Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 674
Закреплённые комментарии
могу подтвердить все то же самое на гостовской версии отсюда https://download.max.ru/android/release/gost/MAX...apk
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram. Вероятно билд подготовили после вчерашней статьи.
Но тем не менее из кода они не удалены, класс называется on7.
Модуль целиком отключен не был, в нет отключили только часть, отвечающую за Telegram и WhatsApp. Предыдущие версии будут отправлять эти запросы.
Так же актуальная версия ГОСТ с официального сайта так же содержит этот код.
Было бы интересно выполнить аналогичную проверку по другому гос. и около гос. (VK, Yandex) софту, например из рустора. А также по "отечественным" ОС, типа Астры.
Согласен. Если яндекс ещё вряд-ли, то вк буквально та же контора
При установке Яндекс Браузера под Win, он внаглую "крадет" все данные предыдущего браузера (в моем случае Chrome): вкладки и - внимание - логины и пароли. Возможно еще платежные данные берет и историю посещений сайтов (почему бы и нет, раз лежит?). Причем делает это совершенно самостоятельно, БЕЗ ЗАПРОСА. Куда потом уходят все эти данные? Почему какое-то приложение решило, что оно может спокойно брать данные ДРУГОГО ПРИЛОЖЕНИЯ? Причем совершенно без запроса на то разрешения. Причем максимально ЛИЧНЫЕ ДАННЫЕ, личнее не бывает.
После такого откровенного гоп-стопа я опасаюсь пользоваться ЛЮБЫМ приложением от некогда уважаемой компании.
Тут скорее надо задуматься, почему данные хранятся в таком виде, что их любой может взять.
А в каком должны? Сейчас, практически все браузеры строятся на одном и том же Chromium, так что...
Я не в курсе этих ваших виндовых заморочек.
Какой-же ты смешной...
Можно подумать, что не в винде хромиум какой то другой)
Лично я пользуюсь Safari, но предполагаю, что хромиум обращается к хранилищу ключей на общих основаниях.
"не в винде" обычно файловое пространство разграничено между приложениями на уровне ОС. А в винде файловое пространство - общее. Это наследие далеких 80х и 90х, когда приложения строились на других принципах.
Ubuntu такая: "о, я теперь винда, что ли"?
Если компьютер нужен чтобы работать с информацией, то, внезапно, однозначной связи между приложением и данными не существует - у меня вполне рутинна ситуация, когда конкретный файл открывается тремя-четырьмя разными программами.
Согласен!
Я не говорю, что все файлы должны быть привязаны только к своему приложению. Но некоторые точно должны! Файл хромиума с логинами-паролями - это один очевидный пример. Тут вина тех ОС, которые не предоставляют API приватного хранилища данных.
Я полагаю, со временем все к этому придут, и линуксы, и винда
это проблема только если это происходит в фоне. тогда надо явно давать доступ. а если открытие ручное то вызывается системное меню и пользователь сам выбирает файл и приложение имеет доступ только к выбранному файлу.
Неверная логика. Если конкретный камень мокрый, это не значит, что все камни мокрые. а всё мокрое - камни
Принцип, что некоторая информация лежит открыто и каждый может её получить, а некоторую лучше приберечь, человечество изобрело тысячи лет назад. С подключением
Забавно, сначала гугл запихивает свой браузер куда попало чтобы можно было как раз обойти ограничения ос и установиться с любой ***ней лишь бы попасть на компьютер пользователя, а потом такие вопросы - а кто это сделал? (с). Не смешивайте мягкое с теплым. Сам хром является вирусом для винды и я его со дня создания не переношу
Не знаю как это делается в виндах, но у меня KWallet запрашивает явное подтверждение буквально для всего
Если по десять раз на дню вводить пароль, то в итоге на автомате введёшь его куда-нибудь не туда.
Необязательно пароль; ручное подтверждение.
Реализовать UAC из пространства пользователя? Или же интегрироваться с keychain/его аналогами.
прчем здесь уак ?? :) да и зачем это некрософтово поделие ?? лучше уж какойнить keepass
Из фаерфокса ябраузер тоже всё тащит, хоть фаерфокс и на другом движке.
Только из яндекса так данные не потянуть, если ты установил пароль на менеджер паролей)
Пароли должны храниться в зашифрованном виде, для этого придуман мастер-пароль и шифрование паролей. Браузер должен это уметь. Иначе они вытаскиваются любой софтиной как автоматически, так и вручную.
Много лет назад меня шокировало что приложение-браузер лезет перехватывать звонки (а значит шлет на сервер инфу), хоть и под видом борьбы со спамом, но кто просил браузер это делать?
Ну когда вы ставите новую версию хрома, то технически это новое приложение (теоретически может уже быть сделано новым юр. лицом даже), вас же не удивляет что он подхватывает старые настройки.
ID тот же, сертификат разработчика тот же.
Скорее всего это общее поведение всех браузеров на базе Chromium. Но это не снимает вопрос почему данные хранятся так что легко доступны.
Скорее всего это общее поведение всех браузеров на базе Chromium
Большинство других форков Chromium спрашивают перед этим разрешения у юзера
Да, запрашивают перенести все данные в оболочке, видимой пользователю. А что они на самом деле делают без нашего спроса, мы не знаем. Они сначала получают доступ к данным, потом запрашивают, нужно ли их сохранить в новом браузере. Но при этом доступ и так имеют.
