Расскрою высказывание: есть каналы памяти. Есть плашки в них. Есть по несколько плашек на одном канале (interleaving). Есть "скорость" в удвоенных MHz (MegaTransfers/s), есть тайминги. Есть одноранговые (все чипы расположены с одной стороны печатной платы вместе), есть двухранговые плашки памяти. И interleave вкупе с рангами очень неоднозначно сказывается на параллелизации доступа и результирующей производительности. Еще DDR5 добавили режимы, когда банки памяти обновляются не все разом, а выборочно (плюс для быстродействия). -- мои пять копеек с дивана
G.SKILL F5-6000J3644D64GX4-TR5NS ("Samsung M") - заявляется 1-2-4 модуля по 2R 64GB на 5600 (или 6000? Не уверен, что у них по столбцам профиль памяти, а что именно они получили в итоге).
я и не пытаюсь на высоких, штатные для памяти 4800 или 5600 меня бы вполне устроили
"Штатные" -- это тайминги как в стандарте у JEDEC. Последняя ревизия: "JESD79-5C". А потому заказываю посмотреть на профили памяти (CPU-Z/HWiNFO в режиме summary), какое оно там на самом деле нестандартное :) Но вообще проблема с DDR5 в целом есть и широкая. Именно с сигналом.
Отсутствие внятной структуры в том документе и повторения дважды пункта 4 про AndroidManifest один раз с кратким описанием, а другой раз списком -- я даже не знаю, чем иным назвать бы было в прошлые времена?
Но хорошо, вы-то мне скажете, каким образом разрешения на стоковом Android допускают получение root (!!!) доступа?
На основе анализа AndroidManifest.xml, прямых разрешений, указывающих на возможность патчинга системных файлов, получения root-доступа [...] не обнаружено. Также отсутствуют явные упоминания о рутинге или эксплойтах в самом манифесте.
Вы же не знаете, где именно он этот код использует? Вот и нет смысла рассуждать о его "вредоносной деятельности", просто "предполагая".
Можете снести все эти мои предположения не очередным набросом отвергая очевидное, а пройтись вслед за сообществом, где он тусуется.
Есть даже политические issues, которые тут вообще не к месту (хотя, судя по всему, вас они очень даже интересуют, раз вы их сюда разместили, но это не удивительно).
Разместил всё, до чего добрался, потому что это всё вымоется скоро из кэша. См. начало комментария. У американцев есть очень меткая поговорка про assume. Nice try.
Скриншоты этих issues и pull requests будут? Или дальше ничем не аргументированного личного субъективного мнения это утверждение не идёт?
Эх, потрачу время. Но буквально ткну носом, что это вы могли бы проделать и сами. А поскольку кэш не вечен, то увековечу копипастом оставшийся кэш Яндекса здесь.
10, 11, 14 - pull requests и/или не осели в кэше.
Нет ли доступа к буферу обмена #1 - От 11 августа 2025 15:50:02 GMT
almirus: Нет ли доступа к буферу обмена
NTeditor: Для доступа к буферу обмену не нужно разрешение.
Есть ли xml файлы верстки? #2 - От 18 августа 2025 16:08:51 GMT
by NTeditor, no message
всё фуфло #3 -- От 18 августа 2025 13:37:48 GMT
webzavoda (4 👍): предполагается, что это всё и так есть у любого мессенджера. поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
DrZoidberg813 (5 👍):
предполагается, что это всё и так есть у любого мессенджера. поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
Тоже решил пройтись и посмотреть схожести и отличия, по крайней мере в рамках permissions приложения.
Я нашел отличия лишь в том, что MAX запрашивает DOWNLOAD_WITHOUT_NOTIFICATION, а в другом всё то же самое. Тут уже всё зависит от того, как именно приложение использует данные ему разрешения. И как описал автор, значительная часть кода обфусцирована, так что придется ждать, что кто-то захочет провести деобфускацию кода.
Мод на обход телеметрии. #4 - От 20 августа 2025 17:44:15 GMT
klementii229 (2 <3): Если кто знает ссылку на такой, дайте пожалуйста, не могу найти в интернете. MadTooth (1 👍): Если тебе так нужен мод на этот гавно.апк, тот 4pda (что-бы скачивать = регистрация), напишешь мудоделам что-бы "актуалочку" модифицировали, может сделают 😁
Бред #5 - От 20 августа 2025 15:51:52 GMT
Qweasd123tg (6 👍 12 😄): А если бы разрабы макса переименовали функцию getAge на getUserMoney автор бы подумал что макс ворует деньги со Сбера или Тбанка? Причём даже сомневаюсь что он сам все эти писал просто скинул код нейронке на разбор. Короче слишком жирно)
Chi-Firka (3👍 7👎): а, да, разрабы белые и пушистые и эта инфа ГОСУДАРСТВЕННОГО вируса точно не будет использоваться для чего-то большего, чем обмен мемасиками :clueless: кто-то явно недооценивает нынешний уровень 1984 выбирай:
сливать инфу в загнивающую европу без риска присесть
или
пользоваться СВОИМ, ДОМАШНИМ, НАШИМ 💪🏻 малварем, но одним днем уехать за решеточку за просмотр фоточки фембоя с косметичкой, который напоминает пресвятого царя и бога всея руси и мира
просто для справки изучи что такое вирус также что такое малварь, прочитай книгу 1984, и вообще изучи как работают те или иные приложения особенно серверная часть , можешь в целом как автор репо??? закинуть код в нейронку и постепенно разобрать его с вопросами двух категорий 'что тут хорошо' 'что тут плохо' для объективности, данные действия будут очень полезны для твоего саморазвития и в целом расширения кругозора
Chi-Firka (6 👍 4👎): и ни одного слова по делу
Chi-Firka (3 👍 5👎): ну правильно, когда нечего возразить - остается только обвинять собеседника в его некомпетентности. увы, зря надеялся на аргументированный ответ Chi-Firka (3 👍 4👎): защитники чебурнета они такие защитники... Chi-Firka (3 👍 5👎): основная позиция - текст написан нейронкой. ого, спасибо, без тебя бы не разобрался никто, кеп ну да, как я мог не догадаться, что это вашингтоноботы пришли испортить репутацию НАШЕГО, СВОЕГО, РЕВОЛЮЦИОННОГО, ПРОГРЕССИВНОГО вредоносного ПО(носа). вот только мне чет плевать абсолютно кем там этот текст написан, я между строк читаю, а не таращусь на буковки и думаю на каком это там языке написано и чтаэтазначит Chi-Firka (3 👍 4👎): многабукаф, надеюсь, осилишь Chi-Firka (3 👍 4👎)(отредактирован): ладно, извини я подстрекал тебя на мыслепреступление это тяжело, я знаю nersind (1😄): я вчера написал в максе что я хочу взорвать кремель и меня ещё никто не скрутил Qweasd123tg (2👎): Chi-Firka
и ни одного слова по делу
я бы честно ответил по делу, но опыт показывает, что отвечать по делу когда изначальная мысль(репо) сама не особо дельная???, смысла нет. в целом и распинаться изначально смысла не было ибо те кто шарят игнорируют подобный интернет кринж или же им тупо лень ибо других дел хватает, а те кто не понимают не поймут наших объяснений и тупо проигнорят, не факт что даже до гитхаба дойдут и в целом даже новость полностью не прочитают, им хватает заголовка для построения полной картины
c4llv07e: (полная цитата второго + прошлого комментария)
А у тебя как-будто бы есть? Тут даже не проблема в каких-то взглядах, просто макс - это прям генерик дефолтный мессенджер, который как будто бы создан по рандомным гайдам из интернета, и декомпиляция кода это и показывает.
