Comments 90
Напишите, что вы думаете на этот счёт?
подписывайтесь на мой канал в максуде
)))
Человек нашел золотую жилу: не делая ничего "такого", сравнивать манифесты трех программ, писать по посту раз в неделю, и получать комменты - которые, по факту, пишутся не оттого, что сделал работу очень хорошо, а потому, что про Макс все готовы высказаться, так что такой вот пост служит затравкой обсуждения.
И, да, было бы куда круче написать статью, как безопаснее поставить Max, чтобы он не узнавал слишком много - в той или иной песочнице, так или иначе ограничивая.
Манифесты сравнить - дело, конечно, знатное, но это декларация, которая от реальной ситуации может отличаться: приложение могло и раньше, затребовав CHANGE_WIFI_STATE, по факту не пользоваться управлением сетями (но запросили по недоработке, или скопировав пример манифеста из доки и не поправив, или "на вырост"), а может получать информацию так, как приложения Яндекса (кто сказал "он даже не извинился"?) - и это уже совсем другая петрушка, согласитесь?
И вот исследование того, что реально использует Макс (а заодно и другие, нами уже принятые как более-менее доверенные, а именно WA и Телега), и какие трюки использует, можно было бы куда как более интересной информацией, правда?
Интересно сравнить с разрешениями этого же Мах под iOS. Кажется, там разрешений будет меньше
Может кто-то вдохновится и напишет аналогичную статью по IOS...
Под iOS есть один приятный нюанс: если приложению не дать каких-то разрешений – оно обязано работать, ограничивая лишь тот функционал, который не реализовать без этих разрешений. Иначе оно просто вылетает из аппстора.
Ну и да, про нетривиальные разрешения на review спросят – "а зачем это вам?". И если заподозрят, что и без них можно – могут и зареджектить.
Вы хотите сказать, что на андроиде приложение может действовать вопреки предоставленным разрешениям? Это не так. Тогда не было бы смысла обсуждать подобные статьи, если бы разрешения в манифесте были просто фикцией. Ну и в play сторе конечно есть проверка приложений перед публикацией. Существенно отличие от ios в том, что на андроиде (к счастью, по-моему) можно устанавливать приложения помимо офиц стора.
Нет. Приложение может выдать "а дай-ка мне phone permission", и пока ты это разрешение не выдашь – не работать дальше. Пример – приложение газпромбанка.
На iOS, как я уже сказал, за такое сразу вылетаешь из App Store.
Что хорошего, что можно устанавливать приложения мимо официального стора? Это не просто дыра, а дырища. Вот 10 официальных приложений сбербанк онлайн, но они все разные... Какое же выбрать?
Каждый уже принял решение, ставить или не ставить. Можно прекратить обсасывать.
так же как принял решение использовать тг или wa да тп fb(insta)cord'ch
Нет, это надо обсасывать до мозга костей. Какого хрюнделя я именно сейчас должен прекратить свои изыскания по этому убожеству?
А от куда разработчики будут брать информацию о том, что им исправлять и что людям важно? Только благодаря комментариям и подобным статьям
За этого каждого решение приняло государство когда:
Интегрировало в него платформу "Сферум".
Сделало обязательной его предустановку на каждый продаваемый смартфон в России.
Заглушило аудио и видео звонки через все нероссийские сервисы.
Решило начать внедрение цифрового ID(аналог паспорта) именно в MAX (вместо госуслуг).
... (и ещё Что-нибудь появится для мотивации к его "добровольной" установке).
В Москве вроде мобильный интернет не глушат, а вот в Омске/Томске/Иркутске и т.п. мобильный интернет обрублен почти на всей территории города. И в этих зонах из мессенджеров работает только Макс - так что думаю многие его поставят чтобы хоть какую то возможность общения иметь.
Я не ставлю и ставить не планирую, как, полагаю, и местная публика. Никто меня не мотивировал решить именно так. Пусть ставят те, кто скриншоты электронного голосования начальнику присылают, работая в Москве за 100 тысяч и трясясь за столь теплое место. Когда (не "если") задушат всё, перестану платить за интернет - смысла в нем с каждым днем все меньше и меньше. Переживать за разрешения, это, конечно, да, когда переписка, фото, видео и звонки идут в правильном виде через правильные сервера. Это мое частное, личное, скромное ИМХО.
А, кстати, как госуслуги от такого отказались? Там же Ростелеком, а он потяжелее Усманова будет?
За этого каждого решение приняло государство
Государство подаёт признаки жизни. Оно не хочет, как Непал, попасть под управление американского искусственного интеллекта после очередной Discord-революции.
