото) по цене самолёта, на которых хрен кого узнаешь (тех же однокласников сильно изменившихся с возрастом легко узнал, так что дело не в памяти). Я даже не могу сходу назвать вещь на которую мне больше похрену, чем на то, на сколько празднично я одет на этих фото. Какой еще урок?
Ну есть же люди типа метросексуалов... Они считают, что внешний вид - это очень важно. И наверняка пытаются передать это своим детям.
Урок - это я насчёт предыдущего комментария, что это урок жизни.
К тому, что урока тут не вышло.
А фото эти нужны не для ребёнка, а для родителей... Тем более современное фото сильно отличается от 30+ лет назад.
Кстати, я часто пересматриваю фото детей. Хоть школьные-садиковские, хоть самодельные.
Я фото с сыном пересматриваю, но скорее раз в несколько лет. И тогда в первую очередь интересны не какие-то официозно-постановочные фото, а наоборот, живые, сделанные в процессе какой-то деятельности... И уж кто во что одет и как причесан - абсолютно не важно. Я сам на фото к своему выпускному в виде протеста от всего этого официоза взлохматил себе волосы.
Мне уже сорокет, но мне абсолютно похрен как я выгляжу в школьном альбоме. Я даже не знаю, где он лежит.
Я на удаленке, и ребенка всегда (ну практически) я забираю. Жена с утра отводит.
Лично меня в этом чате и нет и небыло. Я прихожу за ребенком, мне воспитатель все рассказывает, и про прививки, и про наряды и т.п. А потом я еще с мамашками из нашей группы иду пару часов гулять на детскую площадку, дети веселятся, а я блин слушаю сплетни и вообщем про сад знаю больше жены с ее чатами )
А жена, если ребенок заболел, в личку воспитателю пишет, на ватсап.
А чат, родительский, без воспитателя, это ппц. Я там побывал разок, и меня удалили(или сам удалился, не помню). Ладно истеричные, жутко безграмотные некоторые мамаши. Но стоит им замечание сделать (не важно о чем, подключают агрессивных папаш…) Нафиг.
вообщем про сад знаю больше жены с ее чатами
О. Олдскул.
Старшего водили в садик - никаких чатов ещё не было (ну ватсап наверное уже был, но поскольку смартфоны были редкостью, то мессенджеры и тем более).
Родителей и других детей в лицо знали, про садиковскую жизнь знали больше, чем сейчас, сплочённее были, до сих пор на улице встречаемся - здороваемся.
С младшим сразу мессенджеры, и ни детей, ни родителей я уже не знал.
истеричные, жутко безграмотные некоторые мамаши
Есть подозрение, что они не работают. Попадаются такие, у которых какой-то сдвиг происходит на теме сидения дома.
что дружественные родители могли её не передать
Дружественные родители разучились набирать номер?
Эх, и никто не думает об учителях, которым приходится дублировать всю инфу и отслеживать там вопросы в нескольких разномастных мессенджерах, которые родители выбирают в соответствии со своими воззрениями.
Им и так дофига всего заполнять приходится. Тьху...
PS: Уж сказали бы - всех в морг в Мах, значит в Мах. :) Издали бы постановление минобра - все коммуникации родитель-ученик-преподаватель только там-то.
Эх, и никто не думает об учителях, которым приходится дублировать всю инфу и отслеживать там вопросы в нескольких разномастных мессенджерах, которые родители выбирают в соответствии со своими воззрениями.
Это их проблемы. Раньше вообще звонили или в дневник писали.
Издали бы постановление минобра - все коммуникации родитель-ученик-преподаватель только там-то.
И тогда автоматически это родило бы вопрос о выдаче средств коммуникаций (приносим nokia 3310 или любой другой тупофон, демонстрируем, спрашиваем, кто заплатит за смартфон и передачу данных для него. А все эти мессенджеры не позволяют зарегистрировать аккаунт с веб-версии, даже если она есть. (выводы делаем сами).
Им проблемы не нужны и они переложат их на вас. И ваших детей.
В случае ЧП коммуникация в дневнике, ДЗ диктуется, про экскурсии и прочие мероприятия скажут разок и тому подобное. Что там ребенок забыл или предпочел не говорить это ваша и его проблема.
Кому оно надо? Проще поставить мессенджер какой сказали и не париться что там было забыто или неверно услышано или специально не сказано.
Можете не регистрироваться, никто не заставляет. Коммуникация со школой будет хуже чем в прошлом веке, тогда хотя бы давалась скидка на все проблемы коммуникации и старались доносить несколько раз. Сейчас такую скидку не дают, ибо есть идеально работающий канал. Кому он не нравится его проблемы.
Выглядит так что у вас нет ребенка в российской школе. Канал общения именно так работает уже годы. И менять никто ничего не будет. Такой канал связи реально удобен всем.
Я про обычную городскую школу. Понимаю что в далекой деревне будет по другому.
Выглядит так что у вас нет ребенка в российской школе. Канал общения именно так работает уже годы. И менять никто ничего не будет. Такой канал связи реально удобен всем.
Да, вы правы, ребёнка в школе у меня нет. И с учётом российских реалий - наверное это хорошо. (Я бы добавил ещё, но боюсь нарушить российское законодательство).
Последний ребёнок близких родственников доучился относительно недавно, у них коммуникации были... через WhatsApp, мать принципиально не хотела заводить смартфон ни себе, ни ребёнку. В итоге я им настроил виртуалку с Android-ом на ноутбуке. Так собственно и доучились. А потом вопрос перестал быть актуальным.
(в таком варианте (в виртуалке) против Max-а, кроме насильственного перевода, проблем с пользовательским соглашением и прочими штуками, я ничего не имею. Прав не имеет, запускается, когда запущена виртуалка, ничего лишнего не видит/не слышит). Есть ещё вопрос с интеграцией с гос-сервисами, но его оставим за кадром.
Ну и нет у меня понимания "зачем это".
PS. Я не за, я считаю весь происходящий хайп с этим мессенджером откровенным идиотизмом. Сделан через жопу, запихивают все яйца в одну корзину, сомнительные (мягко сказано) методы продвижения, сомнительная репутация у тех кто делает.
В случае ЧП коммуникация в дневнике, ДЗ диктуется, про экскурсии и прочие мероприятия скажут разок и тому подобное. Что там ребенок забыл или предпочел не говорить это ваша и его проблема.
Ну так - экскурсии же по идее должно быть интересно ребёнку? Если он не мотивирован и его туда засовывают, кому это хорошо? И так почти со всем.
Прямо как в анекдоте про льва с блокнотом. :)
Веб-версия. Вечером посмотреть домашку _ хватит.
Веб-версия без регистрации не работает.
Т.е. сначала нужно создать учетку (возможно, только на телефоне, не дошел до такого уровня мазохизма), а потом только пустит в веб.
Есть ли хоть один нормативный документ обязывающий устанавливать любой мессенджер для общения с учителями?
Обычно подобная ситуация страшна как в том анекдоте, когда царь леса выстроил всех зверей и каждому говорит, когда он его сожрёт, а заяц вышел и говорит - а можно не приходить? Можно, тебя вычёркиваем. Так и тут - никто просто не попытался подать голос о том, что он не хочет этим пользоваться и почему)
Попытался, на работе....ответ: приказ генерального, не нравится, ищи работу где Мах не требуют. Точка...контора всероссийская....
Что значит "ищи"? Приказ генерального не может быть выше тк РФ и служить основанием для увольнения. Если нужен для работы, должны выдать служебный телефон. Надо хоть немного свои права тоже отстаивать.
Когда лично не касается так говорить хорошо... А в реальности ребенок не сможет попасть на олимпиаду. Оно вроде и не обязательно, но есть нюанс. Есть какая-то контрольная работа, которую надо проходить онлайн на уроке через свой (ребенка) аккаунт госуслуг, и без неё нет аттестации, что повлечёт отчисление из очень хорошей школы (попасть в которую крайне не просто). Вроде и сам решаешь, надо ли оно тебе, но опять этот нюанс... Чаты с учителем (а там всё, от поведения на уроке и обедов до экскурсий и мероприятий в других городах), вроде и можно отказаться, но...
Вот и что, теперь покупать новый телефон только для этого, кхм, поделия? Какие есть альтернативы в реальной жизни?
И да, многим увольняться тоже не легко. Это пока один всё просто, а когда есть зависимые люди даже заболеть не вариант.
На андроид есть Island и Shelter, позволяют установить приложение в изолированную среду. По крайней мере в Island есть функция заморозить приложение при неиспользовании. Дальше смотрим варианты различные по балансу приватность/удобство.
Нужно активировать аккаунт для использования в дальнейшем только веб приложения - ставим в шелтер, активируем, замораживаем/удаляем. Самый параноидальный вариант.
Нужно раз в день заходить через приложение - ставим в шелтер, замораживаем.
Нужно иметь постоянный доступ с уведомлениями - в шелтер. Приложение увидит только пустое окружение. Разрешения на геолокацию, запись звука ему можно и не выдавать. Я не пентестер, но насколько могу понять, риски тут только в случае обновления функционала приложения, эскалации привилегий через эксплоит для выхода из шелтера, ну и дальше понятно. Предполагаю что массово такое никто делать не будет, но если вы считаете что можете стать объектом персональной атаки со стороны государства, это не вариант.
Тут есть другой тонкий нюанс: вы (не вы лично, а как образ поведения) подвинулись тут, вы подвинулись там, значит вами легко двигать как заблагорассудится.
Вы удобны для передвижения в ту позицию, в которую вас захотят нагнуть - и более того, становитесь готовы в нее нагибаться по первому приказу старшего начальника.
И те, кто захочет вас нагибать - понимают, что они могут это делать как угодно. А значит, они будут. И до каких пределов - да до любых, пока вы не начнете упрямиться.
Проверка ребенка на способность деторождения? Оценка плодовитости? Сдача донорского биоматериала? Где предел?
Нюанс-то есть, но хотелось бы услышать и описание варианта с недвиганием.
Выше один из нюансов уже озвучили: отказались ставить мах - пропустили уведомление, что для фото в школу надо приличней одеться.
Ребенок ходит в школу как чушок заморышный? Он всегда должен быть одет прилично!
Или в школе Мариванна решает, как сегодня прилично, а как нет? Как раз к вопросу о "подвигах".
Если же он должен быть одет как-то "по-особенному" (в кокошнике или под гжель расписан) - тут одно из двух: либо это ему надо, и он сам знает, либо это не ему надо и не его забота.
Ребёнок в школу ходит обычно одетый, удобно.
Но для фото просят надеть школьные брюки, белую рубашку и форменную жилетку с логотипом гимназии. На каждый день так не походишь, а несколько раз в год, на торжественные случаи - в чём проблема.
Конечно не все дети с удовольствием запомнят и передадут эту информацию :)
Ребенок ходит в школу как чушок заморышный?
Вы хотите сказать, что Вы ещё не отучили своего ребёнка волноваться, что о нём думают другие?
контрольная работа, которую надо проходить онлайн на уроке через свой (ребенка) аккаунт госуслуг,
Для этого мессенджер не нужен был (проходили).
А в чем вообще проблема то? Мессенджер как мессенджер, с такими же разрешениями как и любой другой. В чем позиции - просто как баба яга, против?
В том, кому уходят данные. А ещё сильно подозрительно то, каким образом его насаждают.
На вас когда-нибудь открывали дело по такому поводу, о котором вы даже не подозревали? И все сделали по закону, но дело все равно на вас открыто и теперь нужно судиться с государством.
Вот для таких дел нужна информация о вас, а через ватсап ее получать сложно. После таких событий будет и баба яга и против.
Есть какая-то контрольная работа, которую надо проходить онлайн на уроке через свой (ребенка) аккаунт госуслуг, и без неё нет аттестации, что повлечёт отчисление из очень хорошей школы (попасть в которую крайне не просто).
У меня есть серьёзные сомнения в законности вот этой дряни.
Есть какая-то контрольная работа, которую надо проходить онлайн на уроке через свой (ребенка) аккаунт госуслуг, и без неё нет аттестации, что повлечёт отчисление из очень хорошей школы (попасть в которую крайне не просто).
Вас обманывают, это всё незаконно. Вся обязательная программа утверждается министерством и никаких онлайн уроков через госуслуги, влияющих на аттестацию, там нет. Госуслуги у нас в стране (пока ещё) иметь вообще необязательно, тем более несовершеннолетнему.
Это чисто Московская фишка, называется Диагностика МЦКО (Московского центра качества образования), но таки да, эта диагностика не является обязательной, хотя и может влиять на зачисление в специальные классы. То есть можно не сдавать, но учиться тогда будешь не в улучшенном "профильном" потоке, а в общем.
что повлечёт отчисление из очень хорошей школы (попасть в которую крайне не просто).
Хорошая? Это они вам так сказали?
Какие ваши рейтинги по сдаче чего-нибудь типа SAT/ACT/Gaokao ?
Надо хоть немного свои права тоже отстаивать.
Вы серьезно считаете, что это настолько принципиальный вопрос, чтобы из-за него цапаться с ближайшим окружением?
Допускаю возможность такого в полугосударственной структуре и ничего Вам "за это" не будет. Но осадочек-то останется. :-(
Ну и? Помнится- не так чтобы давно всех обязали вакцинироваться. "Без сертификата о прививке можешь не приходить" кричали. Пугали увольнением и тп. И ни одного из знакомых мне "антипрививочников" так и не уволили , разве что пару раз объяснительные требовали.
И на выборы у нас также явку обеспечивали... На мой категоричный отказ участвовать в этом цирке прозвучало "напишешь объяснительную", я согласился написать, но с условием, что прежде получу письменное объяснение почему я обязан идти на выборы и отчитываться об этом. Как-то сразу и забыли о "приказе генерального".....
Интересно, если написать в ответ "нет" - пространство схлопнется?
все верно, официальное взаимодействие с людьми должно быть открыто и не анонимно. а так это что прийдя в банк попросить снять все наличные, а паспорт не показывать так как это нарушает мою приватность
Во-первых - "придя", без "й". Во-вторых - паспорт требуется предъявить для идентификации личности в конкретном случае по ВАШЕЙ надобности. Делать с паспорта копии, фотографировать его - вот это уже будет нарушением закона. Или сообщать третьим лицам о ваших действиях со счётом, а также о суммах в этих действиях. И сообщать посторонним о том, что вы являетесь клиентом банка, как долго, какие имеете счета, какие операции по ним проводились, кто был контрагентом по каждой операции и т. д.
Анонимность личной жизни должна быть априори! А вот деанонимизация - исключительно по нуждам самого гражданина и по его желанию.
Поэтому не надо путать "мне надо" и "им надо".