В DPAPI можно добавить энтропию для ограничения доступа к секретам в контексте пользователя, но тогда антимонопольщики в ЕС могут возбудиться.
Ещё это бывает полезно для yt-dlp, чтобы руками не выгружать куки от Ютуба.
чтгобы импортировать в другой браузер? есть же такая функция когда открываете вновь установленный. Это же еще фишкой является)
Bitwarden наше все.
Почему какое-то приложение решило, что оно может спокойно брать данные ДРУГОГО ПРИЛОЖЕНИЯ?
Потому что может.. Вообще это огромный минус используемых операционок, по хорошему все приложения должны выполняться в своей полностью изолированной среде, и общаться с внешним миром исключительно через системные запросы, которые любую такую "шпионскую" деятельность блокируют просто по умолчанию.
Да это скорее проблема винды.
Которая даже в ней скорее решена, чем нет, но приложения этим не торопятся пользоваться(
В других ОС такой проблемы нет?
В мобильных, насколько мне известно, нет. Все приложения изолированы друг от друга, у каждого своё приватное хранилище. Доступ к общим файлам (фотки, музыка и т.п.) только через запрос разрешения у пользователя.
В десктопных всё очень плохо. Что винда, что линукс (да и макось скорее всего, но это не точно) из коробки никак не изолируют и не контролируют работу приложений. Приватных зон, доступных только конкретному приложению, не предусмотрено.
Макось ЕМНИП изолирует, если приложение из апстора получено, там появляется система разрешений почти как на мобиле. Но тут палка об двух концах, с одной стороны полезное дело, с другой вместо ноутбука мобильник с клавиатурой штука очень такая себе. Благо, пока что эти проверки ещё отключаются.
На макоси доступен Keychain (надежное хранение секретов) и Hardened Runtime (невозможность вмешаться в процесс приложения), которые в целом повышают безопасность не в ущерб пользователю
Еще есть песочница, но она скорее ограничивает само приложение, нежели доступ к его файлам (то есть приложение в песочнице не сможет читать чужие файлы, но его собственные файлы будут доступны в ~/Library/Containers)
И пользоваться этими фичами могут не только приложения в сторе, но и любые сторонние, и разработчики нередко их включают (а если хочется, то и сам пользователь может обернуть в песочницу какое-нибудь "подозрительное" приложение, правда придется немножко вникнуть в этот вопрос)
Речь про десктоп.
Комментарий выше сформулирован так, что это проблема Windows, но я вот тоже вижу, что другие десктопные ОС имеют ту же проблему.
В macOS ни одного браузера в AppStore не видел и меня эта ситуация с отсутствием защиты напрягает. Песочницу видел, что можно организовать, но надо вникать и простого и удобного интерфейса к ней нет, как я понял.
Во-первых, это даст огромную власть в руки изготовителей ОС (Google, Microsoft, Apple). И чем оно лучше? Все как-то забывают, что они ничуть не белее и не пушистее, чем Яндекс.
Во-вторых, хоть нонеча и не то, что давеча (раньше было хорошим тоном писать приложения вокруг HWND, и можно было менять в чужих приложениях почти всё, что хочешь), но пока ещё Trampoline'ы и прочие инъекции .dll в чужое адресное пространство никто не отменял, благодаря чему работают всякие ExplorerPatcher и OpenShell. Из-за того, что недалёкие люди ставят себе левые браузеры, мы, значит, должны остаться без этих и им подобных штук? Спасибо, но нет.
В Windows яндекс устанавливает dll, которая аттачится ко всем сетевым процессам, Adwcleaner от Malwarebytes находит его при простом быстром скане памяти как опасный adware. При удалении сканеру приходится завершать Все сетевые процессы, в том числе VPN, чтобы этот модуль выгрузить. Может быть на досуге разреверсит кто, думается там троянец или стиллер.
Под Lin тоже самое.
Поствил ябраузер для доступа к госсервисам.
При первом же запуске по собственной нинциативе и без лишних вопросов радостно скопировал из хрома как букмарки, так логины/пароли к сайтам.
Был неприятно удивлён.
Благо, что никогда не сохраняю чувствительной инфы в браузерах.
Правда, это было ещё до введения гуглом шифрование в password manager, как сейчас ситуация не знаю.
Я тоже был удивлён, когда он автоматически скопировал у меня все данные с Хрома!)
Вы храните пароли вбраузере? А о Bitwarden итп ничего не слышали?
Windows 11 имеет несколько инструментов для запуска в "песочнице". В какой-то момент даже сам Microsoft, насколько я помню, рекомендовал именно браузеры запускать с использованием песочницы. Однако по умолчанию процесс в Windows практически ко всему имеет доступ, невзирая на более-менее управляемые ограничения к части API с подтверждением пользователем. Но т.к. оно обходится довольно просто, то считаем, что по историческим причинам запуская что-то в Windows мы потенциально даём неограниченный доступ ко всему в системе (наверняка где-то уже опубликован эксплойт, который будет исправлен обновлениями через полгода, культура разработки у нынешних microsoft характерная для современного мира).