Если хочешь, я тебе могу за любую претензию пояснить в репе, кроме сервера. Ибо на счёт сервера надо лишь понимать, что тут никак не проверишь приватность общения (ну, кроме сквозного шифрования, которого тут нет), а следовательно надо предполагать, что любое твое сообщение будет просматриваться третьими лицами, и поэтому там не надо писать ничего такого. Просто репа приравнивает Макс чуть ли не к пегасасу, что явно не так.
Chi-Firka (2 👍 2👎): (цитата прошлого)
Так мне не так интересны технические подробности, которые, как ты и говоришь, ничего из себя не представляют. Я поболтал с защитничками и понял, что они просто не могут догнать, какую ошибку они совершают. Там чел напрямую написал, что статус "официального государственного приложения" (держим в уме какой именно страны и чем она "славится") это достоинство. Ну, что ж... Я ожидал просто клуелесс человечков, но здесь фанатичное убеждение, а это не лечится в интернете
c4llv07e: (цитата прошлого)
Статус "официального государственного приложения" - это про ФСТЭК что ли? Ну, типа, он должен быть у каждого ру продукта, который работает с конфиденциальными данными. ТГ тоже в реестре ФСТЭКа есть, в этом ничего такого.
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Qweasd123tg: (полная цитата первого комментария c4llv07e)
Вопрос, а что там должно быть не дефолтного зачем изобретать велосипед? ну типо нам нужен мессенджер с доступом к нему правоохранительным органам примерно как тг сливает некоторых юзеров органам из франции) делать полное прям шифрование везде смысла нет
а так сверху народ уже разобрал репо и ничего особенного естественно нет
Chi-Firka (3👎):
Статус "официального государственного приложения" - это про ФСТЭК что ли?
Понятия не имею про ФСТЭКи. Скорее всего все проще - челу понравилось, что государство что-то сделало. Эм... Вот в самом репо этом была попытка в обратную инженерию. Так вот я не хочу реверсить просроченную вчерашним днём логику того чела и пытаться понять, что же ему так гордость защемило в том факте, что это гос. проект. Видимо, сидит в своем виртуальном окружении и просто ничего дальше пальца в своем носу не видит. Увы, в школах не учат критическому мышлению
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Да. С одной стороны - возможность похайпить. С другой - новый способ опознать вату или просто малоразвитых, которые не могут два плюс два сложить
Я в тебе вижу адекватного собеседника, поэтому не поленюсь достойно объяснить свою логику и почему я считаю, что этот высер не достоин называться чем-то большим, чем вирус
Что мы имеем: агрессивный маркетинг, закупки популярных личностей (не просто популярных, а именно среди молодежи, т.е. тех, кто в большинстве своем не делает контент, для понимания которого нужно думать, ТО ЕСТЬ стратегия пропаганды), растущее количество запретов с каждым месяцем (мне кажется, или раньше счёт шел хотя бы на годы) и тут я остановлюсь, этого достаточно
В медиа продавливают предустановку недософта на все смартфоны, а также добровольно-принудительную установку в учреждениях образования
Так для чего же это все? НЕ троян стал бы так себя вести? Достойное приложение нуждалось бы в такой рекламе? Отсюда вывод, что это ни что иное, как вирус Знаешь, у меня уже очень давно нет вирусов на ПК. Секрет в том, что я научился думать. Не бездумно качать все что попало. Анализировать. Это и есть суть
-- оставшиеся 4 комментария в кэше отсутствуют, динамическая прогрузка --
Сравнение с WA/TG? #6 -- От 19 августа 2025 20:03:55 GMT
hololoev (6👍): Звучит ужасно, но что в сравнении с другими мессенджарами? Подозреваю 2/3 всех этих же разрешений они запрашивают тоже
Defowl01: Даже больше чем 2/3, там разница в 1-3 разрешениях.
WA, что-то мало. видать остальное лучше спрятано [прим. VADemon: не спрятано, а не всё в пространстве android.permission определено, но спасибо автору, хотя бы видно из-за чего у него недосчёт]
Это просто «байт» для журналистов. #7 -- От 20 августа 2025 15:41:23 GMT
romanesko (16👍 2👎):
Со стороны может показаться насколько всё ужасно, но любому специалисту ясно, что любое приложение, где есть форма ввода «введите своё имя» занимается передачей личных данных на сервера и позволяет вести слежку сколько Олегов зарегистрировалось в системе.
Ну к-мон, это просто левый вброс, написанный нейросетью.
Дорогие журналисты, прежде чем постить в новостях — обратитесь к специалисту за консультацией.
Chi-Firka (4👍 15👎): разница в том, кто увидит твою инфу какой-нибудь далекий гУгОл, которому ты нахрен не сдался и который хочет лишь продать тебя поскорее или же... умничка, дальше сам догадаешься
Остаток приложения после удаления #8 - От 20 августа 2025 17:46:01 GMT
demargorn: Скажите, после удаления сего "мессенджера", остаются ли какие-то следы этого приложения на устройстве? Не останется ли слежки за устройством после удаления приложения?
Pan4ur (7👍 1👎 8😄): Добрый день! После просмотра интерфейса приложения MAX, в голове меняются нейронные связи и мозг начинает слать сигналы на МКС (Это из декриптованных архивов Кремля). Чтобы это предотвратить - воспользуйтесь инструкцией на картинке.
IMAGE
бред от чата гпт #9 -- От 18 августа 2025 15:47:11 GMT
pablushaa (1👍 1👎): с первых же строк можно понять, что аффтар сия поноса тупо прогнал весь код приложения через чат гпт (причем, походу, не только через чат жпт, но и через другие ии), чтобы срубить много упоминаний и классов. никакой реальной аналитики сделано не было. чисто байт для журналюг, профит от исследования нулевой
ИИ-слоп от человека, который даже не знает, что такое реверс #12 -- От 20 августа 2025 15:32:52 GMT
Прим.: сравнивать, видимо, надо со скриншотами из репы. Сопоставить ссылки не смогу.
Автор их никак не комментирует, поэтому это сделаю я. Скриншот, указанный ниже, показывает DLL библиотеки, половина из официальные либы от самих Microsoft, а другая половина - библиотеки Qt6, что автор увидел в этом зловредного - одному богу известно
Автор не указывает название вызова метода/класс, поэтому тут спешу сделать предположение, что это https://dreamswork.github.io/qt4/classQNetworkAccessManager.html - класс QNetworkAccessManager из Qt, который из описания позволяет приложению отправлять сетевые запросы и получать ответы, что автор увидел в этом плохо - тоже лишь одному богу известно
IMAGE
Здесь лишь подтверждается мое мнение, не более, смешит лишь невежество автора данной репы, ибо он не смог самостояльно нагуглить пример работы функции и попросил сделать это нейронку))
IMAGE
Здесь опять скришот без каких либо комментариев, поэтому это сделаю опять я, https://doc.qt.io/qt-6/qabstractsocket.html - класс из того же Qt, который дает базовый функционал для всех известных типов сокетов. Что же тут плохого - автор также не поясняет, видать автор не любит Qt Framework
IMAGE
Здесь автор, решил похвастаться, что нашел путь на с компа на котором происходила компиляция программы(скорее всего CI/CD ибо Jenkins)
IMAGE
Здесь же полнейшая шизофрения, ибо QFontMetrics (https://doc.qt.io/qt-6/qfontmetrics.html) - класс для работы со шрифтами, т.е единственная возможная опасность - уебанский выбор шрифта, от которого у дизайнера случится инсульт
IMAGE
Резюмируя хочу сказать, что автор не разбирается в реверсе от слова совсем и решил, что стандартные классы/методы Qt - что-то опасное, надеюсь, что читающий это сообщение уже понял, с каким уровнем аналитики мне пришлось столкнуться. Про текст, написанной нейронкой и автором, который имеет ровно 0 знаний в IT я даже говорить не буду, это сделали до меня.
