так это гугл наверняка информацию для рекламы сливает, а не приложение озон. у него есть доступ и к смартфону, и к истории на ютубе. я также замечал, что у меня в яндекс.директе появлялась реклама чего-то когда на телефоне вообще ни одного приложения яндекса не было установлено)
у меня у коллеги в городе уже год почти не работает мобильный интернет. так вот, vless с маскировкой SNI под ВК работает :) то есть фильтрации по IP там похоже нет, только по SNI
не может. чтобы приложение на андроиде могло сливать постоянно данные в фоновом режиме, ему придется вручную разрешить безлимитное использование батареи и использование разрешений в любом режиме (что нельзя сделать через обычное окошко разрешений, только через настройки). а при желании у него можно вообще отобрать любые разрешения и оно никуда обращаться не сможет.
так вы сами же говорите "значит чем больше опасений у обывателя - тем лучше", то есть намеренно предлагаете вводить людей без технических знаний в заблуждение, лишь бы у них было больше опасений.
Ок, тогда скажите мне пожалуйста, почему в вопросе "сливает ли приложение данные" вы легко говорите "нет", умалчивая, что ваше нет относиться только к клиентской его части.
так потому, что вопрос про слежку исключительно про клиентскую часть. серверная часть доступна спецслужбам, этого никто и не скрывает, более того, об этом открыто заявляют, как о преимуществе. вопрос тут в том сливает ли клиентская часть какие-то лишние данные о вас без вашего ведома, а не доступна ли ваша переписка товарищу майору.
А на ты мы с вами не переходили.
в интернете со времен форумов все по умолчанию разговаривают на "ты". но могу и на "вы", мне не сложно. просто как по мне странно обращаться к условно-анонимному Syrex'у на Вы.
значит чем больше опасений у обывателя - тем лучше
ложь во благо?) а если обыватель потом изучит вопрос и поймет, что ты ему наврал?
И если специалист будет говорить "да не, все норм" то это может закончится довольно печально в целом рядом сценариев
то же самое можно сказать и про сервисы ВК, и про сервисы Яндекса, и про Госуслуги, и про Rustore, и про приложения российских банков, и про все остальные отечественные приложения с закрытым исходным кодом. но против них почему-то такой информационной войны никто не развязывает. а тут прям вот именно мессенджер Мах - зло во плоти и обязательно при обновлении туда встроят какой-то бэкдор)
я не опровергал доступность переписки для спецслужб, это очевидно. вести переписку в максе ровно также безопасно, как и в вк. то есть, надо держать в голове, что отечественный товарищ майор легко получит доступ к этой переписке по первому же запросу. но для рабочих чатов внутри бюджетных организаций и всяких там обращений к госорганом вполне сойдет, там всё и так доступно майору.
я опровергаю только вбросы о том, что помимо основной функции макс ещё и собирает все возможные данные от местоположения до записи с микрофона и камеры или экрана (что якобы доказывается списком разрешений), и типа ставить его надо на отдельный смартфон, на котором больше ничего не стоит. именно этот бред последние пару месяцев продвигают из всех щелей на всевозможных сайтах)
ну я вот вроде специалист (более 10 лет в разработке) и скажу, что написанное в том разборе - чушь. любое приложение собранное не из предварительно проверенных исходников потенциально может иметь незадокументированный функционал, но одно лишь наличие каких-то разрешений в манифесте совершенно не указывает на то, что приложение за тобой будет следить. а конкретных случаев злоупотребления разрешениями за эти пару месяцев так и не нашли, хоть и очень искали. так что, скорее всего никакого сбора лишних данных там нет и не было. но это не значит, что не будет, но когда будет - тогда и поговорим. вообще, это было бы очень тупо выпускать госмессенджер, который бы сходу с первой версии начинал следить. очевидно, что сейчас его будут под лупой изучать все, кому не лень. вот через годик-другой, когда всё уляжется и все привыкнут - тогда да, можно потихоньку что-то попытаться добавить незаметно. опять же, не в том объеме, в котором пишут (это сразу заметно будет). например, к приложению госуслуг уже давно все привыкли и оно у многих установлено. или рустор тот же многие ставят чтобы банковские приложения через него обновлять. какой смысл встраивать слежку в новый мессенджер, который очевидно будут изучать, если есть старые приложения, которые никто под лупой не изучает?