А Firefox умеет шифровать хранилище менеджера паролей. Насколько это надёжно — сложно сказать. В каких случаях он применяет шифрование, а в каких нет — ну скорее-всего при использовании Master Password новые записи он шифрует, но лично я не проверял это поведение. Иногда он требует аутентификацию Windows для доступа к паролям, иногда при схожей конфигурации — нет. От чего это зависит лично я не понял. Как-то сравнивал 2 рабочие станции: обе с идентичной системой, в обеих FF установлен под пользователем из AD без прав локального администратора, но в разное время. Политики не менялись, но один инстанс требует пароль текущего пользователя, второй — нет. Углубляться не было возможности.
Еще Microsoft Edge "крадет" из Chrome все закладки и пароли. Тоже возмутительная практика.
Яндекс браузер по этой же причине опасаюсь устанавливать.
Яндекс Маркет прям пишет "и за VPN могут быть ошибки". Хотя клиент VPN настроен так чтобы ЯМа напрямую шла
Так он просто проверяет, включён VPN или нет, в самом андроиде.
в статье автор написал , проверка что запущен ли VPN - это функция api android , любое VPN или сниффер(делается якобы впн шлюз а внутри анализатор траффика) приложение должно быть зарегистрированно с определенными правами в системе (таким образом их можно увидеть в разделе VPN настроек телефона), потому что иначе пришлось бы давать права root для работы vpn
Было б интересно по-мониторить куда Яндекс-метрика отправляет свой код - только ли на сервера в зоне ru или может и не только!
И сам rustore надо бы тоже проверить
Для мобильного софта занятие полезное кстати. Чем больше таких разборов будет появляться на Хабре, тем сложнее будет разработчикам встраивать "зонды" под видом "улучшения качества сервиса"
Вк даже не скрывает, что видит твой впн, он сам просит его отключить когда заходишь.
Да и по самому рустору
А что ж вы Sber не перечислили? А решили увести людей в сторону уже известных и много раз перечисленных угроз, чтобы ещё раз их повторить и чтобы другие приложения уже не воспринимались как угрожающие приватности. Вы засланный казачок!
Вроде не секрет, что банковские и другие приложения, полагающие себя доверенными, выполняют проверку на подключение через VPN и просят его отключить.
Сбербанк и ВТБ с VPN работают нормально (если их через него не пускать, просто если он включен).
Никто и не опровергает что они работают, но они рекомендуют их отключить. И это совершенно правильно, потому что гонять финансовые данные через непонятный, потенциально левый "бесплатный" VPN не секурно ))
А через публичный WiFI секурно? Трафик банковских приложений априори зашифрован. Поэтому неважно какой используется транспорт.
Что такого несекурного в современных TLS, что делает его туннелирование через недоверенную сеть опасным? Ну, кроме возможности собрать некоторую статистику, что можно и без VPN сделать.
Это грубая техническая ошибка
Через самый ненадёжный канал связи можно установить полностью надёжное шифрованное соединение. Единственное условие безопасности соединения - доверенность начального и конечного устройств, что к впн не имеет никакого отношения. Его использование на безопасность передачи данных не влияет никак
А провайдерская сеть с ТСПУ конечно не "левая" и гонять по ней что бы то ни было очень безопасно.
Строго говоря, max тоже через впн нормально работает
Обычно они используют для этого нативный API устройства (не используя сеть) и не пытаются выяснить а что именно за впн и с каким адресами используется. Тем более не пытаются сравнивать российский и зарубежный ip адрес.
Это простая проверка системного флага в Android и iOS, которая только показывает статус VPN on/off, без конкретики. Было бы интереснее разобрать сетевой трафик, проверяют ли они доступность зарубежных хостов.
Довольно таки дурацкая проверка. У меня установлен файервол, который работает через VPN. Т.е. по факту vpn нет, но этот флаг выдет что есть. И приложения просят его отключить. Но отключить файервол такое себе с точки зрения безопасности.
Основной смысл этих предупреждений - маркетинг не хочет, чтобы гои блокировали рекламу и трекеры, ибо так сложнее лутать данные и накручивать показатели показов для отчетности перед рекламодателем. На безопасность впн никак не влияет, ибо http никто сто лет как не использует, да и подмена сертов на чужие в нормальном приложении тоже работать не должна.
ибо http никто сто лет как не использует
Если ходить на сайты через ввод домена, то не факт, что браузер будет сначала пробовать HTTPS по принципу happy eyeballs. А если MITM заблокировал порт 443 и сайт не настроил HSTS, то придете вы на "неиспользуемый" HTTP под контролем злоумышленника. Просто: не указан протокол https://, то браузер в итоге попробует соединиться к http://
Это не так. Вернее, прямо наоборот: в первую очередь любой современный браузер попробует https как протокол по умолчанию. И только если безопасное соединение не поддерживается, он нарисует вам сломанный замочек, а скорее всего даже выведет полноэкранное предупреждение о небезопасном соединении
Чтобы попасть на современный сайт через http, нужно прямо этого захотеть - или сайт должен поддерживать только его
Это еще не говоря о том, что любой хоть сколько-нибудь важный сайт должен иметь HSTS.
"Поддерживать только его" что я и описал в случае с MITM. Не знаю, насколько настойчив Chromium, а в Firefox пользователь уровня "дальше-дальше-дальше" может вполне себе прокликать переход на HTTP: https://support.mozilla.org/en-US/kb/https-only-prefs#w_secure-site-not-available-page
С HSTS это невозможно. Если вы его на сайте банка не настроили - ССЗБ.