kiber-io (7👍 2😄): автор ничего не реверсил 99%, это реально просто высер нейронки)
Что-то пошло не так #13 -- От 20 августа 2025 17:45:57 GMT
jecustoms (6👍 3🚀):
Где всё ок/типично для любого крупного мессенджера
myTracker. Перечень событий (trackPurchaseEvent, trackLaunchManually, кастомные параметры и т. д.) действительно есть в SDK и выглядит обычно для аналитики/атрибуции. Это стандартный SDK VK (myTracker), и его API открыто документирован;
Перехват HTTP/HTTPS и кастомных ссылок. LinkInterceptorActivity с intent-filters под http/https — это просто App Links/Deeplinks, стандартный механизм, а не «шпионаж за веб-трафиком».
Foreground-сервисы и типы (microphone|camera|location|…) — нормальная история для звонков/уведомлений/медиа; с Android 14 это вообще обязательная декларация;
Плейсинговая информация. Пакет ru.oneme.app — да, это MAX в Google Play.
Где автор перегибает или смешивает старьё с актуальным
Громоздкий список разрешений. Многое из перечисленного либо устарело/сигнатурное и обычному приложению недоступно (например, DOWNLOAD_WITHOUT_NOTIFICATION), либо больше не даёт прямого доступа на новых SDK (storage теперь через scoped storage + отдельные READ_MEDIA_*). Сам факт «упоминания» не значит, что приложение реально может это делать на Android 12–14;
DISABLE_KEYGUARD. Механизм работы с экраном блокировки через KeyguardLock уже давно deprecated; современные приложения используют window flags. Если это где-то всплыло — вероятнее следы старого кода/аналитики, чем реальная активность на новых версиях;
MediaProjectionService ⇒ «захват экрана». Само наличие сервиса не даёт прав: захват экрана возможен только после системного диалога-согласия пользователя каждый раз. То есть это не «скрытый скринрекордер», а инфраструктура под функции типа демонстрации экрана/видео-звонков. (Это следует из стандартной модели MediaProjection в Android).
Стоит держать в голове
Масштаб трекинга. myTracker действительно умеет собирать много параметров (возраст/пол, кастомные ID, deeplink-атрибуция, события покупок, время в приложении и т. п.). Это типично для больших приложений, но это реально «богатый» сбор — зависит от того, что именно разработчики включили в конфиг;
Интеграция экосистемы VK. MAX — продукт из экосистемы VK; логично видеть их SDK/сервисы внутри.
T-Maxxx:
Я тоже орнул с ОНЭМЕ.
С замечаниями согласен.
Телеметрию нашли? Нашли. Библиотеку сбора нашли? Нашли (MyTracker). Конфиги не нашли, метрики не нашли, синки (noop, в логи (файлы), в сеть) не нашли. Доказательств отправки собранных данных не нашли (возможность нашли). Ну... Ладно.
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
Отдельно орнул с методов get/set возраста имейла и т.д. Ну да, ну да, нам же не надо это, полученное от бэка, рисовать в UI. Не исключаю и классическое "ну напишем, пусть будет, потом придумаем, куда приткнуть, когда дизайн будет". Юзедж методов/полей "последнего ввода" нам, конечно же, никто не покажет. Ведь если там ничего интересного, то придётся их выкидывать из абсолютно непредвзятого, сука, не просто отчёта, а, блядь, полноценного аналитического документа.
Qweasd123tg (1👍):
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
доступ к геолокации нужен как минимум для функции "поделиться геолокацией" как максимум задел на будущее для интеграции тех или иных функций и в целом как то беспокоиться об этом смысла нет ибо ты можешь напрямую в системе отрезать доступ к гео определенному приложению или вовсе отрубить гео и разраб приложения с этим ничего не сделает
tanelxen: У меня есть кейс, когда отдел маркетинга просил добавить в одно e-commerce приложение трекинг геолокации, чтобы слать пуш-уведомления с рекламой магазинов, когда пользователь оказывается рядом с ними.
Можно такое же ревью для Telegram или WhatsApp написать? #15 -- От 20 августа 2025 15:35:27 GMT
nimda2k: С такими же выводами о собираемых данных и интрузивности.
nimda2k: (цитата ответа) Это работает в обе стороны.
[troll] Чей Киев? #16 - От 19 августа 2025 19:58:24 GMT
vladimir-vladimirovich-putin: без описания
Гриш, зае**л, хватит позориться #17 - От 20 августа 2025 08:21:51 GMT
FurrDev-Alt (2👍 1👎):
Ну я понимаю ты себя крутым хакером возомнил, но зачем в анализ лезть если не разбираешься? Иди лучше дальше взламывай ботов для сноса акков в тг :)
А если вот это прадва:
для структурирования и удаления ошибок тк над разбором работало 3 человека
,то это реально кринж.
MadTooth (1👍): Чё за тёрки ?, даже если автор(ы) репозитория законченные денераты либерлы лгбткхуй++, это всё равно не меняет того, что макс хуйня и точка, будет по заводу в прошивки сидеть, это только начало, очевидно что пользователя eboot в zопу, агрессивно навязывая этот мусор лохам под предлогам "наше", "ради вашей беzопасности", "чесная калкуренция", "сосите чмошники))", ну ты понял ?
[troll] Zаписьки польzоватиль максимки #1 #18 - От 20 августа 2025 08:59:27 GMT
MadTooth: (загрузил какое-то видео, но 404) ШТОТО ГЛУПЧИТ МАКСИСЯ БЛЕИН, ПАДСКАЖЫТЫ ЕСЛИ ПА 100500 РАЗИКОВ ПЕРЕУСРАНОВИТ ЕТОТ "ТОПЧИК" ПРИЛОЖУХА ДЕЛЯ КРУТИХ ПИСЮНООФФФ ТО НОРМ??? БУИТ РАБОТА?????, А ТО МНЕ ХАВОРЯТ ЩТЮ ЕТА ШПИОН В ТИЛИФОНИ, ОХ ОХ ПУК, ФИКСИКИ ПЖ НЕ ЛАМАЙЬЕ МАЯ ТИЛЕФОЧНИК МЯМА ПАРУХАИТ 😭😭😭
Остатком: This repository was archived by the owner on Aug 20, 2025. It is now read-only.
Так вот. После просмотра PR (таких же стебущихся) и особенно issue 12, я полез посмотреть на автора https://github.com/ZolManStaff aka Rigolit aka https://t[.]me/Rigolit22. Что я там увидел (а он уже спрятал репозитории + спасибо человеку, кто в WayBack Machine закинул):
BOFAMET_STEALER: BOFAMET stealer is a comprehensive solution for collecting data from target systems, consisting of a collector module (stealer) and a centralized command and control (C2) server
Что до моего высказывания об уровне компетенций автора, после именно issue 12, мне хватило увидеть, кхм, вот эту "эвристику" по краже сессионных данных Steam:
Отрывок кода, проходящийся вслепую по дискам B:-F: в Windows
Идем дальше по прошлому автора. Публикуется в сообществах мамкиных хацкеров и занимается очень даже вредительской деятельностью. Вот здесь релиз со скачиванием предлагается: blog.thread-community[.]net /z8hyoC1Qp3K , 23 июня "BOFAMET STEALER | Credit: Rigolit" "Пароли от архивов: @thread_invite". Ссылка на архив через посреднического ТГ-бота и Github автора.