так вас под дулом пистолета заставляют устанавливать этот мессенджер? или по ВАШЕЙ НАДОБНОСТИ чтоб взаимодействовать с представителями государства? (преподаватели, госуслуги и тд) это ВАМ надо, а если не надо - не уцстанавливайте, всё просто, и это ваш выбор. вот мне не надо, и у меня не установлено это приложение. так же банк, не хотете чтоб банк ваши данные передавал третьим лицам - отказывайтесь от работы с ним. нужен кредит, но не устраивают условия???? просто не подписываем с ними договор, ни кто же не заставляет вас. и вы глубоко заблуждаетесть что я путаю "мне надо" и "им надо". личная жизь - пока касается только вашей личности, а если вы взаимодействуете с другими, то .. тем более если это целые организации и юр лицами, исключительно ваш выбор. даже врачебная тайна - при болезни вроде чумы потребует вашей деаномизации, хотите ли вы того или нет, для проведения карантинных мероприятий. так что это скорее абстрактные и идеализируемые термины вроде личной жизни. и анонимности, где в реальности всплывает куча ньюансов.
Игнорируем эти напоминания, пока всё нормально.
До 2000х прекрасно учились без этого мусора.
Пока что можно. На счёт будущего не уверен, что удастся избежать.
может просто не пользоваться им?
Колхоз дело добровольное - хочешь вступай, не хочешь...
Вспоминается эпопея борьбы ICQ с альтернативными клиентами. И хотя в итоге в небытиё отправилась сама аська, но на тот момент победа была за ней - альтернативы просто не успевали за изменениями протокола. А сейчас наверное будет ещё проще, как вариант достаточно ввести проверку цифровой подписи клиента или ещё что-то подобное...
Вполне себе успевали. Пользовался только альтернативными, года с 2002 до 2018.
Пользовался RNQ и форками. Подтверждаю, что что-то ломалось крайне редко, а разработчики оперативно все фиксили. Отличное было время
на тот момент победа была за ней
На какой момент? Никогда в жизни не пользовался официальным клиентом. Изменения фиксились максимально оперативно.
Есть ли вариант "навайбкодить" его в частном порядке?
А зачем?
Общаться в тех родительских и прочих чатах куда добровольно и с песнями зовут? Ну так...поставить сам макс в песочницу вроде Shelter и пусть там живет.
Безопасности в плане мониторинга на сервере это ж не добавит, совсем.
Уже сделал.
Где?
https://github.com/neochapay/ru.neochapay.maximus
Респект. Как протокол вскрывал? Мобилку снифал или декстоп?
Хорошо, что эти упыри не догадались TLS по ГОСТу сделать, а то было бы значительно труднее заснифать
И как это чудо природы хотя бы собрать? Для какой платформы? Как хотя бы выглядят внутренности до того, как я пойду покупать ящик пенного, дабы начать разбираться с первым вопросом?
neochapay.maximus
Надо было "Минимус" назвать!
Это путь джедая. Благородный, но долгий и тернистый. И как только вы напишете клиент, они поменяют протокол. Это будет вечная гонка вооружений, в которой у них всегда будет больше ресурсов
Замечу, не всегда: только до тех пор, пока СВЕРХУ будут стучать по башке "внедрёвывай!" и бюджет выделять.
Как только выделения бюджета закончатся - так проекту и кирдык настанет.
Это будет вечная гонка вооружений, в которой у них всегда будет больше ресурсов
Это у тех, кто планирует многоразовую первую ступень ракетоносителей на 2030 год? Да пока они обновление протокола сделают, все уже на нейроимпланты перейдут!
Да, открытый клиент очень, очень, очень хотелось бы. У того же Телеграма я пользуюсь именно открытым форком.
Вообще говоря, если цель действительно обеспечить граждан безопасным от иностранного контроля мессенджером, то создание открытого клиента (пусть даже урезанный, но позволяющий общаться лично текстом и голосом, пользоваться школьными чатами, банковскими услугами, госуслугами - в общем, тем, без чего будет сильно неудобно жить) и открытый протокол просто напрашиваются... Да по большому счёту, даже открытого протокола бы хватило - нашлись бы энтузиасты реализовать базовый функционал. Эх, мечты, мечты...
(Upd.: О, neochapay запилил базовый клиент для Авроры. Круто, надеюсь дальше будет больше. Непонятно, правда, за что ему карму заминусовали.)
Достаточно сделать приложение с веб-версией в webview
1 Здесь уже было сравнение манифеста с вотсапом и телеграмом и особых различий не нашлось.
2. "Как исследователей, нас в первую очередь интересует файл AndroidManifest." - возможно я ошибаюсь, но все исследователи почему-то и заканчивали на этом файле.
Поскольку скорее всего придется рано или поздно ставить Макс, хотелось бы конечно действительно технического его разбора и анализа, пока же действительно выглядит просто как клон, сделанный по быстрому.
хотелось бы конечно действительно технического его разбора и анализа
Я боюсь, что одиночный разбор не имеет смысла. С такими широкими полномочиями бэкдор может прилететь в любом обновлении.
Хотелось бы более внятных и верифицированных сообществом описание путей проникновения бекдора и его потенциальных возможностей. Андроид все-таки с одной стороны сильно ограничивает и следит за изоляцией, с другой - просит странные разрешения. Я когда-то пробовал на флаттере писать мелочи для работы с BLE и был очень удивлен, что для этого потребовалось разрешение на точное геопозиционирование. Возможно есть и другие странные зависимости. А есть еще и лень разрабов при дергании кусков чужого кода.
То, что ФСБ вместо АНБ будет читать мою переписку/звонки в максе меня не очень сильно волнует, важнее безопасность других данных и изоляция других приложений.
Разрешение на геопозицию для работы с блютусом это боль ) Потом весь маркет заваливают гневными комментариями в духе "зачем приложению для управления кофеваркой нужна моя геолокация!?!!1717171". Гугл тут сильно свинью разработчикам подложил, поместив это разрешение в эту группу. Они это оправдывали тем, что по сканированию блютус меток можно вычислить местоположение пользователя. Но кажется в последних версиях андроида таки сдались и вынесли это в какую-то другую группу разрешений.
Они это оправдывали тем, что по сканированию блютус меток можно вычислить местоположение пользователя.
И были совершенно правы, в общем-то.
Плюс <режим конспиролога> это работает и в другую сторону - если приложению, пользующимся Bluetooth, разрешена гелокация, то оно может настоящую геолокацию спросить и тем самым помочь составить карту расположения тех самых меток.
В новых версиях андирода поправили, для этого указываются новые пермишны, а этому приписывается свойство android:maxSdkVersion="30", чтобы оно не числилось в списке и не запрашивалось на новых девайсах: https://developer.android.com/develop/connectivity/bluetooth/bt-permissions
Аналогично и с получением доступа к "флешке" — даже на скринах видно, что READ_EXTERNAL_STORAGE и WRITE_EXTERNAL_STORAGE имеют maxSdkVersion, потому что вместо них теперь используются READ_MEDIA_IMAGES и READ_MEDIA_VIDEO для доступа к галерее. При запросе такого доступа телефон предложит выбор, дать доступ ко всем фото/видео, к выбранным, или не давать вообще.
Что по REQUEST_INSTALL_PACKAGES — этот пермишн сначала надо получить, а после каждая установка всё равно происходит через подтверждение пользователя, причём современные версии Play Services просят провести сканирование скачанного файла перед установкой. Хотя это можно пропустить через скрытую кнопку, но тогда система попросит подтвердить действие через стандартный диалог безопасности (отпечаток, графический ключ и пр). Во всяких сторонних сторах по аналогии, разве нет?
Не защищаю данное поделие, но некоторые моменты были не отмечены автором, и весь "анализ" крайне поверхностный, местами с приписыванием несуществующих опасений.
Спасибо, учту на будущее, возможно этот забытый проект еще воскреснет, и за разъяснение разрешений тоже. Мне крайне не нравятся методы продвижения макса и даже возможность применения таких методов огорчает и намекает, но на самом популярном ресурсе программистов хотелось бы не агиток, а реального анализа профессионалами, низкое качество разборов скорее говорит о низкой квалификации авторов, а это не радует тоже.
Это нереально раздражает в приложениях для подключения к какой-либо технике: детские игрушки типа лего, видеорегистраторы и т.п. Всем надо геопозицию. И на iOs тоже
Да ё-моё, вы совсем что ли не читали статью? Там только два полномочия: установка APK и загрузка без уведомления могут превратить ваш сматрфон в помойку. А уж если остальные разрешения учесть...
Разрешение на запрос установки apk нужно в том числе для того чтобы если Вася отправил Пете apk, то Петя смог запустить установку этого apk прямо из переписки "открыв" файл. В противном случае Пете придется идти в файловый менеджер (у которого есть разрешение на запрос установки приложений) и запускать установку оттуда. То же самое разрешение есть у пресловутого телеграма, с которым так любят сравнивать мах, и у каждого первого браузера, но почему-то только в случае с мах это стало "уязвимостью" и "путем установки бэкдора", несмотря на то что для того чтобы приложение могло запросить установку пользователь должен сам разрешить приложению это делать, и даже после этого каждую установку пользователь должен сам подтверждать.
Разрешение необходимо дать только на первую установку приложения. В дальнейшем приложение, которое установило стороннее, может спокойно его обновлять не требуя доп разрешений. Примеры RuStore, F-Droid
Я на всякий случай напомню вам, что клиент телеграм для Android - open source, а вместе с ним и F-Droid, и AuroraOSS. А вот RuStore ставить можно ставить только от большой безнадёги. Лучше уж Huawei от дядюшки Си поставить.
Точно не требуя? У меня на каждое обновление из рустора система вопросы задаёт. Надо, кстати, обновить эти несколько приложений (для этого придётся зайти в second space – по совету из одной из статей на Хабре вынес рустор туда: он обновляет приложения в second space, но они доступны в основном – а то, чего нет в second space, он просто не видит).
Вот не надо, у меня тот же рустор, только скачать может, для установки на каждый apk запрашивает разрешение
Я на всякий случай напомню вам, что клиент телеграм для Android - open source, а вместе с ним и F-Droid, и AuroraOSS. А вот RuStore ставить можно ставить только от большой безнадёги. Лучше уж Huawei от дядюшки Си поставить.
Если кто помнит - началось все с того, что "мошенники звонят пользователям и убеждают их снять 100500000 из банкомата чтобы отдать курьеру Центробанка".
А вы говорите "приложение запросит и пользователь выберет". Точно так же побежит нажимать "Да - Далее - Согласен - Подтверждаю!"
Поскольку скорее всего придется рано или поздно ставить Макс,
Угу, очередь в пятницу занять не забудьте. На установку
Поскольку скорее всего придется рано или поздно ставить Макс
Под дулом заставят?
Пока нет. Но легко представить, что через какое-то время, через него реализуют какую-нибудь авторизацию, для важного соц.сервиса и придется.
можно пример важного соц сервиса без которого нельзя прям?
Госуслуги, ФНС, Госключ
В них есть вход по номеру телефона
Пока что.
Думаете могут убрать? И тупо отрезать кучу людей у которых нет смартфона?
Думаете могут убрать?
Лучше убрать.
И тупо отрезать кучу людей у которых нет смартфона?
'Куча людей без смартфона' - это, кажется, уже какой-то миф. Сомневаюсь, что их такая куча осталась. А у кого нет - можно в виде социальной помощи выдать что-то дешевое.
Лучше убрать.
Чем лучше и кому?
Чем лучше
Номер телефона и телефонная сеть паршивый способ аутентификации. Нормальные аппаратные токены вводить не хотят - значит, будем пользоваться тем, что встроено в чипы смартфонов.
кому?
А вот всем, кто возмущается и страдает от мошенничества при помощи 'скажите код из сообщения'
Если нет того, что можно продиктовать, а железка авторизирует в сервисе непосредственно - то и мошенникам выманивать из пользователя будет нечего.
Пусть возмущаются. Тут вопрос про интеллект уже, им скажут отослать смартфон по почте в отделение ФСБ, отошлют.
Телефон отличный способ авторизации, аппаратный (у тебя сим карта и смартфон с 2фа), он уже ограничивает свободу авторизации с емейлом, но это терпимо.
А с вашим подходом можно дойти до авторизации через inborn rfid чип, вживляемый в младенчестве.
железку тоже можно потерять )
соответственно надо комбинировать способы - знание данных (пароль), владение устройством (ну тут пояснять нечего. хотя конечно же речь про токены), а так же окно времени в которое выполняется вход. (остается только еще проверять место, с которого осуществляется вход, но тут сложнее уже)
Через макс совсем нечего диктовать)) будут уводить макс, а за ним и госуслуги, в чём разница?
Через макс совсем нечего диктовать)) будут уводить макс, а за ним и госуслуги, в чём разница?
В том, что аппарат с Max-ом не убегает к другому человеку через период неисползования. (Тот код, который внутри него - привязан к аппарату, поэтому даже если восстановить учетку на другой аппарат, кода не получишь).
Но с тем, что код сам по себе - не очень хорошо, я согласен. Автроризация должна быть так, чтобы ничего нужного продиктовать было нельзя. И еще использовался Proximity Test.
Но после того, как от входа по номеру отказались и перешли на авторизацию приложением - добавить в приложение более безопасных способов должно быть проще.
В том, что аппарат с Max-ом не убегает к другому человеку через период неисползования.
Это проблема человека, а не госуслуг или макса, почему я когда то подумал и сидел вечер, и соцсети и госуслуги и почты и всё что мог вспомнить, перевязывал, а "условный Вы" не думаете, а думаете что это не ваша проблема.. Данные Ваши, деньги Ваши, проблема - нет..
А сейчас вообще, раз уж в госуслугах можно смотреть свои симки, думаю скоро подобное выпилят начисто, как только номер от учетки будет расторгнут опсосом и соотв данные переданы госуслугам.
Тот код, который внутри него - привязан к аппарату, поэтому даже если восстановить учетку на другой аппарат, кода не получишь
Можно подробнее? Как это реализовано? И что делать, если телефон утопил и купил новый?
Можно подробнее? Как это реализовано?
Если почитать описания (в ролике тоже) на минцифры и самих госуслугах - тама формулировки "привязывается аппарат" а не учетка. Реализация, судя по всему - они тупо TOTP генератор прямо в мессенджер встроили. Это еще и самый простой способ все это устроить.
Надо бы проверить и посмотреть, что там в этом QR коде зашито, но боюсь, что уже настроенное использование внешнего генератора слетит.
И что делать, если телефон утопил и купил новый?
Как обычно - идешь и восстанавливаешь доступ через утвержденные способы.
Впрочем, соглашусь, что я был слишком категоричен и пока тезис основан только на косвенных признаках. Как я уже сказал, хорошо бы посмотреть, что в этом коде. Есть подозрение, что это стандартный инициализатор для TOTP.
del
А то что скам авторизуется по номеру телефона - ничего? Не вызывает противоречия?
А то что скам авторизуется по номеру телефона - ничего? Не вызывает противоречия?
Вызывает. Очень зря. Вход в космесседжер должен быть строго по учетке от Госуслуг.
Эдакий уроборос. Вход в мессенджер по учетке из госуслуг, вход в госуслуги по мессенджеру. Я правильно понял? :)
Вход в мессенджер по учетке из госуслуг, вход в госуслуги по мессенджеру. Я правильно понял? :)
Да.
1) Получаем временные логин/пароль для входа в Госуслуги в МФЦ
2) Входим в них, сразу ставим новый.
3) Входим в месседжер при помощи учетки Госуслуг.