Поддерживать только его - значит, что незащищённое соединение невозможно в принципе. Тут и обсуждать нечего
А если сайт поддерживает https и http, пользователю придётся дать информированное согласие. Это как минимум перекладывает на него основную ответственность
И, тут уже не могу быть уверена, но разве Fallback на http существует в принципе? Мне казалось, что нет - при недоступности порта браузер вроде бы не прыгает на http самостоятельно.
А владелец сайта всегда может добавить его в hsts preload, кстати
На http вообще почти невозможно попасть и уже очень давно. Даже набирая руками хром будет на https редиректить сам прям.
И даже в случае, когда https сломан, попасть по http та еще задачка была.
по принципу happy eyeballs
Мне казалось, что этот принцип не про HTTP/HTTPS, а про IPv4/IPv6.
Это так не работает. Если https с левым сертом - все перестает работать, редирект в http никогда не произойдет. Более того, http:// надо вводить самому, чтобы попасть на такой сайт - это реально гемор при локальной отладке веб-сервисов.
Использует. Даже госсайты. А оператор внедрял (может и продолжает) треш рекламу в HTTP трафик.
Ещё у некоторых были приколы с перенаправлением на свои сайты, если тот, куда переходил абонент, выдал ошибку. Скажем, Tele2 при открытии (точнее, неоткрытии) чего-то по HTTP перекидывал на некий 404.services/404. Со своей рекламой, само собой.
Они это делают потому что их регулярно DDoSят из-за рубежа, а не потому что им хочется
Кого DDoSят, приложения в телефонах людей?
Вероятно имеется в виду, что в момент DDoS банки вынуждены блокировать заграничный трафик чтобы сохранить работоспособность, что автоматически лишает доступа тех, кто использует VPN.
А с какой радости, это стало проблемой банка, а не тех, кто использует VPN? Эта навязчивая "забота", мягко говоря, сильно раздражает. Можно, юзер сам решит этот вопрос, раз уж он знает, что такое VPN, как его ставить и использовать?
Даже официальные исследования показывают, что не менее 30% населения страны использует VPN. В числах это не менее 40 миллионов человек? Очевидно, что в текущее время многие из этих людей не всегда технически подкованы. Это могут быть, к примеру, чьи-то родители, которым дети установили VPN.
И для них связь между vpn и неработающим банком может быть не очевидна. Банк страхуется от ситуаций, когда в момент отключения зарубежной связности их call центры будут просто лопаться.
Я считаю, что пока это проверяется локально и никуда не стучит (или по крайней мере без подробностей), то это не является никакой проблемой.
У меня регулярно банки и опсосы "ругаются" на блокировщик рекламы AdGuard. Просят выключить VPN.
Каким боком банк к блокировщику рекламы ? О_о
Он небось тоже через сокет ВПН работает. Собственно вроде это штатное место модификатора трафика в андроид.
Насколько я знаю, на андроид не существует иного способа завернуть трафик и фильтровать его, кроме как vpn. Без рут прав, во всяком случае
Он, как минимум, DNS-сервера подменяет. Как максимум – работает как туннель.
У меня регулярно банки и опсосы "ругаются" на блокировщик рекламы AdGuard. Просят выключить VPN.
У меня rutube регулярно просит выключить VPN. А у меня его нет. Я просто тут живу!
(Нет, я не смотрю соловьиные трели на тытрубе — мне просто иногда знакомые линки на взглянуть присылают.)
Да, приложения же просто работают на телефоне и им вообще не нужен бэкенд. Ну просто магически получают данные с БД и транслируют на экран.
Не только банки, но и МТС с Мегафоном, к примеру приложения сотовых настойчиво рекомендуют его выключить под эгидой: "Отключите частную приватную сеть что бы вас все работало хорошо"
А проверяют как заметели выше через android api
С операторами понятно: сейчас и операторы, и телефоны поддерживают VoIP, который по VPN не стоит гонять. И если погуглить, то реально встречаются проблемы, когда на телефоне операторский VoIP трафик начинает (пытаться) маршрутизироваться через VPN, не всегда успешно.
Нужно либо маршруты настраивать, либо VoIP запрещать, но там сложно дать универсальную понятную обычному пользователю инструкцию.
Ну опсосы понятно, им впн мешает трафик снифить.
Банки проверяют наличие активного VPN-интерфейса ради защиты от фрода и подмены IP при транзакциях (анти-отмывочные законы), стандартная практика. Но банки не пингуют телеграм и whatsapp в фоне, чтобы проверить доступность ТСПУ
подмены IP при транзакциях
IP банка? В таком случае любой кастомный DNS мог бы подменять IP.
Нет, IP пользователя.
А в чём смысл?
В логах банка будет: пользователь ххх из Никарагуа взял в кредит и перевел 100500 рублей.
Пользователь в суде потом: я никогда не был в Никарагуа.
Не факт, что ему это поможет, но банку сбор доказательств облегчит, что пользователь мошенник,а не просто у него украли креды.
Вопрос - А зачем банку знать откуда и зачем его клиент выполнил какую либо операцию, есть у клиента какие либо другие приложения (кроме банковского) или клиент для доступа к сети использует прокси/впн? Может это явно прописано в договоре клиента и банка? Технические аспекты (насколько вообще технически возможно получить такого рода реальную информацию) это вообще отдельный вопрос (например при наличии root/admin доступа у его клиента к устройству).