Бот-посредник -- это новведение времен наших. Потому что серверы, например в Discord, за нарушения удаляются, а бот нет, то после удаления сервера можно всем пользователям бота разослать инвайт. Такая схема.
Про его деятельность могу отозваться лишь статьей"УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ".
Пусть я в целом и сторонник открытого кода и инструментария (метафора про кухонный нож). Думается, после вышеприведенного заявление писать можно. Есть шанс, что Гитхаб выдаст. Кто бы только занялся? Коммитит он из часового пояса +0500 (коммит восьмого мая 2025 и другой 12 окт 2024 г.). Гитом он пользоваться не умеет, потому что каждый коммит - либо через редактор веб-интерфейса, либо загрузка файлов через веб-интерфейс. Уж очень сомневаюсь, что это у него opsec такой продвинутый.
Вы обладаете достаточной экспертизой для оценки навыков анализа ПО рандомного "чела" в Интернете? Если нет - это уже субъективное мнение, с которым можно и поспорить.
Давайте спорить на основе issue 12 (остальные с негативом: 5, 7, 9, 13, и 17 - а это уже личное), отдельно сейчас более времени тратить не буду. После вас.
К слову не всё, что сгенерировано нейросетью шлак.
> Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах
Да и... где гарантии, что Ваш комментарий не сгенерирован нейросетью?
для которых всё, что публикуется в Интернете и не согласуется с личным мнением "сгенерировано нейросетью".
Эти прокладки, насколько знаю, есть в достаточном кол-ве в виде модулей Magisk (а это кастомная прошивка/рут). В том числе сокрытие/подтасовка списка контактов и т.п.
Обычный Android, несмотря на достаточно пристальное внимание Google -- шпионская система. iOS не отличается. Ну и не будут же они пилить сук, на котором сидят?
Вот именно, что без знания или глубокого анализа каждого из этих разрешений, нельзя однозначно сказать, сколько оно раскрывает информации.
Есть в Telegram и WhatsApp - UNINSTALL_SHORTCUT: смотрим SO.
Removing support due to its flacky design. Removing a shortcut causes a full reload. Also we do not have any concept of owner, so any app can remove any shortcut.
Читайте между строк. Приложение c этим разрешением видит каждое установленное приложения через его ярлык на рабочем столе? Благо в 2015 г. из AOSP удалили. А сколько оно дальше продолжало пользоваться? Другие лаунчеры вендоров со схожим функционалом/разрешением имеются?
Уникальное для WhatsApp - GET_TASKS: (Устаревшее) Просмотр запущенных приложений.
Безобидно что ли? Так Гугл КАК РАЗ из-за напасти приложений сканирующих всех соседей на телефоне порезал эти пермишены к чертям. А была именно напасть, из топ 1000 до фига и больше приложений этим занимались и отсылали к себе такую статистику на пользователя.
Потому статья - лишь поверхостное перечисление, но не пентестерский анализ за приватность. Тем не менее, +1 автору за начинание. С исходным посылом согласен.
(репозиторий кто-то удалил). В комментариях нашёл другую ссылку: https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
И правильно сделал(и). Уж на что я презираю такое поведение, но об...хаяли его предостаточно в issues и pull requests. Но за дело. Мало того, что там чел буквально уровня скрипт-кидди (+ забавляется black hat !"№ей. Бывает, но это индикатор), так там весь этот "глубокий анализ" -- это скопированный ответ нейросети, никем не проверенный. Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах, а не нести на публику под видом проведенного тех. анализа!
Так-то согласен. А с долгожитием везет. Я уже три поменял. Последняя изначально на 2.2 млн. кликов слева выдохлась. Да, уже всерьез программу для подсчета поставил. Аккурат после гарантийного срока.
Первое предложение: я ожидал такой ответ. Потому мы и подобрались к проблемам планетарного масштаба из-за текущей экономики.
Не, кликеры практически все стандартные. Но выпаивание их из-за сквозного монтажа (без фена) -- то еще развлечение на любителя. Так еще производители шурупы под ножками прячут, что форма ножек после отклейки теряется.
"Многие" = сами же компании, чтобы на законодательном уровне придушить будущую конкуренцию и обеспечить себе, как минимум, олигополию? Следите за руками за "non-profit" фондами и публичными заявлениями, а не навязанному мнению тех, кто ниже по течению.
Внутриушные наушники для постоянной работы/разговоров? Серьезно?
В плане удобства решение может и интересное, но как обычно: ремонтопригодность, скорее, её отсутствие. Ломается что-то одно и выбрасывай комплект? Либо износится кликер, либо в ушах деградирует аккумулятор.
что человек начинает с "я не программист" и берёт довольно сложную систему для вёрстки. Просто интересуюсь, пытался ли автор идти путём попроще.
Но справился же? Не так страшен черт или человек уникальный? ;)
Вместе с тем отвечаю на комментарий ниже, на загруженной PDF главы на стр. 6 очень наглядный пример для чего: переиспользуемые блоки, одинаковая раскраска однотипных блоков. Если писать односложные документы по отдельной теме на урок, то можно и Markdown отделаться. Хотя, кто сказал, что он простой? Он мне не нравится, своих приколов с экранированием, порядком в списке (параграф внутри списка?) хватает. Собственно, с этим согласен и закончу:
Сложная/нестандартная вёрстка в MD в принципе отсутствует
Всецело поддерживаю автора в том, что буквально берет на вооружение все возможности электронного формата. Главное, чтобы потом на мониторе прочесть можно было (а то разворот на А3 немножечко пугает амбициями) :) Хотя сейчас вообще телефоны в моде. Как на них маломальски что-то серьезное делать - до сих пор не понимаю. Вот и я на нем - опять - печатаю текст, который с клавиатуры бы втрое быстрее набрал.
За что уже сейчас зацепился глаз: стрелочки навигации. Чем толстая стрелка отличается от тонкой? А двух тонких? Трех?! Плавающей стрелки??? Я бы предпочел, за исключением +-1 подписать, на сколько страниц пойдет прыжок. Понятно, и привычно со времен форумов. В том числе писать словами, если к главе переход.
Печатное издание, может, со счетов совсем не сбрасывал? Были же энциклопедийные многотомники. Печать партиями на заказ, под группу подписавшихся желающих а ля Кикстартер, чтобы минимизировать риски. Но до этого ещё далеко, а потому пожелаю продолжить труд!
Засеките время за которое вы можете написать «идеально» одну секцию.
Занимаюсь сейчас хобби-проектом, тестирую и попутно документирую API в режиме blackbox (черного короба). И -- хоть ты тресни -- на простые функции с тестовым кодом (но не готовые автотесты), небольшим описанием и мало-мальски перекрестными ссылками уходит по 30мин на один коммит в git. Если сложнее или отвлекался по делам, то тут уже и под час уходит. И это уже при набитой руке, "крейсерская скорость", так сказать. "Ускориться" -- это скорее про "не замедлиться", чтобы среднее время стремилось к получасу, а не часу. Такие дела. *аналогично холивару на тему "сколько времени разработчик тратит в среднем на строчку кода
Если LaTeX - чудище Франкенштейна собранное из частей тела, то вами предложенное -- собирать чудище по молекулам, залить всё клеем, только чтобы это был Markdown?