Что интересно, в распоряжении правительства только ОДИН мессенджер для предустановки обязателен - http://publication.pravo.gov.ru/document/0001202508210027?index=3 пункт 7 в перечне.
А сейчас в России 3 работающих российских мессенджера, если иметь ввиду софт, контролируемый российскими компаниями и разрабатываемый в России:
Mail.ru Агент — сдох
QIP — сдох
ICQ — сдох
TamTam — его код положен в основу MAX, но есть привязки к OK.ID и VK.ID
VK Messenger — это по сути не мессенджер, а часть сети ВКонтакте, у него профили жёстко привязаны к VK.ID
Яндекс.Мессенджер — это бывший Яндекс.Чат, часть Яндекса с привязкой к Яндекс.ID
На роль госмессенджера не могут претендовать мессенджеры с ID, привязанными к социальной сети или к сервисам частной компании. В первом случае потому, что нельзя госслужащих загонять в соцсеть (при использовании OK.ID и VK.ID автоматом создаётся страница в соцсети), что противоречит принципам нераспространения персональных данных госслужащих (152-ФЗ). Нельзя привязывать профили и к Яндекс.ID,потому что в их мессенджере отобразятся все контакты из почты, накопленные за всю жизнь, в том числе собранные Яндексом автоматически, либо придётся заводить новый чистый профиль и соответственно почту в Яндексе, однако для госслужащих это неприемлемо, потому что государство не рекомендует госслужащим пользоваться публичными почтовыми сервисами для служебной переписки.
В реальности можно было сделать ребрендинг ТамТам для госмессенджера, но по каким-то причинам этот вариант был отвергнут. Скорее всего, по причине, что у него тоже есть привязки к соцсетям и он успел обрасти контактами из онных. Поэтому решили просто взять код ТамТам и сделать новый чистый госмессенджер с нуля.
В реальности можно было сделать ребрендинг ТамТам
Или взять что-то OpenSource-ное с возможностью Self-hosted, форкнуть/допилить клиент и сервер и поднять свои сервера.
Кстати, я забыл упомянуть про новый российский мессенджер "Молния", который вот-вот вылупится на свет божий: https://habr.com/ru/news/936382/
Вот он-то, скорее всего, сделан на базе opesource-кода WeChat, уж больно там много Китая.
Там-там это намёк на иностранное влияние?
Или это имя поросёнка из трёх толстяков (зачёркнуто) пороссят?
госслужащих загонять в соцсеть (при использовании OK.ID и VK.ID автоматом создаётся страница в соцсети), что противоречит принципам нераспространения персональных данных госслужащих (152-ФЗ).
Хм, интересный аргумент. А как добавляются собеседники в Максе? По телефону, односторонне? Что тогда мешает перебрать номера телефонов +7 и тем более отсеять тех, у кого полное имя стоит, да еще наверно фотография официальная, рабочая, в форме?
Точно также, как в Телеге, -- по номеру телефона. Вбиваешь в адресную книгу номер телефона и под этим именем в Телеге (и в Максе) появляется чат с этим человеком.
Что тогда мешает перебрать номера телефонов
И много таким способом людей нашлось в Телеге?
За номером телефона может стоять ник и аватарка.
И не догадаешься, что это на самом деле Петрова Мари Ванна.
в бумаге нет речи про госмессенджеры, но есть речь про программы, происхождение которых российское, и только. Но, раз Вы пишете про госмессенджер, то надо сказать со свой стороны, что мах - это НЕ государственный продукт.
Хорошая попытка, но всё равно - нет.
PS
Огромные слабосодержательные картинки было бы неплохо хотябы прятать под спойлер.
Проблема не в том что он запрашивает, а в том, что многие программы под андройд просто не запускаются пока не дашь им доступ к камере или к телефонной книге. На ios такого нет, даёшь только то что нужно, остальное не работает.
О чём этот пост? Да ни о чём!☝️👎🤣
Зачем Вацапу подключение/отключение вайфай-сетей, это известно. У вацапа способ переноса чатов между телефонами реализован не через их серверы, а через локальный коннект. Он на одном телефоне создаёт временную точку доступа, с другого телефона к ней подключается, и качает историю чатов через это соединение. Возможно, доступ к внутреннему хранилищу ключей ему нужен для того, чтобы потом восстановить предыдущее подключение, вытянуть креды для него, например (это уже мои предположения).
А можно ли пропатчить Макс изменив манифест так, чтобы разрешения были крайне минимальны и действительно те, которые необходимы? Если ли какой софт для Android (или это нужна особая прошивка телефона), чтобы управлять не только базовыми правами (доступ к фото, камере, геолокации), но и настолько расширено, насколько это возможно?