пользователь ххх из Никарагуа взял в кредит и перевел 100500 рублей.
Каким образом это можно осуществить, подменив IP клиента? В данном случае человек сам на себя по своему желанию должен этот кредит взять. Просто в банке отобразится, что он в это время был в Никарагуа.
Когда клиенты банков начали массово выигрывать суды с банками по поводу кредитов, которые эти клиенты не признавали, ссылаясь на мошенников, и довольно весомым аргументом было «я в момент оформления кредита находится тут, а по вашим логам кредит был оформлен с устройства, находившегося там», банки очень резко пересмотрели модель рисков. И Иванов Иван Иванович из Красноярска, проживающий по ул. Туркина, дом 9111991 квартира 7543272, совершающий финансово обязывающие действия с айпишника, находящегося «где-то в Сиднее» — риск-алерт. А что им ещё остаётся делать? Не многоступенчатые же проверки вводить, чтобы удостовериться в личности пользователя приложения (сарказм).
После того, как банки обязали пытаться следить за местоположением пользователя, ещё бы живущим за границей не использовать VPN (в Россию), заходя в банки...
Искренний вопрос, потому что не в курсе: а что с web-версией Max? Где-то пишут, что она является заменой приложению, где-то пишут, что не является. Стоит ли её использовать вместо приложения, например, во вкладке Инкогнито в браузере телефона?
На сайте каждый раз надо входить через скан кода из приложения
Ничего подобного, мне аппа на телефоне понадобилась только для регистрации. А поскольку клиент мне на телефоне не нужен даром, то пользуюсь веб -версией раз в 2-3 дня, за всё время она ещё ни разу не попросила заново залогиниться.
Подтверждаю подобное поведение Макса. А вот с ВК полгода назад в аналогичной ситуации ловил дикие проблемы - при каждом включении компьютера приходилось входить заново с qr-кодами, смс-проверками и танцем с бубном. Сейчас всё норм, но я уже не помню, после чего ситуация исправилась... возможно, после переустановки ОС.
Можете использовать в отдельном профиле хрома или файрфокса, режим инкогнито тут ни к чему.
веб-версия может так же проверять доступность вражеских ip
Вообще никак, там в любой момент может прилететь JS модуль который может сходить на разные адреса.
Помнится VK ещё при Дурове устроили DDoS (Аналогия LOIC) какого-то сайта на странице логина. И одно дело когда DDoS нужен и легко отследить источник. И совсем другое дело, когда надо собрать телеметрию.
Интересно бы ещё посмотреть, насколько форк лишён этого паразитного трафика?
Вот не пойму, все палятся с максом, не не стесняются отдать данные - форку?!
Это даже не форк, а фактически "репак" существующего приложения. Не факт, что там эти запросы вообще выпилены.
Ну и самая главная проблема - он жестко привязан с одной версии оригинального приложения и трудоемкость перенос модификаций на новую версию сопоставима с изначальной работой. Так что в какой-то момент этот репак обязательно умрет.
Ну в свое время сторонние клиенты на ВКонтач жили долго, как например VK Coffee. Я им лично несколько лет пользовался.
Если будет высокий спрос на такого рода репаки, будут и сами репаки.
+ тоже считаю тратой времени. Хотелось бы чтобы появились хорошие альтернативные клиенты типа kate mobile, в komet вообще не верю.
Интересно, а на какой адрес потом отправляется список сканирования, и можно ли в этот список заменить на 127.0.0.1, ну или еще какой-нибудь IP
Вероятно, в моде комментарием выше попробовали нечто подобное:
• Многие запросы переадресованы на 0.0.0.0;
В статье указано, что трафик смешивается с основным трафиком мессенджера и отправляется на api.oneme.ru, то есть заблокировать его отдельно не получится. Вероятно это сделано намеренно.
я больше думал не про бан конкретного адреса, а про изменеие конкретного запроса к этому api, ну то есть можно ли в условый (или что там у них за чудо протокол) POST api.oneme/id/<ip> накидать IP каких-нибудь, например 89.221.239.1
Для этого вам нужно подменить запросы к сервисам проверки ip, о которых говорится в статье, что будет крайне затруднительно из-за TLS. К тому же сегодня используются эти сервисы, а потом их могут поменять на другие.
Если буквально заимплементить протокол и слать туда левые ip адреса, то в этом никакого смысла нет, все равно заодно в базу будет записаны и ваши реальные ip адреса.
Блокируйте сразу Макс и компанию целиком, полумеры ни к чему. На NTC добыли список доменов, надо только следить за его пополнением, плюс по-хорошему отловить все голые IP, куда он может стучаться.
Eсли кто-то дополнит, будет хорошо.