Не годится он в своей базовой комплектации кроме как быть форматом текст++. LaTeX, при всей своей сложности, -- это абстракция, которая решает задачи, где обычный текстовый формат ничего (кроме копипаста) предложить не может.
DNS timeout?
Эх, продаваны. "Безопастность и стиль в ночное время"
Что касается угла 90°, то можно на спицы купить рефлектирующие полоски. Крепятся на саму спицу, стоят дешево, потому на каждую по штуке можно.
Расскрою высказывание: есть каналы памяти. Есть плашки в них. Есть по несколько плашек на одном канале (interleaving). Есть "скорость" в удвоенных MHz (MegaTransfers/s), есть тайминги. Есть одноранговые (все чипы расположены с одной стороны печатной платы вместе), есть двухранговые плашки памяти. И interleave вкупе с рангами очень неоднозначно сказывается на параллелизации доступа и результирующей производительности. Еще DDR5 добавили режимы, когда банки памяти обновляются не все разом, а выборочно (плюс для быстродействия). -- мои пять копеек с дивана
Если взять любимчиков маркетинга, та что из новостей: https://www.msi.com/Motherboard/MEG-X870E-GODLIKE/support#mem
G.SKILL F5-6000J3644D64GX4-TR5NS ("Samsung M") - заявляется 1-2-4 модуля по 2R 64GB на 5600 (или 6000? Не уверен, что у них по столбцам профиль памяти, а что именно они получили в итоге).
"Штатные" -- это тайминги как в стандарте у JEDEC. Последняя ревизия: "JESD79-5C". А потому заказываю посмотреть на профили памяти (CPU-Z/HWiNFO в режиме summary), какое оно там на самом деле нестандартное :) Но вообще проблема с DDR5 в целом есть и широкая. Именно с сигналом.
У Hardware Unboxed можно посмотреть материнки, взявшие 8000 MT/s на AM5 с его любимой парой плашек. Правда, без таймингов.
Отсутствие внятной структуры в том документе и повторения дважды пункта 4 про AndroidManifest один раз с кратким описанием, а другой раз списком -- я даже не знаю, чем иным назвать бы было в прошлые времена?
Но хорошо, вы-то мне скажете, каким образом разрешения на стоковом Android допускают получение root (!!!) доступа?
Можете снести все эти мои предположения не очередным набросом отвергая очевидное, а пройтись вслед за сообществом, где он тусуется.
Разместил всё, до чего добрался, потому что это всё вымоется скоро из кэша. См. начало комментария. У американцев есть очень меткая поговорка про assume. Nice try.
Эх, потрачу время. Но буквально ткну носом, что это вы могли бы проделать и сами. А поскольку кэш не вечен, то увековечу копипастом оставшийся кэш Яндекса здесь.
10, 11, 14 - pull requests и/или не осели в кэше.
Нет ли доступа к буферу обмена #1 - От 11 августа 2025 15:50:02 GMT
almirus: Нет ли доступа к буферу обмена
NTeditor: Для доступа к буферу обмену не нужно разрешение.
Есть ли xml файлы верстки? #2 - От 18 августа 2025 16:08:51 GMT
by NTeditor, no message
всё фуфло #3 -- От 18 августа 2025 13:37:48 GMT
webzavoda (4 👍): предполагается, что это всё и так есть у любого мессенджера.
поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
DrZoidberg813 (5 👍):
Тоже решил пройтись и посмотреть схожести и отличия, по крайней мере в рамках permissions приложения.
Есть отчеты по Telegram и Whatsapp.
Я нашел отличия лишь в том, что MAX запрашивает DOWNLOAD_WITHOUT_NOTIFICATION, а в другом всё то же самое. Тут уже всё зависит от того, как именно приложение использует данные ему разрешения. И как описал автор, значительная часть кода обфусцирована, так что придется ждать, что кто-то захочет провести деобфускацию кода.
Мод на обход телеметрии. #4 - От 20 августа 2025 17:44:15 GMT
klementii229 (2 <3): Если кто знает ссылку на такой, дайте пожалуйста, не могу найти в интернете.
MadTooth (1 👍): Если тебе так нужен мод на этот гавно.апк, тот 4pda (что-бы скачивать = регистрация), напишешь мудоделам что-бы "актуалочку" модифицировали, может сделают 😁
Бред #5 - От 20 августа 2025 15:51:52 GMT
Qweasd123tg (6 👍 12 😄): А если бы разрабы макса переименовали функцию getAge на getUserMoney автор бы подумал что макс ворует деньги со Сбера или Тбанка? Причём даже сомневаюсь что он сам все эти писал просто скинул код нейронке на разбор. Короче слишком жирно)
Chi-Firka (3👍 7👎): а, да, разрабы белые и пушистые и эта инфа ГОСУДАРСТВЕННОГО вируса точно не будет использоваться для чего-то большего, чем обмен мемасиками :clueless:
кто-то явно недооценивает нынешний уровень 1984
выбирай:
или
Qweasd123tg (4 👍 3👎 1😄): (полная цитата комментария выше)
просто для справки изучи что такое вирус также что такое малварь, прочитай книгу 1984, и вообще изучи как работают те или иные приложения особенно серверная часть , можешь в целом как автор репо??? закинуть код в нейронку и постепенно разобрать его с вопросами двух категорий 'что тут хорошо' 'что тут плохо' для объективности, данные действия будут очень полезны для твоего саморазвития и в целом расширения кругозора
Chi-Firka (6 👍 4👎): и ни одного слова по делу
Chi-Firka (3 👍 5👎): ну правильно, когда нечего возразить - остается только обвинять собеседника в его некомпетентности. увы, зря надеялся на аргументированный ответ
Chi-Firka (3 👍 4👎): защитники чебурнета они такие защитники...
Chi-Firka (3 👍 5👎): основная позиция - текст написан нейронкой. ого, спасибо, без тебя бы не разобрался никто, кеп ну да, как я мог не догадаться, что это вашингтоноботы пришли испортить репутацию НАШЕГО, СВОЕГО, РЕВОЛЮЦИОННОГО, ПРОГРЕССИВНОГО вредоносного ПО(носа). вот только мне чет плевать абсолютно кем там этот текст написан, я между строк читаю, а не таращусь на буковки и думаю на каком это там языке написано и чтаэтазначит
Chi-Firka (3 👍 4👎): многабукаф, надеюсь, осилишь
Chi-Firka (3 👍 4👎)(отредактирован): ладно, извини
я подстрекал тебя на мыслепреступление
это тяжело, я знаю
nersind (1😄): я вчера написал в максе что я хочу взорвать кремель и меня ещё никто не скрутил
Qweasd123tg (2👎): Chi-Firka
я бы честно ответил по делу, но опыт показывает, что отвечать по делу когда изначальная мысль(репо) сама не особо дельная???, смысла нет. в целом и распинаться изначально смысла не было ибо те кто шарят игнорируют подобный интернет кринж или же им тупо лень ибо других дел хватает, а те кто не понимают не поймут наших объяснений и тупо проигнорят, не факт что даже до гитхаба дойдут и в целом даже новость полностью не прочитают, им хватает заголовка для построения полной картины
c4llv07e: (полная цитата второго + прошлого комментария)
А у тебя как-будто бы есть? Тут даже не проблема в каких-то взглядах, просто макс - это прям генерик дефолтный мессенджер, который как будто бы создан по рандомным гайдам из интернета, и декомпиляция кода это и показывает.