5) После этого месседжер служит вторым фактором (одним из) и просто по паролю войти нельзя.
А зачем он если есть TOTP?
А зачем он если есть TOTP?
Технически - ни за чем. Но переходной период. Сначала отучаем от SMS, потом приучаем к приложению-авторизатору, где уже нет ничего, куда злодей может вклиниться голосом или изображением.
А зачем этот переходный период? Почему не сразу к TOTP приучать?
Почему не сразу к TOTP приучать?
Потому что код из TOTP можно продиктовать и поэтому обладает той же уязвимостью. И если приучить - потом переходить сложнее будет. А так - "... с сегодняшнего дня оно работает не так, вам больше не надо ничего набирать, а нужно..." используя тот же самый ключик, что в приложении уже есть.
Ну если только...
Ну если только...
Ну, строго говоря, я бы предпочел, чтобы приложение-авторизатор(маленькое и без лишних прав) было само по себе, а госмесседжер сам по себе (и платежное - тоже само по себе, а не в месседжере, как порываются, глядя на китайцев). Но идея приложение-все-в-одном слишком в головах укоренилась и считается, что отдельное приложение это "фууу...., пользователь ставить же не будет, давайте куда-нибудь встроим".
"Отсканируйте qr-код на сайте и подтвердите для перевода денег на безопасный счёт".
Почему лучше убрать?
А у кого нет - можно в виде социальной помощи выдать что-то дешевое.
Не несите чушь, никто не будет выдавать смартфон под предлогом соцпомощи. Более вероятен подход "ваши проблемы - не наша забота". Забыли уже, как там с повестками, которые считаются врученными аккурат опосля их размещения в реестре?
Напомню, что контекст был про доступ к "Госуслуги, ФНС, Госключ".
В человека, у которого нет смартфона и нет учеток этих сервисов - могу поверить.
А в человека, который без смартфона, но но одновременно с этим
одновременно пользуются чем-то из перечисленного (c компьютера или еще какой компьютерообразной техники, очевидно -- смарта же нет).
забыл логин/пароль к сервисам
не может добраться до НФЦ, чтобы получить новые атрибуты доступа
не может себе позволить совершенно любой бросовый бу, аппарат, чтобы на него генератор TOTP поставить.
в такого верю с большим трудом.
На другой чаше весов - предположительно, достаточно большое количество (во всяком случае всякие законодательные инициативы по этому поводу принимаются) пострадавших, которых мошенники уболтали на этот самый код из SMS.
Не несите чушь, никто не будет выдавать смартфон под предлогом соцпомощи. Более вероятен подход "ваши проблемы - не наша забота".
Оба варианта встречались в истории.
Смартфоны уже выдавали буквально с целью слежки. И штрафовали за глюки этого бесплатного смартфона.
Там можно было отказаться и не подписывать согласия на эту шляпу. Лично проверял.
Я лично не проверял, но упыри заявляли что это по сути домашний арест. Или цифровой ошейник или в СИЗО больничку на принудительную госпитализацию.
Ты в общем можешь ничего не подписывать и ничего не делать, они штрафы потом сами спишут через приставов в двойном размере. Таких много было.
Я чуть позже переболел за границей (в тот момент еще не знал что это страшный ужасный ковид, ибо неделю насморк с кашлем небольшие и пару дней температура) и приехал уже здоровый, но дебильный ПЦР пришлось сдать и он оказался положительный, т.к. может быть положительным больше месяца после выздоровления. В городскую квартиру по прописке в домофон ломились "доктора" "оказать медицинскую помощь", а я с ними с дачи разговаривал через шлюз домофон-сотовый. Я сказал что я якобы дома но не открою, т.к. здоров и никакая помощь мне нах не нужна. Но те стали бычить и угрожать вызвать МЧС дверь выпиливать. Послал их подальше в максимально грубой форме, но дверь никто не выпиливал. Знакомый доктор потом рассказал что им денег много платят за каждого окученного, но надо пациента сфоткать (тоже дичь лютейшая) по этому ломятся в квартиру всеми правдами и неправдами.
У них и был как раз рассчёт на то чтобы застращать. По факту пока ты не подписал согласие на установку этой шляпы - они ничего не могли тебе предъявить по закону. Причём они естесственно это всячески замалчивали и бумажку на подпись совали втихую, не объясняя что это. Меня спасла моя привычка читать что я подписываю.
А как по вашему всё это выглядело со стороны? Точно не как человек НЕ больной ковидом, увы
С повестками еще не понятно ничего. Когда пойдет вал неявок и потом такой же вал обжалований штрафов, сами передумают и сделают как надо. Пока по факту большая часть повесток по прежнему вручается лично. Ну а всех замучаются по камерам в метро искать. Тем более если метро в городе нет... (Лично читаю госуслуги два раза в год, ибо не жду оттуда новостей и не обязан следить что оттуда валится. Пусть докажут, что я специально "явку" пропустил. Считаю правильным эту фигню массово игнорировать. Нельзя заставить человека делать то, что он не хочет. Вернее можно, но рентабельность этого мероприятия ушла в минус где-то в нулевых годах от рождества христова.... )
Ну а всех замучаются по камерам в метро искать
Святая наивность. Никто вас искать не будет, сами прибежите, когда вам приостановят регистрацию авто, аннулируют права, заблокируют карты и запретят выезд из страны. Да и камеры не только в метро есть.
Пусть докажут, что я специально "явку" пропустил
Никто не будет доказывать, специально же прописано: считается врученной с даты публикации. Если вам повестка вручена - значит, вы никак не можете пропустить явку случайно.
госуслуги два раза в год
А она и не на госуслугах, кстати. Там отдельный портал.
И Вы и тот кому отвечаете, забываете про "белые списки".
Думаете не могут убрать? Уже де факто, чтобы быть правоспособным гражданином, нужен номер телефона и банковская карточка. Давайте вернемся на 15 лет назад: "а что, заставят телефон иметь и банковский счет заводить?" До остальных требований -- рукой подать
Аппаратная песочница как вариант решения - отдельный девайс и симку под нее выделить, завернуть всё в звуконепронецаемый контейнер, и пусть себе сидят, пишут хоть аудио, хоть видео, хоть всё вместе.
Только не забывать хотя бы раз в полгода звонки совершать, чтобы коварные провы план не обломали.
можно пример важного соц сервиса без которого нельзя прям?
Официальное, юридически значимое оповещение и корреспонденция вида "вам назначен штраф". Видно же, что бумажные письма и(тем более) телефония перестают работать. Вот и сделают госмесседжер таким каналом. После чего не иметь учетки и не читать будет себе дороже.
Для этого есть те же госуслуги
Для этого есть те же госуслуги
Есть, да. Но в них, вроде бы, до сих пор невозможно нормальную официальную переписку вести с разными организациями. (Или не очень очевидно, как. Да, есть Госпочта, но она какой-то демкой выглядит, а не полноценным сервисом).
У и нечто, на что народ быстрее реагирует, государству тоже хочется иметь. И при выборе "заглядывать в Госуслуги каждый день"/"иметь на телефоне приложение Госуслуги", госсмесседжер выглядит все-таки предпочтительней. Если в него не будут тащить все, что Госуслуги могут, понятное дело.
Вы так часто ведёте переписки с гос учреждениями что вам аж целый менеджер нужен?
Вы так часто ведёте переписки с гос учреждениями что вам аж целый менеджер нужен?
А не только с гос. Когда какой-нибудь представитель банка (или другой организации) мне чего-то писать пытается - хочется чтобы это было с 'дата, печать, подпись, номер исходящего'. Т.е. саму по себе идею госмесседжера для всякой официальной переписки я скорее одобряю. Но вот в каком виде его делать пытаются - это чистое издевательство.
Чем обычнейшие госуслуги и обычнейшие письма хуже (или разные приложения банков и т.д.)? Ну а если прямо нужна завязать все на госмонополию, то пусть банки с госуслугами сами связываются, они и так несвободны. Имхо, если будет связка только с госуслугами, то и вероятных точек утечки меньше, в отличие от предлагаемого сейчас убогого подхода, где зачем-то сторонняя убыточная коммерческая компания подключается, да еще предлагается смешивать частные переписки с важными делами без особой защиты последних. Для чего городить махинаторство в каждый дом?
предлагаемого сейчас убогого подхода, где зачем-то сторонняя убыточная коммерческая компания подключается, да еще предлагается смешивать частные переписки с важными делами без особой защиты последних.
Так и я про тоже.
Госмесседжер как дополнительное приложение к сайту Госуслуг - нормально и выглядит адекватно.
А вот то что делают, через какую-то странную схему с коммерческой компанией - издевательство. УЭК в свое время так же убили, когда не делали ее как отдельное мероприятие, а пытались все сделать через банки и сделать ее еще и платежной картой.
Госмесседжер как дополнительное приложение к сайту Госуслуг - нормально и выглядит адекватно.
Не все так часто взаимодействуют с сайтом ГосУслуг. Но зачем в этот скородельный Госмессенджер загонять всех? Блокируя нормально работающие мессенджеры!
Потому что если не блокировать, - то кто будет этим пользоваться? Это ж лучший способ конкуренции - запретить конкурента.
Тут лидеры мнений говорили, что все это продавили ОПСОСы, я имею ввиду блокировку аудио и видеозвонков в других мессенджерах. Нет. Если бы было так, то и в максе бы не было работающих звонков. А они есть. Плюс задействован админресурс, бюджетников прямо-таки пинками загоняют в этот макс. Плюс проплаченная реклама от блогеров и совершенно однотипные комментарии толпы ботов, прославляющие макс. Значит, очень нужно, чтобы все были именно там. А зачем это нужно, пусть каждый думает самостоятельно. За последние 5 лет очень много произошло странного и интересного...
Зачем? Газ не продается, Газпрому нужно больше денег. ВК, рутюб, Макс это же всё Газпром.
то что делают, через какую-то странную схему с коммерческой компанией - издевательство.
Да, в этом смысле очень странно.
Хотя, в любом случае, я бы не хотел связывать абсолютно всё с одной точкой отказа. Лучше иметь несколько альтернатив, не связанных с государством, и не ставить всё на одну карту. А сейчас получается, что практически всё приходится связывать с какими-то совершенно «левыми» госкомпаниями, где непонятно, кто будет работать и непонятно как контролировать потом возникающие проблемы.
Об этом и речь. Когда раз в 10 лет государство решит вам написать, об этом важно узнать как можно скорее. Иногда, важно для вашего выживания.
Вроде была инициатив все коды подтверждений вместо СМС рассылать в МАКСе.
Специальный аппарат для этого завести.
Например, для того, чтобы мобильный интернет работал :)
Есть хороший анекдот про "добровольно и с песней". Я уже конформист и если накопится некая критическая масса людей с которыми намного удобней общаться в максе, нежели другими способами, то поставлю на основной телефон или запасной в зависимости от массива информации о его незапланированных возможностях. Полагаю и вы прекрасно это понимаете и возможно его поставите и без дула.
нет не поставлю.
чем там будет удобнее общаться чем в той же телеге?
чем там будет удобнее общаться чем в той же телеге?
Ну если телегу отправят в бан, хотя бы пока даже только в мобильном инете - заметная часть контактов просто исчезнет из телеги.
Когда белые списки введут везде, будет неудобно общаться в том, что не в них. А это похоже уже вопрос времени
Полные белые списки равно кранты интернету. Проще тогда взять тариф "просто звони" и забыть обо всех мессенджерах до прихода адекватных властей. (Именно так сегодня думал, когда попал в "аномальную зону" без интернета: первым делом буду трясти поддержку оператора. Не смогут ничего сделать - пусть вернут бабло за месяц и я пойду к другому опсосу новый план выбирать 😁 Предлагаю всем так делать, что бы отбить желание опсосов толкать стремные инициативы в думе. Их же палкой, да по их же ж.пе.
Другой вариант - мэш-сети или рации (а поверх них фидо 🤣) Естественно в черную, без всяких регистраций. Пусть ловят и отбирают, посмотрим как это получится и сколько сотрудников росгвардии для этого нужно 😜
Другой вариант - мэш-сети или рации (а поверх них фидо 🤣) Естественно в черную, без всяких регистраций.
Все чаще думаю именно о таком варианте. Интернет сломали, пора делать новый.
Удачи вам в попытках вернуть хотя бы часть суммы. Они это уже поняли и теперь предлагают смешные компенсации. Первы раз мне дали 200 рублей, второй 50. Тенденция ясна... К какому другому оператору идти, они все одинаковые стали. Вообще кажется что одному владельцу принадлежат.
На мэш наши власти никогда не дадут перейти. Что угодно придумают, но не дадут свободного общения. Окно возможностей упущено. В тот момент когда люди начали ставить пароли на свой WiFi. Тогда еще была возможность как-то соединить роутеры в доме и между соседними домами. Теперь невозможно. Если понадобится WiFi вообще запретят (под каким-то предлогом безопасности).
Для этого придется делать принципиально новый стандарт радиосвязи - что-то типа UWB на стероидах, чтобы очень широкий спектр и низкий уровень сигнала затруднял выявление и пеленгацию, и при этом обеспечивалась более-менее нормальная пропускная способность и дальность. В идеале - докачать до сотен километров на единицах ватт, чтобы между городами линки кидать.
Вот тогда и возрождать гипертекстовый фидонет. :)
В любой момент майор зафлудит сеть.
Либо у вас строгий круг участников, что нереально, либо уязвимость.
Тут надо какие-то POW токены генерить для передачи сообщений.
Но даже если взлетит - уголовка за установку приложения, о чем стуканёт любое приложение из российской предустановки. Административные проблемы технически не решаются.
Ну и вообще, меш плохо масштабируется.
Время на сборку чемоданов давали достаточно.
Полагаю и вы прекрасно это понимаете и возможно его поставите и без дула.
Нет, не поставлю. А людям настаивающим на этом - дам адрес электронной почты на mail.ru и номер телефона. Пусть выбирают.
Нет, просто например учитель вашего первокласника будет сбрасывать домашку и расписание только в него.
Расписание и домашка находятся в отдельном приложении
Для начальной школы действительно скидывали сначала в телеге, в прошлом году в Сферуме, в этом на мах переходят.
Не во всех школах, конечно, но в некоторых уже, а остальные тоже подтянутся, вопрос времени.
Вот интересный организационный вопрос. В доисторические времена домашка - это то что было записано в бумажный дневник. Учителя могли при проверке дневника проверить и записи домашек. И у меня до сих пор твердое убеждение - домашка актуальна только та, которая появилась у ученика сразу после урока. Ибо есть стратегия обучения - выполнять ДЗ в тот же день (например, на продленке). У ученика нет обязанности иметь смартфон, домашний компьютер. Как и у его родителей. Если урок требует выполнения на компьютере, в школе есть часы внеурочных посещений компьютерных классов для этих работ.
Мы сопротивляемся насильному внедрению альтернативного ПО. Но покорно соглашаемся с навязыванием недоразвитого "электронного документооборота" в учебном процессе.