верить во всякую чушь, которую не понимаешь, без проверки - рисковано. лучше либо разобраться самому, либо попросить специалиста оценить насколько написанное правда
переносить из-за этого личные переписки в макс - довольно странная идея. это как из-за "замедления" ютуба переходить на рутуб вместо того, чтобы настроить впн.
как-то оно пока иначе работает) какие-то одиночные сомневающиеся голоса только на околоайти ресурсах и есть, но обыватели их не читают. зато прочитали этот "разбор", поверили ему и теперь бегают всем рассказывают, что макс собирает все возможные данные и отправляет во все возможные инстанции от ФСБ до СБУ
нет. и нет. приложение является инструментом для сбора данных только если у него есть функционал сбора данных. то есть, оно может этого не делать прям щас, но при определенных условиях сделать. пока не найден бэкдор позволяющий это сделать или пока приложение не поймано на этом, оно это не делает. с таким же успехом можно заявить, что калькулятор windows является ПО для слежки. да, мы не нашли в нем подобного кода и не поймали когда он это делал, но в теории ведь может?
именно, но через ВК мало кто общается в наше время
да не так уж и мало, у меня есть знакомые, которые только там мне и пишут)
А в контексте замены тг/ws на макс
зачем что-то менять? макс - это чисто корпоративный мессенджер для госорганизаций. чатик класса сделать, рабочий чатик в какой-нибудь бюджетной организации. общаться там на повседневные темы совершенно необязательно.
Причем тут приложение и авторы статей анализа? Я про комментаторов говорю которые ясно и четко доносят риски
а я про авторов статей, которые просто перепечатывали анализ с гитхаба. ясно и четко доносить риски, что там все доступно к прочтению товарищу майору - это одно, это я только поддерживаю. а придумывать, что это приложение не мессенджер, а шпионское ПО, которое сольет все, до чего дотянется, - это другое, тут пруфы нужны, а не предположения.
Вовсе нет, любой государственный сервис должен доказывать что он бел и пушист, и все равно ему веры быть не должно.
с таким отношением вообще не имеет смысла что-то доказывать) будь он хоть опенсорсным, полностью открытым и распределенным как сеть тор, один хрен нашлись бы люди, которые утверждали бы, что он где-то там шпионит, ведь у него создатель ВК, а госконтора априори ничего хорошего сделать не может.
и как это превратилось в "приложение сливает"?
похоже мы о разных вещах говорим. я говорю о куче статей основанных на одном и том же нейросетевом "разборе" макса https://github.com/KARENKING112/max-deep-analysis-of-the-messenger в котором утверждается, что, прямая цитата, "Приложение "Макс", несмотря на отсутствие явных низкоуровневых эксплойтов, представляет собой мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности. ". и вывод этот делается из наличия разрешений и встроенного трекера собирающего данные об использовании приложения для разработчиков.
Весь ваш текст подмена моих тезисов на свои, не делайте так
и в чем они не правы? Хоть один указаный риск является не валидным?
во всем. бремя доказательства лежит на том, кто что-то утверждает. нельзя нагенерировать многостраничный "разбор" от нейронки, в котором просто анализируются разрешения и из них делается вывод, что приложение представляет собой "мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности", а когда тебе говорят, что такой вывод делать некорректно, говорить "а ты докажи, что оно не следит". доказывать нужно, что следит, и пока ни у кого поймать его на слежке не вышло, все доказательства строятся на предположениях, что прописанные в манифесте разрешения можно как-то использовать. да, можно, а можно и по другому.
я не являюсь андроид-разработчиком, но даже я знаю, что андроид не позволяет приложениям бесконтрольно пользоваться разрешениями в фоновом режиме. он просто прибьет приложение в фоне если у него не включено неограниченное использование батареи.
По тому да, бот защищающий за 15 рублей
где мои 15 рублей? если бы мне платили 15 рублей каждый раз, когда я говорю, что этот нейроразбор разрешений и выводы сделанные из него чушь, то я бы наверно уже новый комп на эти деньги купить смог)
ибо люди желают выслушать возражения по сути
чтобы были возражения по сути, нужно предъявить претензии по сути. а тут одно только "мессенджер просит разрешение на местоположение, значит он собирает данные о всех ваших перемещениях" и подобное. это же бред. андроид не позволит это сделать, да и разрешение на местоположение можно не давать. да и при каждом запросе он бы выдавал запрос, а он не выдает. и так по каждой претензии о разрешениях)
И самое классное, нигде вообще ни в одной статье типо вашей нет плашки "но все эти исследовании чушь, потому что сервера вот они, рядышком"
так исследования на тему "следит ли за тобой клиентское приложение", ибо изначально тезис был именно такой, типа "макс сливает все данные о местоположении, все твои файлы, слушает микрофон и все это заливает на сервера ФСБ/СБУ/кого-то ещё". и это чушь, эта статья тому отличное подтверждение.