Если хочешь, я тебе могу за любую претензию пояснить в репе, кроме сервера. Ибо на счёт сервера надо лишь понимать, что тут никак не проверишь приватность общения (ну, кроме сквозного шифрования, которого тут нет), а следовательно надо предполагать, что любое твое сообщение будет просматриваться третьими лицами, и поэтому там не надо писать ничего такого. Просто репа приравнивает Макс чуть ли не к пегасасу, что явно не так.
Chi-Firka (2 👍 2👎): (цитата прошлого)
Так мне не так интересны технические подробности, которые, как ты и говоришь, ничего из себя не представляют. Я поболтал с защитничками и понял, что они просто не могут догнать, какую ошибку они совершают. Там чел напрямую написал, что статус "официального государственного приложения" (держим в уме какой именно страны и чем она "славится") это достоинство. Ну, что ж... Я ожидал просто клуелесс человечков, но здесь фанатичное убеждение, а это не лечится в интернете
c4llv07e: (цитата прошлого)
Статус "официального государственного приложения" - это про ФСТЭК что ли? Ну, типа, он должен быть у каждого ру продукта, который работает с конфиденциальными данными. ТГ тоже в реестре ФСТЭКа есть, в этом ничего такого.
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Qweasd123tg: (полная цитата первого комментария c4llv07e)
Вопрос, а что там должно быть не дефолтного зачем изобретать велосипед? ну типо нам нужен мессенджер с доступом к нему правоохранительным органам примерно как тг сливает некоторых юзеров органам из франции)
делать полное прям шифрование везде смысла нет
а так сверху народ уже разобрал репо и ничего особенного естественно нет
Chi-Firka (3👎):
Статус "официального государственного приложения" - это про ФСТЭК что ли?
Понятия не имею про ФСТЭКи. Скорее всего все проще - челу понравилось, что государство что-то сделало. Эм... Вот в самом репо этом была попытка в обратную инженерию. Так вот я не хочу реверсить просроченную вчерашним днём логику того чела и пытаться понять, что же ему так гордость защемило в том факте, что это гос. проект. Видимо, сидит в своем виртуальном окружении и просто ничего дальше пальца в своем носу не видит. Увы, в школах не учат критическому мышлению
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Да. С одной стороны - возможность похайпить. С другой - новый способ опознать вату или просто малоразвитых, которые не могут два плюс два сложить
Я в тебе вижу адекватного собеседника, поэтому не поленюсь достойно объяснить свою логику и почему я считаю, что этот высер не достоин называться чем-то большим, чем вирус
Что мы имеем: агрессивный маркетинг, закупки популярных личностей (не просто популярных, а именно среди молодежи, т.е. тех, кто в большинстве своем не делает контент, для понимания которого нужно думать, ТО ЕСТЬ стратегия пропаганды), растущее количество запретов с каждым месяцем (мне кажется, или раньше счёт шел хотя бы на годы) и тут я остановлюсь, этого достаточно
В медиа продавливают предустановку недософта на все смартфоны, а также добровольно-принудительную установку в учреждениях образования
Так для чего же это все? НЕ троян стал бы так себя вести? Достойное приложение нуждалось бы в такой рекламе? Отсюда вывод, что это ни что иное, как вирус
Знаешь, у меня уже очень давно нет вирусов на ПК. Секрет в том, что я научился думать. Не бездумно качать все что попало. Анализировать. Это и есть суть
-- оставшиеся 4 комментария в кэше отсутствуют, динамическая прогрузка --
Сравнение с WA/TG? #6 -- От 19 августа 2025 20:03:55 GMT
hololoev (6👍): Звучит ужасно, но что в сравнении с другими мессенджарами? Подозреваю 2/3 всех этих же разрешений они запрашивают тоже
Defowl01: Даже больше чем 2/3, там разница в 1-3 разрешениях.
plazmer (1👍): Facebook
WA, что-то мало. видать остальное лучше спрятано [прим. VADemon: не спрятано, а не всё в пространстве android.permission определено, но спасибо автору, хотя бы видно из-за чего у него недосчёт]
track:
Как повторить? (apt install binutils - чтобы strings получить)
Это просто «байт» для журналистов. #7 -- От 20 августа 2025 15:41:23 GMT
romanesko (16👍 2👎):
Со стороны может показаться насколько всё ужасно, но любому специалисту ясно, что любое приложение, где есть форма ввода «введите своё имя» занимается передачей личных данных на сервера и позволяет вести слежку сколько Олегов зарегистрировалось в системе.
Ну к-мон, это просто левый вброс, написанный нейросетью.
Дорогие журналисты, прежде чем постить в новостях — обратитесь к специалисту за консультацией.
Chi-Firka (4👍 15👎): разница в том, кто увидит твою инфу
какой-нибудь далекий гУгОл, которому ты нахрен не сдался и который хочет лишь продать тебя поскорее или же...
умничка, дальше сам догадаешься
Остаток приложения после удаления #8 - От 20 августа 2025 17:46:01 GMT
demargorn: Скажите, после удаления сего "мессенджера", остаются ли какие-то следы этого приложения на устройстве? Не останется ли слежки за устройством после удаления приложения?
Pan4ur (7👍 1👎 8😄): Добрый день! После просмотра интерфейса приложения MAX, в голове меняются нейронные связи и мозг начинает слать сигналы на МКС (Это из декриптованных архивов Кремля). Чтобы это предотвратить - воспользуйтесь инструкцией на картинке.
IMAGE
бред от чата гпт #9 -- От 18 августа 2025 15:47:11 GMT
pablushaa (1👍 1👎): с первых же строк можно понять, что аффтар сия поноса тупо прогнал весь код приложения через чат гпт (причем, походу, не только через чат жпт, но и через другие ии), чтобы срубить много упоминаний и классов. никакой реальной аналитики сделано не было. чисто байт для журналюг, профит от исследования нулевой
ИИ-слоп от человека, который даже не знает, что такое реверс #12 -- От 20 августа 2025 15:32:52 GMT
Прим.: сравнивать, видимо, надо со скриншотами из репы. Сопоставить ссылки не смогу.
https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
LSD00 (23👍 3😄):
Я в своем сообщении лишь разберу скришоты.
IMAGE
Автор их никак не комментирует, поэтому это сделаю я. Скриншот, указанный ниже, показывает DLL библиотеки, половина из официальные либы от самих Microsoft, а другая половина - библиотеки Qt6, что автор увидел в этом зловредного - одному богу известно
Автор не указывает название вызова метода/класс, поэтому тут спешу сделать предположение, что это https://dreamswork.github.io/qt4/classQNetworkAccessManager.html - класс QNetworkAccessManager из Qt, который из описания позволяет приложению отправлять сетевые запросы и получать ответы, что автор увидел в этом плохо - тоже лишь одному богу известно
IMAGE
Здесь лишь подтверждается мое мнение, не более, смешит лишь невежество автора данной репы, ибо он не смог самостояльно нагуглить пример работы функции и попросил сделать это нейронку))
IMAGE
Здесь опять скришот без каких либо комментариев, поэтому это сделаю опять я, https://doc.qt.io/qt-6/qabstractsocket.html - класс из того же Qt, который дает базовый функционал для всех известных типов сокетов. Что же тут плохого - автор также не поясняет, видать автор не любит Qt Framework
IMAGE
Здесь автор, решил похвастаться, что нашел путь на с компа на котором происходила компиляция программы(скорее всего CI/CD ибо Jenkins)
IMAGE
Здесь же полнейшая шизофрения, ибо QFontMetrics (https://doc.qt.io/qt-6/qfontmetrics.html) - класс для работы со шрифтами, т.е единственная возможная опасность - уебанский выбор шрифта, от которого у дизайнера случится инсульт
IMAGE
Резюмируя хочу сказать, что автор не разбирается в реверсе от слова совсем и решил, что стандартные классы/методы Qt - что-то опасное, надеюсь, что читающий это сообщение уже понял, с каким уровнем аналитики мне пришлось столкнуться. Про текст, написанной нейронкой и автором, который имеет ровно 0 знаний в IT я даже говорить не буду, это сделали до меня.