Учитель иногда просто говорит, что домашку смотрите в едневнике после уроков, иногда записывает сразу на доске. Если на продленке в младших классах, то учитель продленки смотрит в комп и говорит, что сделать. Лет 10 назад, когда это только начиналось, были ученики без компов, их родители звонили другим родителям. Можете не покорно соглашаться и идти против системы, но обычно, когда дело касается твоих маленьких детей, особого желания из-за не столь принципиальных вещей идти на конфликт нет.
Пойти против системы - это учиться на 5 (т.е. быть готовым к уроку, отвечать у доски, выучивать пройденные темы, контроши и проверочные писать без ошибок), но напрочь игнорировать (не предьявлять сделанную) домашку, которая не была задана на уроке. Но для этого нужно сознание чуть более чем ребенка и поддержка родителей.
Я нахожу плюс в том, что идет такая неразбериха с каналами записи домашки, опозданиями с заданиями и т.п. - ребенок заранее подготавливается к сюрпризам реальной жизни, когда не все и не всегда целиком и вовремя.
домашку смотрите в едневнике
Учителю просто стыдно признаться, что он писать не умеет.
Я хз про какие вы школы, в московской области все школы используют приложение Моя школа, и в нем есть всё. Нам никогда не скидывали ничего в телегу или вацап
Вы совершенно правы - я не из московской области 😁
У меня дети в 3 классе, не Москва. Тоже есть приложение моя школа, все отлично, но... Учитель по основным предметам 75 лет, заданий в эл дневнике нет, оценки проставляет вместе с заданиями в пятницу. Поэтому вся домашка у детей в бум дневниках и в чате в телеге. Про Макс пока не слышно. Молодые учителя, английский и т.д. норм передают все в Эл дневник.
Вы упорно описываете "как сейчас", игнорируя вариант "как может стать".
Вы наделяете учителя полномочиями, которых у него нет
Всё, учитель прислала ссылку на сферум который теперь только через MAX
https://www.sferum.ru/parent
Нет, конечно, все добравольно. Вы же хотите со своими близкими общаться, а в белых списках только макс или вк.
У кого дети в школе – скорей всего, понадобится (точнее, не 100% необходимо, но без него будет неудобно).
Поскольку скорее всего придется рано или поздно ставить Макс
Лучше поставить какой-нибудь AviaSales. Не реклама.
Отличия принципиальные
Остальные мессенджеры не имеют прав устанавливать программы (REQUEST_INSTALL_PACKAGES). Вы только подумайте: а зачем это вообще мессенджеру?!!
У мессенджеров нет доступа к экрану блокировки и возможности отключать его (DISABLE_KEYGUARD). Зачем?!
Нет полноэкранных уведомлений (SYSTEM_ALERT_WINDOW) совместно с правами на доступ к экрану (USE_FULL_SCREEN_INTENT). Это сочетание позволяет приложению получать дополнительные права без ведома пользователя!
Нет доступа ко всем аккаунтам и возможности манипулировать ими (GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS). Зачем мессенджеру знать ВСЕ ваши аккаунты на устройстве и тем более, что-то там менять?!
Нет доступа к управлению WiFi (CHANGE_WIFI_STATE). Зачем?!
Этого достаточно?
Остальные мессенджеры не имеют прав устанавливать программы (REQUEST_INSTALL_PACKAGES)
Странно: клиенты телеги, браузеры и файловые менеджеры имеют строку с запросом этого права.
Нет полноэкранных уведомлений (SYSTEM_ALERT_WINDOW) совместно с правами на доступ к экрану (USE_FULL_SCREEN_INTENT).
У меня в клиенте телеги эти два разрешения в манифесте прописаны.
Нет доступа ко всем аккаунтам и возможности манипулировать ими (GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS).
У меня в клиенте телеги нет только последнего (который USE_CREDENTIALS).
Остальные мессенджеры не имеют прав устанавливать программы (REQUEST_INSTALL_PACKAGES)
Если поставлен из стороннего источника (например, APK с сайта), то не удивительно — это упрощает обновление клиента. Чтобы залить в гугл плей приложение с этим пермишном, нужно доказать его востребованность. Для браузера это вполне очевидно, а вот для мессенджера — нет.
Нет полноэкранных уведомлений (SYSTEM_ALERT_WINDOW) совместно с правами на доступ к экрану (USE_FULL_SCREEN_INTENT).
Первый — чтобы показывать окно входящего вызова не только через стандартные уведомления. Второй — тоже про уведомления (https://source.android.com/docs/core/permissions/fsi-limits), но его ещё надо получить (через перекидывание в настройки).
ну хз, я нередко из телеги софт ставлю
Так проще перекидывать apk с ПК на смарт и наоборот или другому человеку отсылать (всяко быстрее синезуба и прочих вариантов получается). И после не нужно файл через файловый менеджер искать.
В браузераё аналогично: проще и быстрей после закачки устанавливать прямо из загрузок, чем через фм рыться в папках и искать среди сотен файлов нужный (если не стоит сортировка, чтобы новые показывало первыми).
Фулл экран еще можно использовать для того, что бы предупреждение показывать при входящем звонке допустим, если звонят мошенники или прочий массовый обзвон. На старом айфоне у меня это есть, появилось недавно, на весь экран с кнопкой "ассерт", работает при входящем на симку, не в мессенджер
Вполне достаточно. Даже избыточно.
Здесь вполне достаточно банального здравого смысла и понимания, что во что-то хорошее с такими титаническими усилиями загонять не будут.
Что-то это мне напоминает...
имеют прав устанавливать программы (REQUEST_INSTALL_PACKAGES)
Это не право устанавливать, а право у пользователя установку запрашивать.
Я правильно понимаю, что на iOS можно поставить приложение и просто не разрешать ему копаться в галерее, не разрешать геопозицию (разрешить только на время использования) и т.п.? И будет оно жить в своей песочнице и ничего не сможет собирать в фоне?
Так а все мессенджеры примерно одинаковы. Потому и разрешения примерно одинаковы.
Буквально сегодня смотрел разбор МАX-а одним из андроид-разработчиков.
Он разнес вот такие разборы. Его выводы - половина разрешений стандартны, вторая половина устарела и просто не работает на более-менее свежих версиях андроида. Скорее всего это просто хвосты от старых версий MAX-a.
Ну и там много чего интересного рассказал.
Можно посмотреть тут https://vk.com/video-113499203_456239983
Ну или на ютубе - https://youtu.be/1k6ululNBbQ
Такие вот "исследователи" дальше манифеста навыков прочитать что-то не хватает.
Для анализа я использовал стандартный, для подобной задачи, набор инструментов: JADX, APKtool, VSCode ну и конечно же Android Studio, куда без него в анализе APK файлов.
Для чего это весь софт, если для просмотра файла AndroidManifest достаточно только одного архиватора?
Почему-то никто не хочет идти дальше. Пишут, что все равно этих разрешений достаточно чтобы в будущем подсунуть бекдор. Конечно доля правды в этом есть и я бы что-нибудь подсунул, когда всё уляжется (как и со всеми остальными вещами, про которые смирились и забыли), но было бы неплохо уже сейчас увидеть, что там есть.
Так а как увидеть-то? Реверс-инжинирить сотни тонн обфусцированного джава-кода?
Нет смысла разбирать приложение на бэкдоры, когда весь сервер это один большой бэкдор.
Именно поэтому достаточно посмотреть список разрешений и понять, что может с вашего личного устройства в любой момент уехать на этот самый бэкдор.
Судя по всему - почти все.
ну-ну
Уже пробовали смотреть манифест, распакованый из apk-файла любым архиватором?
Без распаковки с помощью APKTool все видимые в архиваторе xml-файлы просмотреть в блокноте можно, но там получится содержимое не читаемое человеком. =)
Посмотреть разрешения (именно такой "реверс-инжиниринг" тут показан) вполне себе достаточно тыц.
арк max 25.10.2, 7zip, notepad++
Зачем? Чтобы увидеть, что там есть возможность получать дополнительные разрешения без ведома пользователя? Что там есть возможность устанавливать свой прокси и мониторить ВЕСЬ интернет трафик устройства?
А что это меняет, если это уже производные тех разрешений, что перечисленные в статье?
Потому что реверс уровня натравил LLM на манифест)
Очередной низко качественный анализ макса. Уже складывается впечатление, что где-то немного платят за "написать статью - разбор мессенджера Max с определённым посылом". Причём платят явно мало, раз в очередной раз мы даже не дошли до декомпиляции или хотя бы анализа содержимого сетевого трафика (SSL pinning обходится фридой)
UPD да и в целом статья выглядит как очередной анализ манифеста от chatGPT
мне кажется, что это в какой-то степени доказывает отсутствие каких-то явных бэкдоров в самом коде. столько сил и времени потрачено на поиск, если бы там что-то было, давно бы уже весь интернет об этом верещал. а раз ничего нет, то и приходится клепать одинаковые статьи с разбором манифеста и фантазиями на тему как можно использовать самые обычные для мессенджера разрешения в шпионских целях. товарищам с реддита заходит, но это понятно, там слабо технически подготовленные люди, которые изначально читают статью с целью подтвердить, что макс - жуткое шпионское ПО, которое будет подслушивать их разговоры. им достаточно страшных слов о том, что просит доступ к контактам и камере. но на хабре-то вроде айтишники в основном сидят, удивляюсь, что тут кто-то эту дичь плюсует)
столько сил и времени потрачено на поиск, если бы там что-то было, давно бы уже весь интернет об этом верещал.
Сколько сил? Это типичная ошибка (возможно даже имеющая какое-то научное название). Если некий вопрос/задача/проблема вызывающая резонанс, то явно найдётся кто-то, кто детально разберётся.
А вот не нашлось ещё кого-то, кто взялся декомпилировать бинари и копать глубже. А может и нашлось, да быстро объяснили, что "не стоит лезть в эту тему" (С).
Подобный этому аргумент с open source - "исходники доступны, вы можете удостовериться, что там нет бекдоров!". Какой процент читающих исходники всего того, что он использует? А какой процент тех, кто понимает эти исходники?
А какой процент компилирует весь софт из прочитанных и понятых исходников?
А потом висят баги десятилетиями https://habr.com/ru/news/539526/. Потому что все надеялись на то, что это уже кто-то сделал. Кто-то прочитал исходники, кто-то провёл аудит, кто-то проверил на безопасность, уже бы сообщили о проблемах, там не дураки сидят...
а раз ничего нет, то и приходится клепать одинаковые статьи с разбором манифеста и фантазиями на тему как можно использовать самые обычные для мессенджера разрешения в шпионских целях. товарищам с реддита заходит, но это понятно, там слабо технически подготовленные люди,
...
На хабре давным давно ситуация аналогичная. Хабр очень давно не строго технический ресурс с высоким порогом входа. Поэтому и залетают хайповые статьи и заметки.
Зачем мессенджеру возможность устанавливать программы? Зачем возможность разблокировать устройство? Зачем возможность перехватывать системные запросы к пользователю? Зачем доступ ко всем аккаунтам на устройстве с возможностью манипулировать ими?
Какие ещё доказательства бэкдора вам нужны?
Чтобы обновляться без маркета. Чтобы показывать экран звонка на заблокированном устройстве. Какое разрешение ты имеешь в виду под "перехватывать системные вызовы"? На свежих андроидах разрешение на аккаунты позволяет манипулировать только своими аккакунтами, это нужно чтобы добавить свой аккаунт в системное меню аккаунтов.
Нужно доказательство, что Макс сливает какую-то информацию, которую не должен сливать обычный мессенджер типа телеги или востапа
Чувствуется мне, что одними правами пакета это доказательство не получить. Тут нужно, как уже говорилось ранее - хватать трафик.
Достаточно возможности сливать и репутации владельца.
Чтобы обновляться без маркета.
Уже за это надо бить канделябром по рукам разработчикам.
Чтобы показывать экран звонка на заблокированном устройстве.
Насколько я знаю - для этого права разблокировать не требуются.
Уже за это надо бить канделябром по рукам разработчикам.
За приложение, которое в принципе отсутствует в маркете, тоже?
права разблокировать
А это про какое разрешение речь? Пробежался по константам в https://developer.android.com/reference/android/Manifest.permission - вроде ничего такого не нашёл.
android.permission.DISABLE_KEYGUARD
Я не про отсутствие в маркете, а про обновление средствами приложения, потому что это не дыра, а дырень. Максимум что приложение должно иметь право сделать - сказать "тут новая версия есть, иди обновляйся". И то, это не его забота в общем случае.
(у меня половина приложений не из google-маркета, а права ставить приложения есть только у одного - у f-droid, оно же следит за обновлениями).
Уже за это надо бить канделябром по рукам разработчикам.
Почему? Телеграм, если скачивать его с сайта, тоже обновляется сам. Не вижу в этом никакой проблемы, андроид все равно каждый раз спрашивает пользователя непосредственно перед установкой.
Насколько я знаю - для этого права разблокировать не требуются.
http://androidpermissions.com/permission/android.permission.DISABLE_KEYGUARD
Allows the app to disable the keylock and any associated password security. For example, the phone disables the keylock when receiving an incoming phone call, then re-enables the keylock when the call is finished.
Allows the app to disable the keylock and any associated password security. For example, the phone disables the keylock when receiving an incoming phone call, then re-enables the keylock when the call is finished.
И вы не видите проблемы в данном праве? Тем более написано именно "for example" - это не единственная возможная цель.
Потенциальная цель и возможность - при изъятии у вас устройства, например (полицией, силовыми методами), прислать с сервера команду на разблокировку (или вообще по bluetooth - там же есть соответствующее право). Номера телефонов известны, компания активно взаимодействует с властями.
Нет. Потому что надо читать официальную документацию. А не слушать то что Мойша перепел.
https://developer.android.com/reference/android/Manifest.permission#DISABLE_KEYGUARD
Allows applications to disable the keyguard if it is not secure.
Видите разницу?
Предложи способ выводить активити входящего звонка на заблокированный экран без использования этого разрешения
А если вы почитаете документацию на сам класс дальше - то поймёте, что всё зависит от самого приложения. То есть - пока оно работает, его можно вытащить наружу и оно обойдёт заблокированный экран. А уж разбираться заблокирован экран или нет - задача приложения. То есть - есть обход блокировки приложение и как следствием в теории возможен доступ ко всему, к чему есть доступ у приложения без разблокировки.
Не "устанавливать программы", а "запрашивать установку программ". Ну например если вам в этом мессенджере скинут APK.
Не "разблокировать устройство", а (временно?) управлять блокировкой устройства. Очень же приятно наблюдать блокирующийся самостоятельно экран каждые 5/15/30 секунд во время видеозвонка, да?
Не "перехватывать системные запросы к пользователю", а рисовать что угодно и где угодно на экране (в том числе на экране блокировки (?))
Доступ к списку* всех аккаунтов без содержимого аккаунтов (только названия сервисов и логины).
Это что я понял из описаний разрешений на которые Вы ссылаетесь в "App Manager". Уж не знаю откуда он взял человеческие описания андроидовских разрешений (гугловские доки мне не сильно помогли, может я не те доки глядел), но из всех перечисленных "опасным" считается только доступ к списку аккаунтов.
В том то и прикол. Разрешения у него такие же как и у других месседжеров, но зарево почему-то только от него.