0.0.0.0 calls.okcdn.ru
0.0.0.0 download.max.ru
0.0.0.0 gosuslugi.ru
0.0.0.0 help.max.ru
0.0.0.0 ip.mail.ru
0.0.0.0 ipv4-internet.yandex.net
0.0.0.0 ipv6-internet.yandex.net
0.0.0.0 max.ru
0.0.0.0 privacy-cs.mail.ru
0.0.0.0 top-fwz1.mail.ru
0.0.0.0 trk.mail.ru
0.0.0.0 api-gost.oneme.ru
0.0.0.0 fgost.oneme.ru
0.0.0.0 gov.ru
0.0.0.0 voskhod.ru
0.0.0.0 nuc-cdp.digital.gov.ru
0.0.0.0 nuc-cdp.voskhod.ru
0.0.0.0 ws-api.oneme.ru
0.0.0.0 oneme.ru
0.0.0.0 adstat.yandex.ru
0.0.0.0 mc.yandex.ruВ идеале конечно автоматизировать сборку списка куда-нибудь на Github, но для этого нужно держать постоянно виртуалку с актуальным Максом. И то, это будет работать, только пока они не раздуплятся, что виртуалку тоже можно отслеживать.
На Android можно перейти на клиент, который умеет в роутинг по приложениям. На IOS придется дергать туда-сюда VPN.
Кажется тут потерялся основной домен, с которым коммуницирует мобильное приложение - api.oneme.ru
Вопрос не по теме. Как на NTC теперь зайти, если туда доступ закрыли для адресов на IPv4, а IPv6 провайдер не предоставляет?
Используйте трехбуквенную технологию до провайдера, который предоставляет. NTC все равно заблокирован в РФ
Почти все выходные TOR-узлы умеют в ipv6
Есть зеркало - https://evgen-dev.ddns.net/ Правда оно периодически отваливается
Достаточно просто прописать в hosts его IPv4 адрес:
130.255.77.28 ntc.party
Война брони и снаряда. Можно и не виртуалку - самый типовой телефон с максом, подключенный через точку доступа со сниффером. Или два таких телефона. Простой робот из двух серв и сосиски вместо пальца будет постоянно переписываться с другим таким же роботом, для осмысленности переписку можно нагенерить через LLM, гигабайты переписки. Пусть котиков обсуждают и картинки друг друга кидают, а снифферы делают свою работу прозрачно.
Хороший совет. Но тем, кто поставил Макс, блокировать незачем. А тем, кто не ставил, ставить не надо )) Есть еще третий вариант - когда не хочешь ставить Макс, но появилась причина поставить его. (Зайти в Госуслуги через Айфон или связаться с человеком, у которого работает только Макс)
На IOS придется дергать туда-сюда VPN.
Прям захотелось где-нибудь на reddit запостить открытое письмо к Apple с feature request об split tunneling приложив вот это исследование с рассказом о том, что это может быть не единственное приложение-зонд, и в целом, что такую методику могут брать на вооружение различные конторы для слежки над пользователями.
Даже если оно останется проигнорировано
Сплит на iOS легко реализуется с многоуровневыми правилами, скриптами и прочим на том же Shadowrocket и ему подобным. On demand конечно же тоже.
Разверните мысль. Пока не видел рабочей реализации ничего серьезнее простых списков типа geoip. Как завернуть весь трафик одного приложения?
Если речь о выделении трафика приложения, то на iOS я это представляю как установку того же Макса через mdm (self host или бесплатный облачный — не важно, главное чтобы умел per-App/App layer vpn). После энролла айфона и настройки службы туннелирования (можно ikev2, можно wireguard, etc) создается связка, например MAX -> AppLayerVPN (WireGuard-туннель) (в MDM это обычно “per-app VPN attribute / mapping” на приложение). И весь трафик приложения будет идти через туннель который в конфиге .mobileconfig с VPNSubType = com.wireguard.ios и VendorConfig/WgQuickConfig.
Но это не поможет с флагом VPN, который читает max.
Иной сплит на уровне L7 мне неизвестен, маркировать пакеты как-то по паттернам, фингерпринтам, характерному поведению это чистая негарантированная и жрущая ресурсы эвристика.
Конда я писал про сплит в SR, то комментировал возможность как таковую делить трафик на устройстве, но по конечным адресам. По источникам не уверен что штатно можно.
Оно там уже есть, но только через MDM.
Надо в списки Pihole и Adblock для openwrt
Также как они определяют установленные на телефоне сторонние приложения теперь они ещё и сетевые особенности анализируют.
Может, пришла пора в манифест Android добавить доступные приложению хосты?
Браузеры возмутятся :)
Можно по умолчанию разрешать доступ к любым хостам, но показывать предупреждение об этом
Ну будет показываться предупреждение для Max, и что вы ему сделаете?
Ничего, разумеется. Просто у пользователей Макса будет чуть больше поводов насторожиться.
Так же, как и насторожиться по поводу калькулятора, который требует доступ к геоданным. Среднего пользователя только раздражают эти предупреждения.
Ну да, пользователи раздражаются и начинают задавать вопросы разработчикам, зачем им такие разрешения. Это неприятно и, в идеальном мире, выкатывается патч убирающий потенциально нехороший код.
Среднего пользователя только раздражают эти предупреждения.
У среднего пользователя и IQ соответствуюший (в смысле средний).
И если его отрубить — отвалится какой-нибудь предпросмотр картинок, вставленных через url :-)
ну в свое время lg телики отправляли название файлов куда-то с подключенной флешки, а может и до сих пор это делают.
Та же мысль. В манифесте расширений для браузера уже давно такое есть.