kiber-io (7👍 2😄): автор ничего не реверсил 99%, это реально просто высер нейронки)
Что-то пошло не так #13 -- От 20 августа 2025 17:45:57 GMT
jecustoms (6👍 3🚀):
Где всё ок/типично для любого крупного мессенджера
myTracker. Перечень событий (trackPurchaseEvent, trackLaunchManually, кастомные параметры и т. д.) действительно есть в SDK и выглядит обычно для аналитики/атрибуции. Это стандартный SDK VK (myTracker), и его API открыто документирован;
Перехват HTTP/HTTPS и кастомных ссылок. LinkInterceptorActivity с intent-filters под http/https — это просто App Links/Deeplinks, стандартный механизм, а не «шпионаж за веб-трафиком».
Foreground-сервисы и типы (microphone|camera|location|…) — нормальная история для звонков/уведомлений/медиа; с Android 14 это вообще обязательная декларация;
Где автор перегибает или смешивает старьё с актуальным
Громоздкий список разрешений. Многое из перечисленного либо устарело/сигнатурное и обычному приложению недоступно (например, DOWNLOAD_WITHOUT_NOTIFICATION), либо больше не даёт прямого доступа на новых SDK (storage теперь через scoped storage + отдельные READ_MEDIA_*). Сам факт «упоминания» не значит, что приложение реально может это делать на Android 12–14;
DISABLE_KEYGUARD. Механизм работы с экраном блокировки через KeyguardLock уже давно deprecated; современные приложения используют window flags. Если это где-то всплыло — вероятнее следы старого кода/аналитики, чем реальная активность на новых версиях;
Стоит держать в голове
Масштаб трекинга. myTracker действительно умеет собирать много параметров (возраст/пол, кастомные ID, deeplink-атрибуция, события покупок, время в приложении и т. п.). Это типично для больших приложений, но это реально «богатый» сбор — зависит от того, что именно разработчики включили в конфиг;
T-Maxxx:
Я тоже орнул с ОНЭМЕ.
С замечаниями согласен.
Телеметрию нашли? Нашли. Библиотеку сбора нашли? Нашли (MyTracker). Конфиги не нашли, метрики не нашли, синки (noop, в логи (файлы), в сеть) не нашли. Доказательств отправки собранных данных не нашли (возможность нашли). Ну... Ладно.
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
Отдельно орнул с методов get/set возраста имейла и т.д. Ну да, ну да, нам же не надо это, полученное от бэка, рисовать в UI. Не исключаю и классическое "ну напишем, пусть будет, потом придумаем, куда приткнуть, когда дизайн будет". Юзедж методов/полей "последнего ввода" нам, конечно же, никто не покажет. Ведь если там ничего интересного, то придётся их выкидывать из абсолютно непредвзятого, сука, не просто отчёта, а, блядь, полноценного аналитического документа.
Qweasd123tg (1👍):
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
доступ к геолокации нужен как минимум для функции "поделиться геолокацией"
как максимум задел на будущее для интеграции тех или иных функций
и в целом как то беспокоиться об этом смысла нет ибо ты можешь напрямую в системе отрезать доступ к гео определенному приложению или вовсе отрубить гео и разраб приложения с этим ничего не сделает
tanelxen: У меня есть кейс, когда отдел маркетинга просил добавить в одно e-commerce приложение трекинг геолокации, чтобы слать пуш-уведомления с рекламой магазинов, когда пользователь оказывается рядом с ними.
Можно такое же ревью для Telegram или WhatsApp написать? #15 -- От 20 августа 2025 15:35:27 GMT
nimda2k: С такими же выводами о собираемых данных и интрузивности.
NTeditor: https://github.com/DrKLO/Telegram
nimda2k:
https://github.com/DrKLO/Telegram
Спасибо, конечно, но с
выводами о собираемых данных и интрузивности.
там туговато.
mitsukuri: (цитата issue) whataboutism - ваше всё
nimda2k: (цитата ответа) Это работает в обе стороны.
[troll] Чей Киев? #16 - От 19 августа 2025 19:58:24 GMT
vladimir-vladimirovich-putin: без описания
Гриш, зае**л, хватит позориться #17 - От 20 августа 2025 08:21:51 GMT
FurrDev-Alt (2👍 1👎):
Ну я понимаю ты себя крутым хакером возомнил, но зачем в анализ лезть если не разбираешься?
Иди лучше дальше взламывай ботов для сноса акков в тг :)
А если вот это прадва:
для структурирования и удаления ошибок тк над разбором работало 3 человека
,то это реально кринж.
MadTooth (1👍): Чё за тёрки ?, даже если автор(ы) репозитория законченные денераты либерлы лгбткхуй++, это всё равно не меняет того, что макс хуйня и точка, будет по заводу в прошивки сидеть, это только начало, очевидно что пользователя eboot в zопу, агрессивно навязывая этот мусор лохам под предлогам "наше", "ради вашей беzопасности", "чесная калкуренция", "сосите чмошники))", ну ты понял ?
[troll] Zаписьки польzоватиль максимки #1 #18 - От 20 августа 2025 08:59:27 GMT
MadTooth: (загрузил какое-то видео, но 404) ШТОТО ГЛУПЧИТ МАКСИСЯ БЛЕИН, ПАДСКАЖЫТЫ ЕСЛИ ПА 100500 РАЗИКОВ ПЕРЕУСРАНОВИТ ЕТОТ "ТОПЧИК" ПРИЛОЖУХА ДЕЛЯ КРУТИХ ПИСЮНООФФФ ТО НОРМ??? БУИТ РАБОТА?????, А ТО МНЕ ХАВОРЯТ ЩТЮ ЕТА ШПИОН В ТИЛИФОНИ, ОХ ОХ ПУК, ФИКСИКИ ПЖ НЕ ЛАМАЙЬЕ МАЯ ТИЛЕФОЧНИК МЯМА ПАРУХАИТ 😭😭😭
Кстаъ, удалити членукс
(И еще одно загруженное видео)
Остатком: This repository was archived by the owner on Aug 20, 2025. It is now read-only.