Ну будет он собирать информацию о пользователе и отправлять в компетентные органы. И что? Тот же Whatsup и Telegram тоже собирают о вас информацию и отправляют в нужные зарубежные органы.
Чего вой то на весь рунет? Ладно солевики с ума сходят, но тут же техноресурс и тут тоже самое.
Потому что его пинками навязывают и логично, что люди ищут к чему придраться.
Очевидно, что родные российские компетентные органы для меня являются намного большей угрозой чем американские или эмиратские.
Так а чего вы тогда в РФ делаете?))
Живём как бы, разрешаете? Ну, и если живём, то всеже не обязаны по дефолту делать одобрямс для любых спорных инициатив нашего горячо любимого начальства
Ну, во-первых, с того, что я скажу нечто нелестное об окружающем миропорядке, и об этом узнает условное ЦРУ, - мне ни тепло, ни холодно. А вот здесь за "мыслепреступления" уже вполне дают реальные сроки. А во-вторых, - кто мешал это делать раньше (писать мессенджер с балалайками и медведями) раньше и нормально конкурировать? Конечно, когда пихают из каждого утюга, - будет отторжение.
На хабре тут в точности да наоборот: скажешь что-то нелестное об окружение - плюсы в кармы, скажем что-то в защиту своей стране - минусы в карму.
Понимаете ли... это Ваше мнение, Вы имеете на него право. И можете (пока еще) его высказывать. Кто-то соглашается, кто-то нет. Это нормально.
Проблема в том, что прилетает за то, что вроде бы за политику что-то высказываю. Хотя ничего такого нет. Жаль, что нет проверки на адекватность тех, кто минусует. Было бы полезно)
Ну вот смотрите. Вот как раз мне прилетело то же самое. При этом только один честно написал, что у него другое мнение. Это, как я и отметил, нормально. Остальные указали "политика или пропаганда". Однако, - без политики ни один разговор, тем более, обсуждение государственного (все, что связано с государством, - это уже политика) мессенджера, обойтись не может, и, - пропаганду чего(??) они тут увидели?
Ну система комментариев туда специфичная. Жаль, что нельзя подать жалобу на каждое решение и посмотреть, на какой комментарий оно прилетело. В случае неправомерности уводить автора этого минуса в недельный РО. Может тогда люди начнут думать?
А так любой тред, где хоть как что-то связанное с государством есть - автоматом в полит. дискуссию превращается, даже если её там нет. Тут вы правы
А мне минусов в карму "Подозрительная активность" поставили за головной комментарий хех
Если вас заставят сдать в органы приватные ключи от серверов, то как вы отнесётесь к статьям "Вот я вчера сдал - сегодня всё ещё никто даже не заходил и ничего не ставил"? Вот так и тут. Если у приложения есть разрешение на получение больше разрешений - зачем анализировать, что оно делает сегодня? Через секунду после публикации этот анализ станет невалидным.
Уже давно все поняли, что набор разрешений у СКАМа идентичный натуральному. Данных собирается, в целом, не больше, чем у других - то есть много.
Но вот риторический вопрос - для чего ещё они могут (и будут) использоваться, эти данные. И кем...
Сам мессенджер - всего лишь фронтенд для сбора компромата, а вот что творится в серверной инфраструктуре, куда текут потоки досье и в компьютере какого из товарищей майоров чьего ведомства появится папка с вашим ФИО - вот об этом мало кто скажет.
Что значит "мало что скажет"?
Даже соответствующие законы цитировали в очередной подобной теме про СКАМ, всё в открытую делается.
Тут важно помнить прошлый прецедент, если вас прослушивают, то вас могут привлечь за публичное распространение незаконной информации и т. д. При том, что вы вроде выражали своë частное мнение в как вам казалось приватной беседе с другом/родственником и т. д.
см. "Экс-полицейский получил семь лет за фейки об армии РФ в телефонных разговорах..."
Так что да, все эти декомпиляции и т. д. ничего собственно не меняют.
Нет. Мессенджеры не требуют прав на установку программ, на доступ ко всем аккаунтам, на разблокировку экрана, на управление WiFi и т.п.
Тут все гораздо хуже и никак не может быть объяснено функционалом мессенджера.
Установка программ есть у тг для самообновления. Разблокировку экрана макс делать не умеет, это ты придумал и в статье этого нет (есть вейклок, который используется для удержания экрана включённым, фича буквально в каждом 2 приложении. А так же запуск после загрузки системы, чтобы уведы работали). Управление wifi тоже базовое разрешение
Манифест вообще нихрена не показывает, поэтому я не люблю обзоры на его базе. В максе много чего "сочного", но ё моё, люди просто не лезут в эту тему и решают кувыркаться на ламерском, поверхностном уровне
Вот хороший разбор MAXa. Даже скорее всего разбор подобного исследования типа этой статьи. https://youtu.be/1k6ululNBbQ?si=_ox5COzKlI2Oea5O
А может мне кто-нибудь объяснить, в чем фишка каждую неделю делать анализ этого мессенджера, если в конечном итоге все равно никто не знает, что происходит на бэкенде?
Да просто потому что новые опусы сами себя не распространят... А как говорит пословица - курочка по зернышку - весь двор в навозе....
А может мне кто-нибудь объяснить, в чем фишка каждую неделю делать анализ этого мессенджера, если в конечном итоге все равно никто не знает, что происходит на бэкенде?
Вскоре все успокоятся и желающих "потыкать веточкой" поубавится. Большая часть пользователей будет убеждена, что в коде ничего страшного не найдено, исследователи не получая должного хайпа затихнут. Бдительность усыплена, теперь можно в обновлениях вливать дополнительную функциональность, благо разрешения есть.
"Была колбаса докторская, стала любительская..."
Тогда звучит так, что стратегия полного игнорирования намного более эффективна.
Целевая функция оценки эффективности какая?
Пока вы не становитесь зависимы от его наличия, можно игнорировать.
Если вспомнить другие проекты (Спутник, Рувики, Рутуб и т.д.), то они умирают от того, что про них никто не знает и никто не пользуется. Ну, это есть цель такая.
Спутник, Рувики, Рутуб и т.д.), то они умирают от того, что про них никто не знает и никто не пользуется
В сми о них жужжали не переставая, поэтому знают наверное. Но, имхо про "непользуются" и непопулярны: часть проблемы заключается в том, что эти проекты, в том виде, в котором они навязываются людям, что-то вроде мертворожденной идеи «а давайте создадим аналоги и украдем функционал из популярных приложений». Копировать конечно возможно, но пока суть да дело, появятся новые популярные приложения, а с "клонами" скорее получаются вечные аутсайдеры на господдержке. Можно сломать оригинальные сервисы и приложения, тогда люди будут пользоваться госклонами, но за несколько месяцев в оригинальных сервисах появятся новая функциональность, да и новые популярные приложения, а клоны, как их не популяризируй, остаются блеклыми призраками старых версий, которые давно никому не нужны.
Возможно, с этой нескончаемой волной клонов, есть некие люди, близкие к власти, которые пытаются заработать вечные деньги и распространяют идеи про "аналоги" и таким образом а) выбивают деньги, далее б) деньги своровали осваиваются и с) аналог сворачивается, цикл повторяется с нового аналога, а для такого уроборос-трюка реальная популярность не только ненужна, но даже вредна.
Сколько лет Рутубу? А нормальную рекомендательную систему туда так и не подвезли. Да что там рекомендательную - там и поиск до сих пор работает через пень-колоду, особенно на телевизионных приставках - вчера ты нашёл фильм и посмотрел, а сегодня система тебе его уже не покажет, как ни крути... Разработчиков при этом сокращают... Видимо, Рутуб "сразу вышел хорошо" (как УАЗ-буханка)
Происходящее на бэкенде четко определено статьей 10.1 Обязанности организатора распространения информации в сети "Интернет" закона №149-ФЗ
если в конечном итоге все равно никто не знает, что происходит на бэкенде?
Лично мне всё равно, что происходит на бэкенде — я через него ничего важного отправлять всё равно не собираюсь. А вот что он может сделать на клиенте, если поставить его для звонков тёте, помимо звонков тёте — вот это мне интересно.
Объясните мне, пожалуйста, кто-нибудь, как человеку, плохо разбирающемуся в безопасностях: если в настройках Андроида зайти в App management → Special app access → Install unknown apps, найти там MAX и отключить Allow from this source, то всё? Проблема решена? Злой Макс больше не сможет ничего устанавливать?
Он САМ и при включеном не должен мочь. Ему ведроид таких разрешений не даст, если он не гуглплей или аналогичный стор, которые сами без спроса софт обновляют.
Не понимаю, что значит «сам». Я, например, дал такое разрешение файловому менеджеру. Теперь тыкаю в нём по файлам .apk — они устанавливаются. Это «сам»? И что помешает файловому менеджеру код, вызываемый из обработчика тычка, вызвать, например, при запуске?
Кстати, в списке желающих есть и Telegram с WhatsApp. У них, естественно, я такое разрешение отозвал. И теперь не могу скинуть сам себе в чат файл .apk, скачанный с Гитхаба на компе, и сразу запустить. Приходится сохранять файл в Телеге, а потом идти в файловый менеджер. Зато Телега, как я надеюсь, ничего не сможет поставить. Это так?
"сам" имеется в виду без запроса у юзера на каждый пакет, в фоне, как это делает гугл плей, у которого есть системные права.
для не системных приложений разрешение лишь дозволяет приложению спросить у юзера "а можно я вот этот пакет поставлю", на что юзер может каждый раз ответить отказом.
а без разрешения дело даже до диалога установки (установить/отмена) не дойдет.
Тогда о чём истерика в каментах?
Зачем мессенджеру возможность устанавливать программы? … Какие ещё доказательства бэкдора вам нужны?
обычная белочка-истеричка с криками «А-а-а-а! Мы все умрём!!!111РАСРАС»
Хайп - наше всё!
финки от известных мастеров сами себя не продадут Нет истерики - нет хайпа и просмотров.
Тогда о чём истерика в каментах?
Ну как - я не ставил и не смотрел, но есть прецеденты, что приложение может проверить дано ему соответствующее разрешение или не дано. И не будет работать, пока не дадите.
Ну или задолбает вас насмерть так, что дадите сами, лишь бы отстало.
Как тот котёнок с горчицей. Так было в своё время у Сбербанка, где клиент тупо падал, если ему не дать права на телефонную книжку, кажется.
Так сейчас есть у whatsapp - если не дать доступ к телефонной книжке он будет долбать вас запросами до тех пор, пока не дадите. (вернее было несколько лет назад, как сейчас не знаю, не ставил).
Примерно так же у viber - пока не дадите право копаться в фотографиях/файлах - он не даст вам возможность посмотреть присланные вам картинки (telegram даёт).
Telegram в этом отношении несколько лучше - отобранные права чтит, и досаждает сильно меньше. Даже отобранное право на файлы не мешает вам их в telegram посылать (методом "поделиться") и смотреть (кроме видео, с ними не работает отправка).
А может мне кто‑нибудь объяснить, в чем фишка каждую неделю делать анализ этого мессенджера
А в чём смысл каждый день кричать «волки»?
Некоторые программы на винде после стандартного способа удаления всё равно оставляют "хвосты", которые иногда продолжают лезть в интернет и что-то там делают. На андройде такое возможно? Ну то есть я установлю Макс для чего-то такого необходимого, далее поюзаю его минут 10, а потом удалю обычным способом. Или же там всё очень сложно, что придётся делать сброс до заводских настроек?
Мне кажется надо копать в сторону библиотек.
Под мах ведь можно писать ботов?
Может, уже есть бот, который умеет перекидывать сообщения из канала мах в телегу?
Намного интересней было бы посмотреть dependency и сетевые классы, какие api и socket connections используются и для чего, есть ли какие то возможности для загрузки и запуска кода, есть ли native код, а по пермишенам ничего необычного, все что описано в статье можно посмотреть за 30 секунд при помощи любого apk анализатора и это выглядит стандартгым для месенджера.
Когда разбирают приложения, хотелось бы видеть разбор от мобильного разработчика или человека, который хоть немного разбирается в теме, а не просто прочитал где-то в интернете и скопипастил. На ютубе по запросу "разбор max программистом" есть хорошее видео (не реклама), где мобильный разработчик разбирает и рассказывает о разрешениях. В 1000 раз полезнее подобных мусорных статей
GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS - полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.
Вот это самое классное! Получают ваш gmail, потом проверяют по какой-то слитой базе, например из Альфа-банка, и ваши имя, фамилия, отчество, дата рождения - всё у них есть.
Для регистрации нужен номер телефона. Зачем им чот проверять по гуглопочте, если они и так получат доступ к самому удобном идентификатору...
Ну есть шанс, что у вас симка на бомжа Васю записана. А так, они даже сравнить могут вашу личность по гымылу и личность по симке :)
(Но для личности по симке им надо делать куда-то запросы, а слитые базы вон на торрентах валяются)
есть шанс, что у вас симка на бомжа Васю записана.
А если это вскроется, то не должны ли заняться Вами, таким хитрожопыми, компетентные органы (а там и термальный криптоанализ подоспеет)?
Я читал в инетах, что в этом году (месяц или два назад?) в РФ начал действовать закон по урегулированию количества симок/номеров на одного человека.
Правда «Строгость российских законов смягчается необязательностью их исполнения»©
Но существует возможность, что исполнение оных всё таки станет обязательным.
Какую личность по гмылу? Ты его точно так же подвязываешь на ту же симку от бомжа. Или ты мыло регистрировал при личном посещении офиса гугл со снятием биометрии? Тогда у меня для тебя плохие новости)
симка значит на бомжа Василия, а гмыло с точнейшими данными.. логика феноменальная
есть шанс, что у вас симка на бомжа Васю записана
Нету больше этого шанса. Мне друзья из России говорят, что прикрывают эту лавочку.
Я не могу представить ситуации, когда у "нормального" человека будет в телефоне симка бомжа и свой вбитый гмейл (не важно, любой другой аккаунт)
Очевидно, чтобы выявить большее число ваших учёток на разных платформах. Тот же Ютуб, емнип, по-умолчанию создаёт ник из адреса почты. Написал одобрительный коммент не под тем роликом и усё...
Самое классное, это права устанавливать другие приложения - самая необходимая мессенджеру фича. А это уже второе по классности.
Я думаю это для самообновления если из Google Play попрут.
https://developer.android.com/reference/android/Manifest.permission#REQUEST_INSTALL_PACKAGES
Allows an application to request installing packages. Apps targeting APIs greater than 25 must hold this permission in order to use Intent.ACTION_INSTALL_PACKAGE.
Protection level: signature
Constant Value: "android.permission.REQUEST_INSTALL_PACKAGES"
Это ЗАПРОС РАЗРЕШЕНИЯ прав на установку, в которому можно отказать и дефолтом в ведроиде это право отсутствует у вновь установленного приложения.
Год назад был Сигнал, теперь Макс. Через какое время появится следующий? Поставить лично мне и моим детям школьникам придётся.
Лично мне не хватает сравнения с тем же ТГ хотя бы по разрешениям.