а так да, согласен, безопасность общения максе равна безопасности общению в ВК, одноклассниках или любом другом отечественном мессенджере. ну, то есть, покупку травки там лучше не обсуждать, органы имеют туда прямой доступ.
ну какую цель преследовали авторы массово форсящие нейросетевой разбор с гитхаба, где на основании разрешений (ничем не примечательных в целом для мессенджера) и наличия в составе абсолютно легального и встроенного во все продукты ВК трекера MyTracker собирающего для разработчиков данные об использовании приложения делаются далекоидущие выводы, что это жуткое шпионское приложение, которое собирает данные о любой активности на устройстве, пишет экран, сливает местоположение и т.д.? к ним почему-то подобных вопросов не возникало)
причем, на хабре в силу более высокого технического уровня аудитории, я ещё вижу какую-то осторожную критику таких "разборов", а на менее технических ресурсах типа пикабу или vc все поголовно уверены, что Мах ставить можно только на отдельный смартфон специально под него купленный. а любая осторожная критика таких разборов жестко минусится и критикующих сразу объявляется ботом, который защищает Мах за 15 рублей. то есть менее технически грамотные люди в эту херню реально верят.
а что толку с исходников сервера если он развернут на сервере?) где гарантия, что там развернут именно тот сервер из исходников? а если своё разворачивать - то проще jabber поднять и не париться
Ну так потому, что 99% пользователей плевать на то, что их переписку прочитает товарищ майор. Лет 10 назад все переписывались в ВК и никого совершенно не волновало, что там все хранится на сервере и доступно спецслужбам, а сейчас с Максом, который по сути тот же ВК в другой обёртке, всех резко заволновал этот нюанс) хотя сквозным шифрованием в телеге пользуются скорее всего даже не 1%, а 0.01% пользователей. А в Вотсапе это вообще просто надпись, которую никак не проверить, ибо исходники клиента не открыты.
Я не минусил, но в теории ничто не мешает реализовать функцию выгрузить ключ сквозного шифрования в файлик, а потом загрузить его на другом клиенте чтобы позволить ему подключиться к секретному чату созданному на первом клиенте. Только в телеге такого функционала нет, но в принципе идея не самая сложная для реализации
так это гугл наверняка информацию для рекламы сливает, а не приложение озон. у него есть доступ и к смартфону, и к истории на ютубе. я также замечал, что у меня в яндекс.директе появлялась реклама чего-то когда на телефоне вообще ни одного приложения яндекса не было установлено)
у меня у коллеги в городе уже год почти не работает мобильный интернет. так вот, vless с маскировкой SNI под ВК работает :) то есть фильтрации по IP там похоже нет, только по SNI
не может. чтобы приложение на андроиде могло сливать постоянно данные в фоновом режиме, ему придется вручную разрешить безлимитное использование батареи и использование разрешений в любом режиме (что нельзя сделать через обычное окошко разрешений, только через настройки). а при желании у него можно вообще отобрать любые разрешения и оно никуда обращаться не сможет.
так вы сами же говорите "значит чем больше опасений у обывателя - тем лучше", то есть намеренно предлагаете вводить людей без технических знаний в заблуждение, лишь бы у них было больше опасений.
так потому, что вопрос про слежку исключительно про клиентскую часть. серверная часть доступна спецслужбам, этого никто и не скрывает, более того, об этом открыто заявляют, как о преимуществе. вопрос тут в том сливает ли клиентская часть какие-то лишние данные о вас без вашего ведома, а не доступна ли ваша переписка товарищу майору.
в интернете со времен форумов все по умолчанию разговаривают на "ты". но могу и на "вы", мне не сложно. просто как по мне странно обращаться к условно-анонимному Syrex'у на Вы.
ложь во благо?) а если обыватель потом изучит вопрос и поймет, что ты ему наврал?