Для Пикселя есть GrapheneOS
А можно ли как-то выдавайть фейковые разрешения, чтобы наличие их, например доступ к контактам, всегда указывало на специальную пустую телефонную книгу мобилы? Фейковый сигнал навигации и прочее. Что-то наверное разработано в этом направлении, должно быть, мне кажется. // реплика
Проблема в том, что эти разрешения могли убрать временно. Чтобы усыпить бдительность особо любопытных пользователей, которые анализируют программу.
Часть людей выдохнут и установят прогу. Потом втихую снова вернут эти же разрешения. Со всеми вытекающими.
Да, к сожалению, это любого ПО касается
Разве при этом приложение не будет обязано явно запросить разрешения от пользователя?
В андроиде все равно когда появились разрешения. При первой установке или после обновления. Если требуется доступ к чувствительной информации, пользователь обязан явно подтвердить и это не обойти разработчику уже давно задолго до 10 версии.
Вот это ещë пусть уберут, оно совершенно необязательно для работы проги
RECEIVE_BOOT_COMPLETED - автозапуск при старте системы
REQUEST_INSTALL_PACKAGES - может устанавливать другие приложения
LinkInterceptorActivity с возможностью перехвата deeplinks
android:exported="true"
android:excludeFromRecents="true"
BootCompletedReceiver с тремя разными действиями (BOOT_COMPLETED, QUICKBOOT_POWERON)
Это лишь по предыдущей версии приложения. Какие бэкдоры они в новой версии открыли - надо ещë смотреть.
Ну и автообновление макса отключить, а вообще лучше песочница или отдельный телефон со сковырнутым микрофоном и камерой.
Почему автозагрузка необязательна? Для мессенджеров это крайне важная вещь.
REQUEST_INSTALL_PACKAGES это не возможность ставить APK а возможность попросить(при каждой установке) поставить и при этом нужно отдельно подтвердить возможность такого вообще.
Что плохого в deeplink? Это очень полезная и удобная вещь. И это работает не так как вас напугали и вы поверили. Нельзя добавить весь инет. А все сайты что вы добавите должны содержать специальные файлы где настроены все диплинки и указаны отпечатки сертов приложений которым это можно делать.
RECEIVE_BOOT_COMPLETED - автозапуск при старте системы
А как же тогда мессагер будет показывать уведомление, что Вам написали сообщение?
Для тех, кто не входит в ЦА, беспокоиться по поводу установки/не установки гос.мессенджера нечего. А для тех, кто входит, есть варианты.
Ну допустим max не будет меня фотографировать и писать окружающий звук. Но хранить всю переписку в открытом виде на серверах с доступом у неопределенного круга лиц, ну такое себе. Ещё небось и все разговоры записывает. И все по закону.
Опять же вопрос не в разрешениях, а в данных которые будут храниться на серверах Макс и как потом эти данные будут обрабатываться. И могут быть выгружены силовым структурам по первому запросу. Нафиг нужен мессенджер где постоянно надо следить за тем что пишешь и что шлешь, чтобы потом в будущем не схлопотать штраф или статью.
Вон дурь уже и так прет - за смайлик клоуна судят - назначают штрафы. Еще пример - Пермский краевой суд постановил выплатить жительнице Лысьвы 20 тысяч рублей в качестве моральной компенсации за оскорбление «овца». Или РПЦ например за мат вообще предлагает сажать. А на минуточку мат это часть нашей культуры. Или жителя Красноярска оштрафовали за обложку песни во «ВКонтакте». На обложке была изображена радуга — суд увидел в этом «пропаганду ЛГБТ» и «экстремистскую символику»...
Вот интересно все ринулись изучать под микроскопом нац.меседжер, а что там интересно у таких давно установленных приложения как Госуслуги/госключ, ВК и пр? Я подозреваю что эти приложения уже давным давно всё о Вас слили кому и куда нужно
Полагаю что проблема не в том сколько разрешений запрашивает Max, он может ничего вообще не запрашивать, кроме базовых разрешений, пока не запрашивать, но проблема в том что это не имеет ни какого значения на территории страны на которой он распространяется, если допустим условный Whatsapp или телега собирают мои данные и отправляет куда то за океан, то мне вообще на это... , но если это будет делать наш пресловутый Max, то я не хотел бы делиться своим исподним с отечественным тов. майором, а он если захочет, в любом случае вытащит мое исподнее, если ему это станет нужно, не взирая на то, есть там какие разрешения или нет... :)
UPDATE: Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*