Год назад был Сигнал, теперь Макс.
Сферум. Сигнал вообще-то заблокирован в России.
Через какое время появится следующий? Поставить лично мне и моим детям школьникам
Зато можно снова в новостях писать лабуду, что "Более миллиона пользователей подключились к ..." и тому подобное.
Возможно так внимание от свопившихся проблем отнимают на разные идиотские инфоповоды, как то переходы на "новые" Maxинаторские мессенджеры всей страной, людям которой явно больше делать нечего было. Если посмотреть новости, то там постоянно либо бессмысленные форумы, либо глупые заявления, а теперь все это сочетается с новым мессенджером Maxinator (о доблестной проверке ФСБ запрещающей/разрешающей мах, о ненужную связки с госуслугами, про разрешения, про заявления отдела безопасности махинаторов) - каждый божий день новости про мессенджер, вот и внимание уходит на идиотский мессенджер, вместо настоящих госмахинаторов, что последним и нужно было, имхо.
Поставить лично мне и моим детям школьникам придётся.
Мыши плакали, кололись...
Почему нельзя отказаться? Это где-то законодательно прописано, что если дети и родители не установят мах, то первых лишат конституционного права получить бесплатное среднее образование? ДЗ должно дублироваться в бумажном виде. Например, почему нельзя занять позицию мягкого и законного сопротивления и сказать им, что ребенка ограничиваем в использовании гаджетов по рекомендации невролога. У меня нет места на телефоне - вот Госуслуги, озон и мой налог, ничего лишнего. Удалять учителя заставить не имеют права. Ещё десяток предлогов можно придумать. В 9 из 10 случаев мало-мальское отстаивание своих интересов работает. Не должен учебный процесс зависить от наличия Маха у родителей.
Лично мне не хватает сравнения с тем же ТГ хотя бы по разрешениям.
Так было же уже https://habr.com/ru/articles/939006/
А что, в андроиде не спрашивают при установке доступ к каким возможностям давать, а к каким нет?
при установке - нет.
во время использования при доступе к тому или иному функционалу (камера/микрофон/контакты/попытке открыть apk и т.д.) - да. Или к части функционала - при первом запуске.
Некоторые приложения могут отказаться работать, пока не выдашь те или иные разрешения. Но обычно это разрешение на уведомления какие нибудь.
Сейчас может что-то и поменялось, но пару месяцев назад, ставя МАХ (Макс? Мах?) на реальный смартфон и введя номер телефона обратил внимание на такой момент - мессенджер не запрашивает разрешение на чтение СМС. Просто подставляет код из СМС и топает дальше. Этот момент очень не понравился. Будто он имеет доступ ко всем смс "по умолчанию" и это тогда озадачило.
Это можно и без разрешения на все смс от андроида делать. Там есть какая то хитрость при формировании смс для отправки и тогда андроид видит что это именно для данного приложения смс и даёт к ней доступ. Этим мало кто пользуется предпочитая тупо просить доступ ко всем смс мотивируя как раз такой автоподстановкой, хотя по сути именно тут можно и без этого доступа.
Прочитал беглым взглядом, как же права на диплинки могут быть опасными, если диплинки позволяют при переходе по ссылке перехватывать открытие браузера и перенаправлять пользователя в приложение, это нормальное поведение, чужую ссылку приложение перехватить не может.
в целом просмотрел кучу видео и статей о том как люди смотрят на разрешения приложения клиентского и живу даются что оно следит за всеми. Самая суть то в бекенде, в базе данных, где хранится вся информация о вас и есть какое-то стороннее приложение или веб сайт, через который можно получить эту информацию. На клиенте нету смысла делать слежку, т.к все что есть на клиенте, оно модифицируется и пользователь может посмотреть как ведет себя приложение, а то что на бекенде происходит, знают лишь разрабы, менеджеры и руководство…
Знаете, по недавней истории с "алисой" (Кто не знает, у яндекса спросили почему это колонки и сервисы алисы до сих пор не в реестре ОРИ? Очевидно, что если они там будут, то яндекс обязан будет на своих серверах хранить все обращения к алисе. А за одно и все записи ваших кухонных разговоров, сделанные алисой. И не только хранить, но и предоставить доступ сами знаете кому. А уж этот товарищ сделает нужные орг выводы и возбУдит что надо и где надо... ) я бы сказал, что вот чото мне не все равно как устроен клиент и ведет ли он запись, когда его не просят...
Номер телефона дежурного товарища майора. /sarcasm
С каких пор чтение манифеста стало называться "реверс-инжинирингом"?
Или современные разработчики уже не в курсе про Dalvik bytecode?
А чего они такого туда запихнули, что минимальная версия андроеда 10? Даже вотсап и тг зашли, а максик нет.
Ну жиденько конечно. О боже, внутри MAX обычные разрешения любого современного мессенджера, который старается отожрать как можно больше прав в андроиде и быть невыгружаемым, какой кошмар!
У вас все мессенджеры имеют права на установку программ? А на снятие блокировки экрана? А на доступ и управление всеми аккаунтами они тоже у вас права имеют?
Нет, тут набор разрешений совершенно не типичный для мессенджера. Зато типичный для бэкдора.
Так сейчас с блокировками в гугл плее многие реализуют возможность самообновления. Тоже ничего удивительного. Экраны блокировки, управление аккаунтами - всё уже здесь на Хабре даже разбирали. Есть и в телегах и в вазапах
Разрешение на установку программ не установит ничего без вашего ведома.
Всё равно вылезет окно на установку или обновление, где вы должны будете дать согласие. Клиент телеграма, скачанный с сайта apk умеет так само-обновляться мимо гуглоплея.
Меня больше всего беспокоит отсутствие поиска по каналам в максе.
Например пару недель назад я видел на новостном сайте рекламу канала в максе, спустя 2 недели я вижу что в топе его нет и поиска тоже нет. Как найти предпочитаемый канал - большой вопрос! Есть ещё вопрос: почему макс может работать без симки и почему нет веб версии, и почему в десктоп приложение вход без привычного qr кода, и почему темы оформления только с детскими рисунками, но все вторично )), допилят при случае.
Товарищ майор меня вообще не парит. Если русский майор возымеет желание закрыть отдельного индивида он это сделает и макс ему для этого не нужен.
А то, что эту шаражкину контору совершенно точно и неизбежно взломают, вас не беспокоит? Ладно, если просто сольют всю инфу вас и в инет выложат - вам-то скрывать нечего. Но вот если через этот бэкдор вам ещё бэкдоров на телефон понаставят- это вас совсем не беспокоит?
Я думаю что андроид имеет бекдор через который компетентные хакеры могут получить доступ к устройству. Если же будет действовать хакер любитель - против него есть антивирус.
В настоящем времени "все" базы уже украдены и слиты в сеть включая банковские, а гугл и яндекс может рассказать о нас больше чем сами знаем о себе. Чего беспокоится об этом.
Никогда такого не было и вот, опять! Хернёй занимаетесь! У всех мессенджеров такие же разрешения! Ну хватит уже страдать ерундой!👎🤮🤬☝️
Перестаньте уже засовывать голову в песок! Ну вот действительно.
Очередной разбор разрешений клиентской части в клиент-северном приложении не даёт абсолютно никакой объективной информации. Данные с клиентской стороны уходят на сервера, владельцем которых является государство. Бенефициаром является государство. Точка. Вся магия происходит именно там. Кто имеет доступ к этим данным, как происходит обработка/анализ и т.п. этого нам некто не скажет.
Кажется, что уже забыли, как все уличные (и "умные" домофоны от провайдеров) камеры в МСК подключили к единой системе поиска лиц. Только трагедию в "Крокус" не смогли предотвратить.
У государства достаточно механизмов-рычагов-полномочий и до этого приложения было. А на деле?
А на деле: первые попытки контроля интернета и "самых умных" (если кто забыл первые марши Несогласных) были с созданием РКН, потом "пакет Яровой", который должен был бороться с "детской порнографией" и мошенничеством. В итоге пришли к тому, что созданы и формируются белые списки доступа, Интернет перегорожен заборами, а "служба безопасности сбербанка" как "помогала" своим "клиентам" так и продолжает.
Не знаю было уже или нет. "Приложение фонарик, запрашивает разрешение на доступ к местоположению' )))
Потрясающая обратная инженерия ввиде "просто посмотрел манифест". Изначально на макс триггерились как раз таки потому, что в манифесте нашли базовые разрешения любого мессенджера. Где хоть какой то анализ кода, а не тупо "ну это может быть и для хорошей цели, а может быть и для плохой"
Какой анализ кода? =) Чего? Я просто угараю.
Держите в голове, что это VK мессенджер и всё встанет на свои места.
Посмотрите у VK мессенджера доступы -- ничего криминального. И приложение стоит у многих хз сколько лет.
Только вот у органов без санкции суда есть доступ к вашей личной переписке. За что людей наказывали. И появилось такое юридическое понятие как "длящееся правонарушение"
После реги в Макс повалила тонна спама!
Больше достали звонки - блокирует фильтр платной базы, в почту пофиг - тоже настроил фильтры, но смс это ппц просто тонна гов повалила.
Мин цифры опять все сливает сразу?
Покопаться в манифесте, но не написать ни строчки про сам код - это сильно. А зачем был нужен реверс, если в код не полезли? Откройте тогда манифест какого-нибудь гугловского приложения, типа FamilyLink - тоже много нового для себя откроете.
Аааааа, всё пропало, пермишены, пермишены.
Если каждый пермишен поресёрчить в доке, всё становится вроде как даже понятно.
REQUEST_INSTALL_PACKAGES
https://support.google.com/googleplay/android-developer/answer/12085295?hl=ru
Приложение может устанавливать другие приложение, подобное разрешение используют сторы и браузеры.
Или когда через ТГ скачал аппку и хочешь её поставить, то у тебя запрашивается это самое разрешение, что-то вроде "Разрешить приложению устанавливать приложения", и потом "Установить Самый официальный клиент Сбербанка, это не скам, честное слово ?"
Интересно это описание, что данный пермишен, как относящийся к "разрешениям с высоким уровнем риска" - должен быть жизненно необходим аппке.
И зачем он базово мессенджеру - хз, но, думаю у телеги он тоже должен быть, так как подразумевается, что ты можешь скачать что-то и попробовать это поставить.
Следующее SYSTEM_ALERT_WINDOW
https://developer.android.com/reference/android/Manifest.permission#SYSTEM_ALERT_WINDOW
Существует с самой первой версии api android, начиная с 23й, что эквивалентно android 6 (нынешняя актуальная 15, выходит 16я) - требует явного разрешения пользователя (а до этого - не требовало =)) )
Тоже находится в зоне очень важных пермишенов, и для TODO листа может быть ту мач, но для звонилки - вроде как вполне себе ожидаемо, как и DISABLE_KEYGUARD, который используется чтобы показать звонок на заблокированном экране. (Аааааа аааа аааа, где моя фольга, ведь ни один мессенджер-звонилка на заблокированном экране не показывает входящий).
Ну и далее можно сделать то же самое, с любым разрешением.
Разрешения из года в год ограничивают разработчика, оберегая пользователя.
И многие из них нужны для обычной работы аппки, но, возможно, ими можно воспользоваться ещё как-то криво, злоумышленно, тут уж я хз, хотелось бы от более опытных коллег услышать чем-то подтверждённое мнение, что-то более существенное, чем кликбейтный разбор манифеста в vscode-е.
p.s. Отдельно интересно про диплинки, думаю их уже даже туду листы используют, но самый эпичный ход был у Т-банка, объегорившего эпл, и из тыквы сделав аппку банка, при переходе через диплинк с сайта банка, но тут уж или не тыкать ни на какие ссылки, либо если тык всё же состоялся и после этого открылся Макс, то выбрасывать телефон в окно, а то прямо сейчас все узнают, какие именно категории фильмов для взрослых предпочитает пользователь.
p.p.s. Разобраться действительно интересно, чего такого он умеет или не умеет.
Друзья, первый слив и информация о вас это имя и фамилия данная вам при рождении, далее запись в книге регистраций и паспорт. Жизнь так устроена, где бы вы не находились или говорили, уже есть информация о вас. Окружающие люди уже где то видели, слышали о вас. Для этого не нужны никакие максы и вазапы. Есть другие способы набора информации о вас. Прям читаю этот весь инфантильный базар и диву даюсь. Тот кто ищет, тот всегда найдёт.
Ну что до точной геопозиции - то та же телега умеет заданное время расшаривать геопозицию в фоне. Захват картинки с экрана - сомнительно, но бывает нужно. Запись - вполне могли запросить «до кучи», либо из-за приколов ОС захват иногда трактуется как запись. Да и вообще непонятна разница между ними. Доступ к аккаунтам - например, чтобы из чата можно было открыть ссылку ВК сразу от своего имени. Хотя странно: для этого у ВК есть свой механизм. В общем - довольно типичный набор разрешений для мессенджера, хотя отдельные звоночки есть.
А вот насчёт фоновых установок и обгов… обновлений - как же хорошо, что я свалил с ведроида! И одной из причин как раз были все эти возможности «скрытого обновления и установки». Система, которая разрешает подобное пользовательским приложениям - отстой по умолчанию. Соббсно, со мной это и произошло - одно особо умное приложение от одной очень известной конторы на последнюю букву алфавита слило в роуминге весь лимит траффика, причём в таких гребенях, где даже баланс пополнить на тот момент было проблемой.
Но в целом, учитывая, что в ведроиде приложение фонарика может весить 20Мб и просить полный доступ к устройству - не удивляет.
Про происки кровавой гэбни школьникам рассказывайте. Меня больше интересует, что этим функционалом приложения могут воспользоваться криминал и прочие жулики. Походу все таки нужен отдельный телефон под это приложение без камер и без микрофона.
В итоге, для этого подробного анализа понадобился только 7zip и notepad. И то даже 7zip не нужен. Я уж думал, кто-нибудь полезет искать системные вызовы, которые эти разрешения используют, чтобы понять, как они используются, а пока разочарование, читая, что deeplink - это критическая уязвимость (на ссылки формата t.me реагировать)
искать системные вызовы
зачем? в клиент-серверном приложении, с привязкой к госуслугам и анализу VK/Yandex биг дата
Вы даёте гарантию или манифест, что разрешения не изменятся?
зачем?
Чтобы догадки подтверждать. "Пока не доказано - не важно что сказано", как говорится. Да, разрешения могут измениться, да у нас нет возможности проверит сервер, но это совершенно не отменяет того, что догадки о том как используются разрешения - это не факты, как и того, что даже имея только клиентское приложение можно проанализировать что конкретно оно собирает.
Люди и так пуганные, и я считаю, что кормить их непроверенной информацией - это манипуляция и это подло. Это не делает "разоблачителей" лучше правительства ни на йоту, это только сеет безграмотную панику и "перекрашивает стадо", оставляя его "стадом".
А что стоило бы - так это начать уже ответственно и качественно относиться к такому. Самому вникать в детали, что именно происходит, и объяснять другим. Банально уважать своих же, не вешая им лапшу на уши при объяснении деталей и фактов. Иначе ничего лучше не станет.