то же самое можно сказать и про сервисы ВК, и про сервисы Яндекса, и про Госуслуги, и про Rustore, и про приложения российских банков, и про все остальные отечественные приложения с закрытым исходным кодом. но против них почему-то такой информационной войны никто не развязывает. а тут прям вот именно мессенджер Мах - зло во плоти и обязательно при обновлении туда встроят какой-то бэкдор)
я не опровергал доступность переписки для спецслужб, это очевидно. вести переписку в максе ровно также безопасно, как и в вк. то есть, надо держать в голове, что отечественный товарищ майор легко получит доступ к этой переписке по первому же запросу. но для рабочих чатов внутри бюджетных организаций и всяких там обращений к госорганом вполне сойдет, там всё и так доступно майору.
я опровергаю только вбросы о том, что помимо основной функции макс ещё и собирает все возможные данные от местоположения до записи с микрофона и камеры или экрана (что якобы доказывается списком разрешений), и типа ставить его надо на отдельный смартфон, на котором больше ничего не стоит. именно этот бред последние пару месяцев продвигают из всех щелей на всевозможных сайтах)
ну я вот вроде специалист (более 10 лет в разработке) и скажу, что написанное в том разборе - чушь. любое приложение собранное не из предварительно проверенных исходников потенциально может иметь незадокументированный функционал, но одно лишь наличие каких-то разрешений в манифесте совершенно не указывает на то, что приложение за тобой будет следить. а конкретных случаев злоупотребления разрешениями за эти пару месяцев так и не нашли, хоть и очень искали. так что, скорее всего никакого сбора лишних данных там нет и не было. но это не значит, что не будет, но когда будет - тогда и поговорим. вообще, это было бы очень тупо выпускать госмессенджер, который бы сходу с первой версии начинал следить. очевидно, что сейчас его будут под лупой изучать все, кому не лень. вот через годик-другой, когда всё уляжется и все привыкнут - тогда да, можно потихоньку что-то попытаться добавить незаметно. опять же, не в том объеме, в котором пишут (это сразу заметно будет). например, к приложению госуслуг уже давно все привыкли и оно у многих установлено. или рустор тот же многие ставят чтобы банковские приложения через него обновлять. какой смысл встраивать слежку в новый мессенджер, который очевидно будут изучать, если есть старые приложения, которые никто под лупой не изучает?
верить во всякую чушь, которую не понимаешь, без проверки - рисковано. лучше либо разобраться самому, либо попросить специалиста оценить насколько написанное правда
переносить из-за этого личные переписки в макс - довольно странная идея. это как из-за "замедления" ютуба переходить на рутуб вместо того, чтобы настроить впн.
как-то оно пока иначе работает) какие-то одиночные сомневающиеся голоса только на околоайти ресурсах и есть, но обыватели их не читают. зато прочитали этот "разбор", поверили ему и теперь бегают всем рассказывают, что макс собирает все возможные данные и отправляет во все возможные инстанции от ФСБ до СБУ
нет. и нет. приложение является инструментом для сбора данных только если у него есть функционал сбора данных. то есть, оно может этого не делать прям щас, но при определенных условиях сделать. пока не найден бэкдор позволяющий это сделать или пока приложение не поймано на этом, оно это не делает. с таким же успехом можно заявить, что калькулятор windows является ПО для слежки. да, мы не нашли в нем подобного кода и не поймали когда он это делал, но в теории ведь может?
да не так уж и мало, у меня есть знакомые, которые только там мне и пишут)
зачем что-то менять? макс - это чисто корпоративный мессенджер для госорганизаций. чатик класса сделать, рабочий чатик в какой-нибудь бюджетной организации. общаться там на повседневные темы совершенно необязательно.
а я про авторов статей, которые просто перепечатывали анализ с гитхаба. ясно и четко доносить риски, что там все доступно к прочтению товарищу майору - это одно, это я только поддерживаю. а придумывать, что это приложение не мессенджер, а шпионское ПО, которое сольет все, до чего дотянется, - это другое, тут пруфы нужны, а не предположения.
с таким отношением вообще не имеет смысла что-то доказывать) будь он хоть опенсорсным, полностью открытым и распределенным как сеть тор, один хрен нашлись бы люди, которые утверждали бы, что он где-то там шпионит, ведь у него создатель ВК, а госконтора априори ничего хорошего сделать не может.
похоже мы о разных вещах говорим. я говорю о куче статей основанных на одном и том же нейросетевом "разборе" макса https://github.com/KARENKING112/max-deep-analysis-of-the-messenger в котором утверждается, что, прямая цитата, "Приложение "Макс", несмотря на отсутствие явных низкоуровневых эксплойтов, представляет собой мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности. ". и вывод этот делается из наличия разрешений и встроенного трекера собирающего данные об использовании приложения для разработчиков.