можно установить приложение[MAX] в отдельное, изолированное рабочее пространство
Если у Вас Болван-Запрет/КВН на роутере, что дома что в офисе, изолированное рабочее пространство (даже если это виртуалка на ПК) это как мертвому припарка(ровно тоже про второй сматфон, если он включен в Wi-Fi внутренней сети).
На роутере можно сделать привязку MAC - IP, и пускать этот телефон мимо КВН и прочего.
Или поднять отдельную WiFi сетку для такого телефона мимо КВН и прочего.
Очевидно, да. Но у меня, например, есть гостевой wifi без доступа к внутренним ресурсам сети и квн. В нем же живет максофон.
Но, имхо, лучший вариант - белый список приложений. И туннелировать трафик только там, где это нужно. Чтобы, например, Андроид лишний раз не обращался к своим сервакам через тоннель, повышая шансы его спалить.
Поэтому лучше впн на телефоне с настройками на приложение
Кстати, запрет это не ВКН. Запрет модифицирует трафик, но не меняет его маршрут и не инкапсулирует его в другой маршрут.
А подскажите - под отдельное устройство новую симку заводить надо? Или можно извлечь текущую, вставить в другой смартфон, зайти в Макс - и вернуть симку на основное устройство?
Пока что можно просто переносить симку, если вопрос только в отслеживании Максимкой ваших подключений, с одной жирной оговоркой: если ваш КВН на настроен роутере, что дома что в офисе, а второй девайс включен в Wi-Fi внутренней сети(хотя бы случайно и эпизодически) - второй девайс не поможет.
У меня на этот случай на роутере поднято две изолированных сети: для доверенных и недоверенных устройств. И фаервол настроен, чтобы недоверенные не лезли куда не надо.
Вспоминаем, что буквально недавно были разговоры о привязки сим к IMEI и "белом списке IMEI", поэтому "пока что".
Симку можно оставить на месте: от нее требуется толко получить код из СМС
После этой статьи - вторая СИМ-карта становится обязательной. Просто потому, что телефон выделенный под государственные/банковские приложения и MAX придётся подключать к инету исключительно через мобильную связь, запретив WiFi в настройках - чтобы он работал только через официального провайдера и гарантированно не использовал VPN.
По-хорошему бизнес уже должен бы подсуетиться, и начать продавать отдельные дешёвенькие андроиды, с предустановленными всеми этими приложениями и подходящей по тарифу СИМ-картой. Чтобы одной недорогой покупкой полностью закрыть весь навязанный государством геморрой.
чтобы он работал только через официального провайдера и гарантированно не использовал VPN
Приобретите роутер нормальный и настройте там себе все что нужно. 3к рублей (мой роутер стоил чуть меньше) - это год оплаты тарифа с интернетом.
Я имел в виду вариант доступный для всех. Включая большую часть населения, которая не способна на тонкие настройки роутера. Кроме того, с точки зрения безопасности, разумнее не полагаться на корректность настройки роутера и на то, что эта настройка останется корректной в будущем при обновлении/перенастройке/замене роутера - а тупо не включать на отдельном телефоне WiFi в принципе.
У меня завелось на виртуалке с blissos путём приёма смс на лежащий рядом телефон.
Можно даже не переставлять симку. Просто получить код по смс на основном телефоне, и вбить его в максофон без симки.
Я вот думаю, хорошо ли это, светить в максе своей основной симкой. Ведь после этого система будет знать, что у меня есть аккаунт в максе, и мне туда присылать всякие коды уведомлений, например, от госуслуг, и не факт, что после этого удастся вернуть обычный вход по СМС.
Я бы в максофон ставил симку с номером, который не привязана ни к госуслугам, ни к банковским аккаунтам, ни к чему. Опять-таки, вероятность успешной атаки мошенников чуть минимизирует - при подломе аккаунта макса не получат доступ к госуслугам и банкам, например. (или получат? ), и опять-таки исключится атака на людей из списка контактов со знакомого номера.
так симки по паспорту, основная и максофонная все равно будут связаны
Тут есть два подхода, второй строго противоположный. Если человек ставит Макс вынужденно ради доступа к Госуслугам/банку/медицине/школе - то лучше и аккаунт завести на тот же номер, который уже сто раз во всех этих организациях засвечен.
Хотелось бы услышать мнение автора или других знающих коллег. Действительно ли установка МАХ на Samsung в защищённую папку Knox на 100% поможет решить данную проблему?
Вернее даже не так. Если Knox решает текущую проблему описанную в статье, могут ли разрабы из VK в теории прикрутить что-то в дальнейших обновлениях, что уже не будет работать и при установке в Knox?
Когда я тестировал папку Knox, то она не наследовала vpn подключение (и статус этого подключения) из основного окружения. Чтобы внутри нее работал vpn, его туда нужно отдельно установить.
подскажите пожалуйста. Я в этом ничего не разбираюсь. Читал что в айфоне есть "песочница", которая не позволяет одному приложению получать информацию от другого, только если нет прямого разрешения от пользователя
В данном случае это не работает?
Так оно и не получает никаких данных от других приложений
Это работает в том плане, то Макс не может читать какие то системные сообщения устройства/ресурсы и не имеет данным к другим приложениям.
Но ничего не мешает ему тупо пинговать как выше описано в статье своим приложением внешние хосты. То есть по факту он малварью останется и будет палить ваши приватные впны.
Не работает.