Мессенджер Макс - перекрашенный там-там? Да. Ради него блокируют другие мессенджеры? Да. Может ли он использоваться для контроля и госшпионажа? Да. Но плохо ли то, что Макс - берет там-там за основу - только если на этом деньги попили. Ужас ли, что он использует опенсорсные сторонние библиотеки - нет, это норма, код опенсорсных либ можно проверить и зафиксировать. Значит ли наличие разрешения на доступ к микрофону, что Макс будет следить 24/7 - нет, во первых это разрешение надо дать, во-вторых при его использовании у тебя индикатор светится и палит кто микрофоном пользуется. А ещё это может быть банально разрешение для звонков с парковки. Угроза есть, но подтверждений этому 0. Поэтому давайте не перегибать, тут и так достаточно к чему придраться.
Ох уж эти мамкины конспираторы с чсв... "Смотри-ка, мессенджер хочет доступ к моей камере и самозапускаться. Не иначе, кровавая гэбня хочет меня в ГУЛАГ отправить для статистики."
Никого не смущает тот факт, что стоит что-то упомянуть в разговоре (даже не в телефонном, а в личном) - вам сразу реклама в тему выскакивает? Иногда просто подумать достаточно бывает, даже не говоря вслух. Не один раз замечал уже такое.
Никакому майору ваши мелкобуржуазные ябеды на вождя не интересны. Вы (мы) настолько читаемы и предсказуемы уже на имеющемся уровне, что никакие дополнительные Максы для этого просто не нужны.
Самое смешное: почему в "национальном" мессенджере сообщения на английском языке ? :)))))))))))
Это приложение как новый сосед, который при знакомстве сразу просит у вас ключи от квартиры, машины и доступ к банковскому счету. Просто на всякий случай, вдруг понадобится. Вроде и намерения могут быть добрыми, но осадочек остается
Опять разбор пермисий. Почему никто трафик не анализирует? Почему не сравнивает с другими мессенджерами?
Это исследование наручников, которые наденут на каждого. Можно пробовать сделать чтобы они не так сильно давили, но правильно будет придумать тюремщика. Это железно логично и очевидно.
А так... Нужно исходить из того что никакая переписка или голосовое общение не является тайной.
сцка, проглядел. *придушить
А что, неужели хоть кто-то исходит из обратного, независимо от мессенджера?
Это исследование наручников, которые наденут на каждого
Это больше похоже на поздний СССР, когда все делают вид, что они пролетариат (ходят на демонстрации), а КГБ, делает вид, что оно за безопасность. Потом конструкция из идеологии и слабовиков распадается на навоз и палки. И всё сначала.
Главный вывод - это приложение не для личного телефона. Если уж принуждают пользоваться - то только на отдельной, рабочей мобиле, без личных данных, контактов и аккаунтов. Или в виртуальной песочнице.
А разве для каждого этого android.permission.XXX не нужно получать согласие от пользователя? По крайней мере на те, которые в статье указаны как "уязвимости"? Если нужно, то в чём проблема просто их не давать?
Интересно как так, что человек, якобы разбирающийся в устройстве Android - не знает что подобные разрешения, есть у половины приложений на маркете.
Кроме специфичных - доступа к камере, контактам и т.п. (это понятно из назначения приложения)
MAX без оболочки: Что мы нашли в его APK
Так что вы нашли в его APK (кроме манифеста?), и что такое "без оболочки"?
По моему, статья почти не о чем. Плюсы её - желтый заголовок, да вот комменты, которые пишут не от качества "исследования", а от отношения к ситуации с Максом.
Именно, что ниочем, но при этом набирает вторую сотню плюсов ((
@Exosphereраз уж заговорили о заголовках, то вот пример очень грамотного наброса))
Если кому интересно - проверил те же самые разрешения из Telegram.apk, скачанного сегодня, 10.09.2025 с сайта telegram (https://telegram.org/android?setln=ru) "Telegram для Android", md5 42092048b815e921eb3efdf9ebbcae2c
В отличие от автора темы, не буду приводить скриншоты, так как это может проверить любой желающий.
Разрешение Номер строки
REQUEST_INSTALL_PACKAGES 69
SYSTEM_ALERT_WINDOW 59
RECEIVE_BOOT_COMPLETED 60
DISABLE_KEYGUARD нет
USE_FULL_SCREEN_INTENT 24
Доступ к личным данным:
READ_CONTACTS 51
WRITE_CONTACTS 52
ACCESS_FINE_LOCATION 11
CAMERA 66
RECORD_AUDIO 41
READ_EXTERNAL_STORAGE 46
READ_EXTERNAL_STORAGE 88
READ_MEDIA_IMAGES 47
READ_MEDIA_VIDEO 48
READ_PHONE_NUMBERS 27
GET_ACCOUNTS 50
AUTHENTICATE_ACCOUNTS 57
MANAGE_ACCOUNTS 53
USE_CREDENTIALS нет
USE_FINGERPRINT 61
Сетевые разрешения:
INTERNET 40
ACCESS_WIFI_STATE 44
ACCESS_NETWORK_STATE 43
CHANGE_WIFI_STATE нет
Подозрительные сервисы:
Сервис для звонков с доступом к камере и микрофону 334
Сервис медиа-проекции (может записывать экран) нет
Примечание: "сервис для звонков" включает в себя mediaProjection, кроме того, в разрешениях присутствует FOREGROUND_SERVICE_MEDIA_PROJECTION
Опасные компоненты:
LinkInterceptorActivity нет
CallNotifierFixActivity нет
Трекинг и аналитика:
AD_ID нет
Дополнительные опасные функции:
DOWNLOAD_WITHOUT_NOTIFICATION нет
FOREGROUND_SERVICE_DATA_SYNC 15
Автозапуск: Receiver для автозапуска при включении устройства.
BOOT_COMPLETED 365
QUICKBOOT_POWERON нет
В итоге, перед нами не просто мессенджер, а многофункциональный комплекс с широчайшими полномочиями. Пользователь, устанавливая это приложение, по сути, добровольно предоставляет ему ключи от всей своей цифровой жизни: от переписки и звонков до местоположения, паролей и возможности наблюдать через камеру.
/s На святой телеграм покусился! У-у-у-у! Его же гений Дуров написал! Он даже с ФСБ дрался! Его заблокировать не смогли, во! Кстати, а почему от него отстали...
Вы немного припозднились.
Было бы интересно увидеть сравнительную таблицу с другими популярными мессенджерами.
Не хотите сравнить с разрешениями того же телеграма? Доступ к точной геолокации нужен для функции "поделиться местоположением", может даже для трансляции своего точного местоположения контакту в реальном времени. Доступ к скачиванию файлов и установке апк нужен для самообновления приложения, если оно будет удалено из плейстора. Запрет бекапа - это тоже обычная практика, на моём андроиде бекапится меньше половины установленных приложений. Все эти пермишены требуют явного подтверждения от пользователя и есть в других месенджерах. В общем, очередная попытка опорочить MAX и натянуть сову на глобус.
Мне просто интересно, если читатели беспокоятся по поводу закладок и приватности мессенджера max, который насильно предустанавливвют в телефон, не проще ли спецслужбам, заставить устанавливать другое скрытое ПО, о котором вы даже и не догадываетесь?
Интереснее, действительно, сравнить его с другими мессанджерами.
Правильно ли я понимаю, что если на смартфонах Samsung установить MAX в защищённую папку Knox, то оно будет находиться в изолированной среде, не сможет сливать никакие данные со смартфона, и не будет работать в фоне, пока ты его сам не запустишь?
Вот это было написано еще во времена Царя Гороха доллара по 30 рублей
Самое тревожное здесь это не отдельные разрешения, а их совокупность
REQUEST_INSTALL_PACKAGES + DOWNLOAD_WITHOUT_NOTIFICATION + RECEIVE_BOOT_COMPLETED - классический рецепт для создания зомби-сети.
Да, каждое из этих разрешений по отдельности может быть оправдано, но вместе они создают идеальный шторм
Очень смешное "разоблачение" :-) А какие мессенджеры не имеют доступа к вашим контактам, камере, геоданным и другим "опасным" функциям? :-)))
Как исследователю, вам в первую очередь должно быть интересно, что происходит на сервере МАКса. Бинарник может быть самым прекрасным созданием на планете Земля. Он может даже не требовать доступ к вашим контактом. Этого доступа и не надо.
Вопрос только в том, кто и как будет смотреть на ваши сообщения на сервере.
Кто-то где-то писал, что макс ещё нюхает, на виртуалке его запустили или же на реальном девайсе. Это так?
что интересно, в лицензионном соглашении Макса написано что мы не имеем право его реверсинжинировать)
гениальный разбор. упомянуть кучу спецсофта для разборки апк и свести все к прочтению прав в манифесте)))
осталось сравнить данный манифест с тысячей других программ которые уже у всех на телефонах и понять личную шизонутость.
после чего получить от папы по шапке за невыученную домашку и идти в школу...
Я этим лаптиносным приложением пользоваться не буду. Зачем сервера и хозяйва заграницей находятся, им чего боятся? Что у нас хорошего сделали? Одни закручивание гаек. А тут думаете для людей. Что они говорят у нас всё по плану. А тут, что типа разбор для меня лично это враньё. Чтоб у вас затаилось сомнение, а может ничего, можно и поставить. Я лично категорически против.
Почитал много комментов, и убедился паранойя все еще есть. Да кому вы нах нужны если не косячите? Да контроль нужен, бабки смертницы рядом... Обожаемый Вацап хлеще собирает, 2 дня назад, я все ему отрубил, доступ на все запретил, в 10 утра, к 17 часам на меня выходит девушка с ЕЁ.ру по поводу работы, и как самое забавное через Вацап... Хотя я ему все отрубил, буквально ВСЁ. А потом появляются публикации, о якобы злом мессенджере. Да все все собирают, важное куда данные потом идут. Сам итшник и итбезопасностью занимаюсь. Ну чушь просто не сусветная... Аффтор, проанализируй остальные, выложи объективную инфу в сравнении. Какой из мессенджеров, что собирает и прочее, прежде чем нести херню, что все под колпаком.
Да кому вы нах нужны если не косячите?
Да откуда вы такие лезете — не понимающие, что то, что сегодня косяком не является, лет через надцать может им стать, «и вот тогда госбезопасность припомнит ваши имена» ©
В качестве утрированного примера, в США 1940-е чморить негров было в порядке вещей — а в 1970-е — уже незаконно. Или до 1993 года в УК РСФСР была статья 121, по которой половое сношение «мужчины с мужчиной» наказвалось лишением свободы — а в 1993 году гомонкулусов разрешили.
Подскажите а может ли этот мессенджер в веб версии обладать всем этим функционалом по сбору данных и управлением смартфоном? Просто явно рано или поздно придется периодически им пользоваться, но не хотелось бы такое подозрительное приложение на смартфоне иметь.
Когдая в июле анализировал код, то extractNativeLibs="false" не было ещё.
А посмотрите поиском по содержанию декомпилированных файлов подстроку "ua_dns". Не спрятали ли они еще в школе программные инструкции слива трафика на украинские сервисы? А то это у них так было хитро прописано.
то есть Ваши способности реверс-инжиниринга закончились на том, чтобы открыть манифест (для которого достаточно .apk заменить на .zip), прогнать его через нейросетку и все обычные разрешения, которыми любой мессенджер пользуется назвать опасными?
А если я когда то скачивал Макс, но в не дав разрешения через время его удалил, то все разрешения с поста тоже остаются или нет?
Я senior android разработчик с опытом коммерческой разработки с 2017 года. Я в ах.. ужасе от этого разбора и этих выводов на основе лишь беглого прочтения AndroidManifest человеком, который не имеет к разработке android-приложений абсолютно никакого отношения. К сведению автора, для того чтобы посмотреть AndroidManifest любого android-приложения достаточно лишь его apk, ну и стандартного блокнота, в данном конкретном случае (для чтения AndroidManifest) - зачем для этого использовать пачку остальных сервисов - одному лишь автору известно. К слову, где обещанный "разбор кода"? Далее, почему вы, не являясь разработчиком, берете на себя право псевдоэкспертно разбирать те вещи, в которых ничего не смыслите? Вы в курсе, что это смердженный манифест? Вы в курсе, что половину этих разрешений добавляют библиотеки? Вы в курсе, что часть стандартных данных в манифест добавляется для всех приложений при билде apk? Вы в курсе, что для того чтобы продемонстрировать экран устройства, его, сюрпрайз-сюрпрайз, НАДО ЗАПИСАТЬ?? Представляете, демонстрация экрана - это его запись и передача видеофайла на сервер, неожиданно, да? На "опасном" компоненте LinkInterceptorActivity "с возможностью перехвата deeplinks с критической уязвимостью" я заорала как тот суслик из мема - знаете как переводится link interceptor? Перехватчик ссылок. Знаете, что он делает? ПЕРЕХВАТЫВАЕТ ССЫЛКИ! Из браузера! Из системы! Представляете? Перехватчик ссылок перехватывает ссылки - сенсация и шок!!!111расрас Особенность android системы, что чтобы вызвать активити, ей надо назначить android:exported="true", и если ссылка поддерживается приложением, то система ее доставит в эту активити, а оттуда вас перенесут на нужный экран в приложении.
Господи, откуда вы лезете...
З.Ы. Отдельный привет тем, кто считает, что товарищ майор не имеет доступа к телеге и ватсап - счастливые вы люди, и вправду, меньше знаешь - крепче спишь.
Тоже поржал)) О том, что разрешение можно выдать на сеанс работы в приложении автор тоже тактично умолчал. Видимо все разрешения в манифесте у него выдаются автоматом, как в любимом Android 4.4
Время открывать консервы.
беглого прочтения AndroidManifest человеком
Человеком? Вы в этом уверены?
Ну запись экрана в скаме как раз и нужна чтобы читать сообщения вацапа, телеги и всего остального чтобы каждый раз паяльник не доставать.
есть очень важный нюанс, который влияет на очень многое: из какой именно этот товарищ майор страны.
Ну, справедливости ради, майор из одной страны может заинтересоваться Вами, если в переписке Вы обсуждаете выход на завтрашнее шатание лодки, а из другой — если обсуждаете результаты вчерашних испытаний какого-нибудь там орешника. Но с разными целями
Пффф... И где тут реверс инжиниринг? Очередное перечисление пермишенов, которых уже куча на хабре.
Слишком жидкое содержание для такого громкого названия статьи с ориентиром забайтить людей не в теме. Притом истинные юзкейсы многих разрешений намеренно или по незнанию автора не разъяснены:
INSTALL_PACKAGES может использоваться для автоапдейтов
FINE_LOCATION для скидывания геометок в приложении, как в телеге
BOOT_COMPLETE для старта какой либо фоновой службы (например чтобы не сломались уведомления на системе без GMS)
И при этом автор тактично умолчал о том, что многие разрешения не выдаются автоматом, а в большинстве случаев требуют подтверждения от пользователя (те самые диалоговые окошки). Учитывая что необходимость подтверждать разрешения появилась в Android 6, а у Макса Min API - 10, очевидно что почти на всю чувствительную информацию есть запросы и разрешение можно выдать только на текущий сеанс в приложении.