Так вот. После просмотра PR (таких же стебущихся) и особенно issue 12, я полез посмотреть на автора https://github.com/ZolManStaff aka Rigolit aka
https://t[.]me/Rigolit22. Что я там увидел (а он уже спрятал репозитории + спасибо человеку, кто в WayBack Machine закинул):BOFAMET_STEALER: BOFAMET stealer is a comprehensive solution for collecting data from target systems, consisting of a collector module (stealer) and a centralized command and control (C2) server
Теги: python windows golang web-server malware electron-app c2
Более-менее свежий форк виден здесь:
https://github[.]com/Xcertik-Realist/BOFAMET_STEALERMAX-deep-analysis-of-the-messenger - виновник торжества
DeathCore: Project: DeathCore - Advanced System Disruption Framework
Теги: windows golang malware uac-bypass wiper windows-malware
BOTcontroller: теги: python windows linux telegram telegram-bot telegram-api tui
DISqRD: теги: python discord-bot hacking-tool hacker-tools discord-token
Что до моего высказывания об уровне компетенций автора, после именно issue 12, мне хватило увидеть, кхм, вот эту "эвристику" по краже сессионных данных Steam:
Отрывок кода, проходящийся вслепую по дискам B:-F: в Windows
Идем дальше по прошлому автора. Публикуется в сообществах
мамкиных хацкерови занимается очень даже вредительской деятельностью. Вот здесь релиз со скачиванием предлагается:blog.thread-community[.]net /z8hyoC1Qp3K, 23 июня "BOFAMET STEALER | Credit: Rigolit" "Пароли от архивов:@thread_invite". Ссылка на архив через посреднического ТГ-бота и Github автора.Бот-посредник -- это новведение времен наших. Потому что серверы, например в Discord, за нарушения удаляются, а бот нет, то после удаления сервера можно всем пользователям бота разослать инвайт. Такая схема.
Про его деятельность могу отозваться лишь статьей "УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ".
Пусть я в целом и сторонник открытого кода и инструментария (метафора про кухонный нож). Думается, после вышеприведенного заявление писать можно. Есть шанс, что Гитхаб выдаст. Кто бы только занялся? Коммитит он из часового пояса +0500 (коммит восьмого мая 2025 и другой 12 окт 2024 г.). Гитом он пользоваться не умеет, потому что каждый коммит - либо через редактор веб-интерфейса, либо загрузка файлов через веб-интерфейс. Уж очень сомневаюсь, что это у него opsec такой продвинутый.
Давайте спорить на основе issue 12 (остальные с негативом: 5, 7, 9, 13, и 17 - а это уже личное), отдельно сейчас более времени тратить не буду. После вас.
:)
Эти прокладки, насколько знаю, есть в достаточном кол-ве в виде модулей Magisk (а это кастомная прошивка/рут). В том числе сокрытие/подтасовка списка контактов и т.п.
Обычный Android, несмотря на достаточно пристальное внимание Google -- шпионская система. iOS не отличается. Ну и не будут же они пилить сук, на котором сидят?
Вот именно, что без знания или глубокого анализа каждого из этих разрешений, нельзя однозначно сказать, сколько оно раскрывает информации.
Есть в Telegram и WhatsApp - UNINSTALL_SHORTCUT: смотрим SO.
Читайте между строк. Приложение c этим разрешением видит каждое установленное приложения через его ярлык на рабочем столе? Благо в 2015 г. из AOSP удалили. А сколько оно дальше продолжало пользоваться? Другие лаунчеры вендоров со схожим функционалом/разрешением имеются?
Уникальное для WhatsApp - GET_TASKS: (Устаревшее) Просмотр запущенных приложений.
Безобидно что ли? Так Гугл КАК РАЗ из-за напасти приложений сканирующих всех соседей на телефоне порезал эти пермишены к чертям. А была именно напасть, из топ 1000 до фига и больше приложений этим занимались и отсылали к себе такую статистику на пользователя.
Потому статья - лишь поверхостное перечисление, но не пентестерский анализ за приватность. Тем не менее, +1 автору за начинание. С исходным посылом согласен.
И правильно сделал(и). Уж на что я презираю такое поведение, но об...хаяли его предостаточно в issues и pull requests. Но за дело. Мало того, что там чел буквально уровня скрипт-кидди (+ забавляется black hat !"№ей. Бывает, но это индикатор), так там весь этот "глубокий анализ" -- это скопированный ответ нейросети, никем не проверенный. Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах, а не нести на публику под видом проведенного тех. анализа!
Так-то согласен. А с долгожитием везет. Я уже три поменял. Последняя изначально на 2.2 млн. кликов слева выдохлась. Да, уже всерьез программу для подсчета поставил. Аккурат после гарантийного срока.
Первое предложение: я ожидал такой ответ. Потому мы и подобрались к проблемам планетарного масштаба из-за текущей экономики.
Не, кликеры практически все стандартные. Но выпаивание их из-за сквозного монтажа (без фена) -- то еще развлечение на любителя. Так еще производители шурупы под ножками прячут, что форма ножек после отклейки теряется.
"Многие" = сами же компании, чтобы на законодательном уровне придушить будущую конкуренцию и обеспечить себе, как минимум, олигополию? Следите
за рукамиза "non-profit" фондами и публичными заявлениями, а не навязанному мнению тех, кто ниже по течению.Это дословное перенятие американского идиома. Т.н. duck test по википедии.
Внутриушные наушники для постоянной работы/разговоров? Серьезно?
В плане удобства решение может и интересное, но как обычно: ремонтопригодность, скорее, её отсутствие. Ломается что-то одно и выбрасывай комплект? Либо износится кликер, либо в ушах деградирует аккумулятор.
Но справился же? Не так страшен черт или человек уникальный? ;)
Вместе с тем отвечаю на комментарий ниже, на загруженной PDF главы на стр. 6 очень наглядный пример для чего: переиспользуемые блоки, одинаковая раскраска однотипных блоков. Если писать односложные документы по отдельной теме на урок, то можно и Markdown отделаться. Хотя, кто сказал, что он простой? Он мне не нравится, своих приколов с экранированием, порядком в списке (параграф внутри списка?) хватает. Собственно, с этим согласен и закончу:
Всецело поддерживаю автора в том, что буквально берет на вооружение все возможности электронного формата. Главное, чтобы потом на мониторе прочесть можно было (а то разворот на А3 немножечко пугает амбициями) :) Хотя сейчас вообще телефоны в моде. Как на них маломальски что-то серьезное делать - до сих пор не понимаю. Вот и я на нем - опять - печатаю текст, который с клавиатуры бы втрое быстрее набрал.
За что уже сейчас зацепился глаз: стрелочки навигации. Чем толстая стрелка отличается от тонкой? А двух тонких? Трех?! Плавающей стрелки??? Я бы предпочел, за исключением +-1 подписать, на сколько страниц пойдет прыжок. Понятно, и привычно со времен форумов. В том числе писать словами, если к главе переход.
Печатное издание, может, со счетов совсем не сбрасывал? Были же энциклопедийные многотомники. Печать партиями на заказ, под группу подписавшихся желающих а ля Кикстартер, чтобы минимизировать риски. Но до этого ещё далеко, а потому пожелаю продолжить труд!
Занимаюсь сейчас хобби-проектом, тестирую и попутно документирую API в режиме blackbox (черного короба). И -- хоть ты тресни -- на простые функции с тестовым кодом (но не готовые автотесты), небольшим описанием и мало-мальски перекрестными ссылками уходит по 30мин на один коммит в git. Если сложнее или отвлекался по делам, то тут уже и под час уходит. И это уже при набитой руке, "крейсерская скорость", так сказать. "Ускориться" -- это скорее про "не замедлиться", чтобы среднее время стремилось к получасу, а не часу. Такие дела. *аналогично холивару на тему "сколько времени разработчик тратит в среднем на строчку кода
Если LaTeX - чудище Франкенштейна собранное из частей тела, то вами предложенное -- собирать чудище по молекулам, залить всё клеем, только чтобы это был Markdown?
Не годится он в своей базовой комплектации кроме как быть форматом текст++. LaTeX, при всей своей сложности, -- это абстракция, которая решает задачи, где обычный текстовый формат ничего (кроме копипаста) предложить не может.
Фонарщику Дане ночные часы честно оплатили?