где я и что подменял?
XMPP+PGP хватит с головой для безопасной переписки. зачем для этого использовать сторонние решения ума не приложу)
во всем. бремя доказательства лежит на том, кто что-то утверждает. нельзя нагенерировать многостраничный "разбор" от нейронки, в котором просто анализируются разрешения и из них делается вывод, что приложение представляет собой "мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности", а когда тебе говорят, что такой вывод делать некорректно, говорить "а ты докажи, что оно не следит". доказывать нужно, что следит, и пока ни у кого поймать его на слежке не вышло, все доказательства строятся на предположениях, что прописанные в манифесте разрешения можно как-то использовать. да, можно, а можно и по другому.
я не являюсь андроид-разработчиком, но даже я знаю, что андроид не позволяет приложениям бесконтрольно пользоваться разрешениями в фоновом режиме. он просто прибьет приложение в фоне если у него не включено неограниченное использование батареи.
где мои 15 рублей? если бы мне платили 15 рублей каждый раз, когда я говорю, что этот нейроразбор разрешений и выводы сделанные из него чушь, то я бы наверно уже новый комп на эти деньги купить смог)
чтобы были возражения по сути, нужно предъявить претензии по сути. а тут одно только "мессенджер просит разрешение на местоположение, значит он собирает данные о всех ваших перемещениях" и подобное. это же бред. андроид не позволит это сделать, да и разрешение на местоположение можно не давать. да и при каждом запросе он бы выдавал запрос, а он не выдает. и так по каждой претензии о разрешениях)
так исследования на тему "следит ли за тобой клиентское приложение", ибо изначально тезис был именно такой, типа "макс сливает все данные о местоположении, все твои файлы, слушает микрофон и все это заливает на сервера ФСБ/СБУ/кого-то ещё". и это чушь, эта статья тому отличное подтверждение.
а так да, согласен, безопасность общения максе равна безопасности общению в ВК, одноклассниках или любом другом отечественном мессенджере. ну, то есть, покупку травки там лучше не обсуждать, органы имеют туда прямой доступ.
ну какую цель преследовали авторы массово форсящие нейросетевой разбор с гитхаба, где на основании разрешений (ничем не примечательных в целом для мессенджера) и наличия в составе абсолютно легального и встроенного во все продукты ВК трекера MyTracker собирающего для разработчиков данные об использовании приложения делаются далекоидущие выводы, что это жуткое шпионское приложение, которое собирает данные о любой активности на устройстве, пишет экран, сливает местоположение и т.д.? к ним почему-то подобных вопросов не возникало)
причем, на хабре в силу более высокого технического уровня аудитории, я ещё вижу какую-то осторожную критику таких "разборов", а на менее технических ресурсах типа пикабу или vc все поголовно уверены, что Мах ставить можно только на отдельный смартфон специально под него купленный. а любая осторожная критика таких разборов жестко минусится и критикующих сразу объявляется ботом, который защищает Мах за 15 рублей. то есть менее технически грамотные люди в эту херню реально верят.
а что толку с исходников сервера если он развернут на сервере?) где гарантия, что там развернут именно тот сервер из исходников? а если своё разворачивать - то проще jabber поднять и не париться
Ну так потому, что 99% пользователей плевать на то, что их переписку прочитает товарищ майор. Лет 10 назад все переписывались в ВК и никого совершенно не волновало, что там все хранится на сервере и доступно спецслужбам, а сейчас с Максом, который по сути тот же ВК в другой обёртке, всех резко заволновал этот нюанс) хотя сквозным шифрованием в телеге пользуются скорее всего даже не 1%, а 0.01% пользователей. А в Вотсапе это вообще просто надпись, которую никак не проверить, ибо исходники клиента не открыты.
Так если у товарища майора есть доступ к устройству, на котором есть ключ от секретного чата, то он и так может его прочитать не вытаскивая ключ
Я не минусил, но в теории ничто не мешает реализовать функцию выгрузить ключ сквозного шифрования в файлик, а потом загрузить его на другом клиенте чтобы позволить ему подключиться к секретному чату созданному на первом клиенте. Только в телеге такого функционала нет, но в принципе идея не самая сложная для реализации
По какой?