Макс - говно как мессенджер на данный момент, но без реального анализа что, где и куда отправляется, такие статьи - жидкий пук.
Ну и да, в нативной части там наверняка какой нибудь ффмпег.
Согласен с Вами - больше похоже на спекуляцию. Вот здесь на ютубе разобраны все эти пермишены относительно МАКСа https://www.youtube.com/watch?v=1k6ululNBbQ
А с каких пор наличие облаков над головой стало признаком бури которая скоро придет/не придет?
А если по серьезному - рассматривать файл манифеста и говорить что это "реверс-энджениринг" - это что - поколение такое стало программистов что ли? Я могу просто тупо загнать всевозможные разрешения в файл манифеста и не программировать их. Это что - стало запретом техническим?
На самом деле наверное не удивлен. Время сейчас такое. Подмены одних понятий другими. А уж в России - это стало нормой...
P.S. Удивляет количество up-ов. Но тут я думаю больше вопрос социологический, чем технический
Я что-то пропустил - а про пароли из чего следует? Пароли мы каким образом ему предоставляем?
Я думаю что с Телегой не лучше будет. А уж про W.App я вообще молчу, раз через него мошенники в открытую имеют доступ к телефону.
Смотря только на один мессенджер из условной тройки сложно сделать верные выводы, а как дела обстоят с Телеграм и WhatsApp? Было бы здорово увидеть сравнительный анализ.
Было оно уже и вполне хорошего качества: https://habr.com/ru/articles/939006/
@CyberB автор, два к вопроса:
Генеративные нейросети использовались при анализе и написании статьи?
Вы на комментарии отвечаете или находитесь здесь в режиме write-only статей?
Можно ли запустить это приложение в некую песочницу для изоляции, с сохранением основных функций?
Это какая-то страшилка перед сном, а не техническая статья.
Разрешения в манифесте делятся на типы:
Normal - те которые можно использовать сразу, например android.permission.INTERNET, они не представляет опасности для пользователя.
Dangerous - требуется явное согласие пользователя (runtime permission) например android.permission.READ_CONTACTS или android.permission.CAMERA, их использование приложение должно запрашивать, даже при указании в манифесте.
Обращайте внимание на то, какие разрешения даете приложению и не уходите в паранойю.
И снова здрасьте... Опять набежали наши любимые агитаторы-чатыГПТшники, похоже наш наикрутейший "реверс-инженер" даже не знает, что после соглашения на предложение приложения о предоставление какого-либо разрешения далее необходимо подтверждение его в системе, а не "ыыы два раза запросило разрешение"; И увидев очередной такой гениальный пост от людей которые нихуя не знают и не умеют, но почему-то лезут и почему-то ИМ БЛЯТЬ ВЕРЯТ, я решил сам разреверсить max.apk и с удивлением обнаружил, что "зашифрованый"(чем интересно? даже базовой обфускации нет) конфигурационный файл .xml вообще не относится к max, я буквально не знаю, откуда автор(скорее всего нет, чат гпт писал же) взял этот файл? В оригинальном файле нет никаких подозрительных разрешений, есть только пара уязвимых зависимостей, но не более, в общем опять пытаются обосрать российскую продукцию просто так
Надо обладать определённым набором качеств, чтобы назвать стандартный для мессенджера набор разрешений в файле манифеста чем-то пугающим. Как минимум, это непрофессионально. Как максимум, это просто популизм чистой воды, набрасывание известных всем масс на вентилятор.
Уж не надо говорить, что такой беглый анализ манифеста провернули уже все, кому не лень (примерно месяц подобные разгоны были в Телеграм-канале). Контекст и посыл был тот же самый: Макс - это гарантировано шпионское ПО, пересылающее данные на стол Товарищу Майору, инфа 146 процентов.
Но больше всего меня удивляет даже не сам пост, а его потрясающих масштабов залайканость и упорные комментаторы, вестимо, далёкие от разработки мобильных приложений, но яро доказывающие, что таких разрешений в манифесте быть не должно. Они ведь точно дают приложению su-права на устройстве.
Уже смешно. Боишься - не устанавливай. Не удивляйся если у майора будут вопросы почему ты его так боишься.
Странно что автор только манифест упомянул, а дальше код не посмотрел. Там тоже много чего интересного есть на эту тему. Но не суть. Заковыка то ситуации в том что реальные данные всегда будут сохраняться на серверах MAX и могут быть выгружены силовым структурам по первому запросу. Т.е. любая переписка, звонок или фото будут храниться в базе и при необходимости могут быть переданы ФСБ или другим ведомствам. А дальше уже в зависимости от ситуации или очередного бредового закона в плане цензуры от госдуры - на владельцев аккаунтов будут налагаться карающие меры. Да и эти странные оправдания от высокопоставленных госслужащих от том что нейросети не будут обрабатывать данные пользователей на северах, наводят на мысли. Да и нафиг такой мессенджер в котором надо каждое свое действие проверять - не попадает ли оно под очередную свежую статью УК РФ.
Если брать телегу или ватсап то там нет цензуры (если ты только не творишь реальную дичь) и можешь высказываться как хочешь и тебе за это ничего не будет. А про данные на их серверах - да как бы им смысла нет следить за простыми людьми - если ты конечно не политик. Кстати во Франции хотят засадить на подобный госсмесенджер только госслужащих. А у нас хотят весь народ.
Если авторы приложения прям на серьезных щах говорят что там нет никаких закладок и все честно - покажите исходный код приложения. Только правда это не решит основной проблемы - хранение данных на сервере и их дальнейшая обработка.
Почему всегда в подобных разборах как бы упускается один момент. А именно. Наличие спорных разрешений означает что? Что это разрешение даётся АВТОМАТИЧЕСКИ при установке и не может быть отозвано? Без этого разрешения приложение перестанет работать? Какое-то странное умолчание, как по мне.
Добрый день, вопрос знатокам - если установил Мах, а потом удалил - остается ли "что-то" от него после обычного удаления?
Все познается в сравнении. История про то какие возможности предоставляет MAX товарищу майору и потенциальным взломщикам безусловно интересна, а можно сделать аналогичный разбор WhatsApp, Telegram, Viber и сравнить?
GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS - полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.
Что-то, если не ошибаюсь, эти разрешения дают только возможность добавить аккаунт в систему исключительно для своего приложения. Я не могу стандартными средствами андроид управлять, например, гугл аккаунтом. Тут даже права root не спрашивает, как это ВТБ когда-то делал)
Подозрительные сервисы
Сервис для звонков с доступом к камере и микрофону
Действительно, крайне подозрительно, что приложение, включающее в себя видеочаты, хочет доступ к камере и микрофону.
LinkInterceptorActivity с возможностью перехвата deeplinks:
android:exported="true" (Критическая уязвимость). Эта активность может быть запущена извне — другим приложением на устройстве или даже из браузера по специальной ссылке.
Снова очень подозрительно! Не может же это быть для того, чтобы открывать ссылку на сообщение не в браузере, а в мессенджере? Да ну, бред :)
FOREGROUND_SERVICE_DATA_SYNC - фоновая синхронизация данных. Позволяет запустить foreground-сервис для "синхронизации данных". Это механизм для длительной фоновой работы под видом полезной деятельности, чтобы постоянно собирать данные.
...
Автозапуск: Receiver для автозапуска при включении устройства. Ресивер BootCompletedReceiver с тремя разными действиями (BOOT_COMPLETED, QUICKBOOT_POWERON) — это гарантирует, что запуск выполниться автоматически при любой возможности сразу после включения телефона, даже до его разблокировки.
Вы же в курсе, что это приложение для обмена сообщениями? И чтобы оно работало, ему бы желательно при загрузке устройства поднимать свои сервисы, в т.ч. устанавливать постоянное соединение с сервером. Как минимум для получения как самих сообщений, так и пуш уведомлений.
В итоге, перед нами не просто мессенджер, а многофункциональный комплекс с широчайшими полномочиями. Пользователь, устанавливая это приложение, по сути, добровольно предоставляет ему ключи от всей своей цифровой жизни: от переписки и звонков до местоположения, паролей и возможности наблюдать через камеру.
*как и практически любой другой мессенджер.
Нейронка быстра выявила суть статьи )
Анализ статьи "MAX без оболочки: Что мы нашли в его APK"
Сначала кратко о самой статье для контекста. Это публикация на платформе Habr.com (дата не указана явно, но по стилю и ссылке — вероятно, свежая, около 2025 года). Автор анонимен. Тема — разбор APK-файла мессенджера "Макс" (возможно, отсылка к какому-то российскому или спорному приложению, вызвавшему общественный резонанс, например, связанному с государственными инициативами или пропагандой). Анализ проводится с помощью инструментов вроде JADX, APKtool и Android Studio. Статья фокусируется на разрешениях (permissions) в AndroidManifest.xml, подчеркивая потенциальные риски для приватности и безопасности. Структура: введение, анализ разрешений, подозрительные компоненты. Медиа: множество скриншотов (Рис. 1–26), иллюстрирующих код и разрешения — они выглядят аутентичными, но без внешней верификации.
Статья написана в стиле технического ревью с элементами alarmism (тревожного повествования), чтобы подчеркнуть "опасности". Я проанализировал текст на предмет откровенной лжи (явных фактических ошибок, противоречащих реальности) и ложных нарративов (манипулятивных интерпретаций, преувеличений, cherry-picking фактов для создания искаженной картины). Для этого опирался на стандартные знания о Android-разработке (permissions в Android — это базовая механика, описанная в официальной документации Google), логику и отсутствие ссылок на внешние источники в самой статье.
1. Откровенная ложь (явные фактические ошибки)
В статье нет прямой откровенной лжи в смысле вымышленных фактов. Все описанные разрешения (например, REQUEST_INSTALL_PACKAGES, SYSTEM_ALERT_WINDOW, READ_CONTACTS и т.д.) действительно существуют в Android API и могут быть указаны в AndroidManifest.xml. Скриншоты выглядят правдоподобно (код на Smali-подобном языке от JADX). Однако есть одна потенциально вводящая в заблуждение неточность, граничащая с ложью по интерпретации:
Утверждение: "CHANGE_WIFI_STATE (изменение состояния Wi-Fi, может мешать работе сети, перехватывать трафик)" (Рис.21).
Почему это граничит с ложью: Это permission действительно позволяет менять Wi-Fi (включать/выключать), но не дает прямого доступа к перехвату трафика. Перехват (sniffing) требует дополнительных разрешений (например, для VPN или root-доступа) и не следует из CHANGE_WIFI_STATE. Это классическая ошибка: permission для контроля состояния сети ≠ для MITM-атак. В реальности такие атаки в user-space apps редки без явных уязвимостей. Автор преувеличивает, чтобы создать впечатление "тотального шпионажа", но факт сам по себе верен — ложь в выводе.
Нет других прямых фейков: статистики нет, цитат нет, все опирается на "личный анализ APK". Если APK реальный — утверждения техничны верны; если подделан — вся статья ложь, но это маловероятно (Habr модерирует контент).
2. Ложные нарративы (манипулятивные интерпретации и преувеличения)
Здесь основной "урожай". Статья строит нарратив "Макс — это spyware под видом мессенджера", selectively подчеркивая худшие аспекты, игнорируя контекст и нормальные практики Android-apps. Это создает ложный нарратив тотальной угрозы, где стандартные permissions подаются как "критические уязвимости". Выявленные проблемы:
Нарратив: "Опасные разрешения выходят за рамки стандартного функционала мессенджера" (основной тезис по всему разделу о permissions).
Манипуляция: Многие разрешения нормальны для VoIP/мессенджеров (аналогично Telegram, WhatsApp или Signal):
READ/WRITE_CONTACTS, CAMERA, RECORD_AUDIO — стандарт для звонков/чатов с медиа. Не "полный доступ к личным данным", а scoped (ограниченный запросом пользователя).
ACCESS_FINE_LOCATION — да, для "постоянного отслеживания", но в мессенджере это может быть для гео-стикеров или поиска друзей; преувеличено как "шпионаж".
INTERNET, ACCESS_NETWORK_STATE — у каждого сетевого app; подается как "полный доступ в интернет" с подтекстом угрозы.
Ложность: Игнорирует, что permissions — это не авто-доступ, а запросы с согласием пользователя (post-Android 6.0). Нет упоминания, проверял ли автор runtime-разрешения (могут быть не все реализованы). Создает панику: читатель думает "установил — и все украдено", хотя реальность nuanced.
Нарратив: "Подозрительные компоненты и сервисы — это тактики скрытности и перехвата" (раздел о LinkInterceptorActivity и CallNotifierFixActivity).
Манипуляция:
android:exported="true" — не "критическая уязвимость", а стандарт для handling deep links (как в любом app с ссылками, e.g., YouTube). "Перехват deeplinks" — нормальная фича, не хак.
android:excludeFromRecents="true" — да, скрывает из recent apps, но это используется в legit apps (e.g., для security во время звонков, как в банковских apps). Подается как "тактика скрытности хакеров".
Сервис медиа-проекции (для записи экрана) — подозрительно, но без доказательств использования (e.g., логи или дизассемблированный код) это спекуляция.
Ложность: Нет анализа байт-кода или строк ресурсов, чтобы показать реальное использование. Просто "может" (hypothetical threats) вместо "делает". Это fear-mongering: превращает potential в certainty.
Нарратив: "Трекинг и аналитика через AD_ID — для таргетированной рекламы и слежки" (Рис.26).
Манипуляция: com.google.android.gms.permission.AD_ID — стандарт для ads в free apps (Google Play Services). Подается как "трекинг пользователей", но без ссылок на Firebase или другие SDK (e.g., через grep в коде) — это обобщение.
Ложность: Игнорирует, что 90% free apps используют это (по данным Google). Если "Макс" — гос-app, ads маловероятны; нарратив подгоняет под "шпионаж", а не "монетизация".
Общий нарратив: "Приложение достаточно спорным" (введение), с фокусом на "риски для пользователей".
Манипуляция: Статья cherry-picks только "опасные" permissions, игнорируя benign (e.g., WAKE_LOCK для уведомлений). Нет сравнения с аналогами (e.g., VK или Telegram запрашивают похожие). Нет тестов на реальные утечки (e.g., через Frida или network sniffing).
Ложность: Создает bias: "Макс" — uniquely evil, хотя многие apps имеют over-requested permissions (проблема всей экосистемы Android). Субъективно: "спорным" подразумевает политический контекст (возможно, связь с РФ-инициативами), но без фактов — dog-whistle.
Рекомендации и вывод
Статья — не фейк-ньюс, а biased технический пост: факты верны, но интерпретации skewed для sensationalism (типично для Habr-аудитории, любящей "разоблачения"). Чтобы проверить глубже, рекомендую скачать APK самостоятельно и повторить анализ (e.g., через AAPT dump). Если "Макс" — реальное app (возможно, от "VK" или гос-проекта), то риски есть, но не апокалиптические — стандартные для Android.
Не думаю что Макс как то реально способствует чему-то. Скорее всего все в рамках того что делают и другие мессенджеры
MAX без оболочки: Что мы нашли в его APK