Смысл слежки описанный в статье: приложение проверяет доступ к заблокированным сайтам (телеграмм и WA не сайты, но суть та же). Тут песочница не поможет, т.к. это не доступ к данным других приложений, а просто доступ в интернет.
Теоретически, песочница может не давать доступ к конкретным сайтам и это могло бы создать видимость их блокировки, но на iOS и Android такое недоступно обычным пользователям (но может быть доступно со специальными прошивками, как минимум на Android).
S25 Ultra, приложение ОПСОСа(в папке KNOX) видит что VPN в устройстве включен.
VPN, настроен только на туннелирование Telegram
Не совсем понятно - вы мобильное приложение от оператора засунули в knox, а впн-клиент нет - и как вы поняли что мобильное приложение видит включен или нет впн?
мобильное приложение от оператора засунули в knox, а впн-клиент нет
Все верно
поняли что мобильное приложение видит включен или нет впн
Приложение само об этом сообщило
Скрытый текст
мда, приложение зелено-фиолетового оператора тоже видит впн )))
Весело, что Android API сдает? Я же тестировал и у каждого пространства (основное, Knox, рабочее) было отдельное соединение. Например: VPN1, VPN2, через провайдера. Android 15
Возможно, они просто имеют список пулов IP-адресов многих VPN-провайдеров.
Ок, статус vpn (on/off) из knox виден. А если проверять реальный доступ через пинг/порты, как это делает макс, из приложения из knox?
Проверил, подтверждаю.
Дано: подключение через WiFi (проводной провайдер, родственный "красному" мобильному оператору)
Приложение "зелёного" в кноксе.
квн включён (не в кноксе).
В кноксе сетевые утилиты (PortDroid, например) не видят ни "флажок" квн, ни виртуальный IP.
Трасероут ессно идёт при этом тоже напрямую.
Очень странно.
Версия проверки свой/не свой IP в данном случае не подтверждается (IP не мобильного оператора)
Надеюсь, специалисты по андроиду смогут прояснить ситуцию.
Вот и мне интересно то же самое. Мало осведомлен о тонкостях APK, но кое что заметил.
Функционал мессенжера намеренно разбит на части, которые загружаются ядром. Это техника дропперов. (Хотя модульная архитектура может быть просто следствием большого функционала.)
Но наличие DexClassLoader в ядре — это инструмент для загрузки любого кода с сервера, то есть сработать может то, что не обязательно находится в APK. Что скажут продвинутые комментаторы?
Удивительно как у них только получается встраивать столько говна в это приложение, и при этом не иметь банальных триггеров на отправку apk и установку авы/имени из какого-то условного черного списка. Они буквально сделали лучший инструмент для скамеров и на каждом углу говорят о его безопасности. Начинает казаться что это всё не просто так и они сидят на каком-то проценте. Или всё же есть какие-то веские причины не реализовывать самую базовую защиту? Буквально взять 3 первые мысли приходящие в голову, и ни одна из них в СКАМ-е не реализована
Вы смотрите в корень. Вообще то у них есть возможность это сделать. Код уже написал, заблокированные расширения файлов прилетают с сервера (и, вероятно, дополнительно там проверяются), но даже после шумихи в СМИ никто не озаботился запретить аплоад apk. Сейчас запрещены только .exe
'file-upload-unsupported-types': ['exe'],
а задача не стоит вас защищать от мошенников, чтобы при этом не говорили в СМИ
если вокруг вашей лужайки строят забор с колючей проволокой под током для защиты от волков, но проволока почему-то висит с внутренней стороны забора - можно догадаться что тут не так
Давно затолкал весь рфский софт в песочницу, так как подозревал о чем-то подобном. Ну вот и подтверждение. СКАМ, понятно, даже в песочницу ставить не собираюсь.
"Весь" это даже, например, ВкусВилл или Транспондер М-11 или Метро от Involta?
Давайте признаем, что это стоит делать хотя бы для государственных или окологосударственных приложений типа VK и Max.
Если условному яндексу и вкусвиллу есть что терять, то этим ребятам нет.
Ну мне интересен ответ камрада d7s2di.
А вас спрошу - Госуслуги тоже в песочницу?
Госуслуги - в браузер. Они прекрасно работают без приложения вообще. Никогда не понимал, зачем ради них ставить приложение.
Ну а приложение банка у вас установлено? Или тоже через веб-морду? А в Яндекс Карты тоже через веб-интерфейс заходите?
Или тоже через веб-морду
Да. Благо PWA-вебморды стали сильно лучше после бана приложений в AppStore.
Ладно, допустим, в банк - через веб-морду (нет, ибо неудобно). А с ЯК как быть?
Так у ЯК тоже PWA есть
На смартфоне в браузере неудобно ЯК пользоваться. И не скачать офлайн-карты, например.
Ну они делают всё, чтобы ими было пользоваться неудобно и чтобы принудить вас поставить их приложение. Что наводит на мысли.
Оффлайн карты позволяет скачать любое приложение, которое использует osm.
Osmand. Бесплатная версия с fdroid. Ещё до всего этого стояло и сейчас стоит. И оффлайн.
Когда хоть кто-то будет так же хорошо знать всю карту РФ и отображать пробки - пожалуйста. Пока что никого у нас лучше Яндекса нет. Где-то рядом 2ГИС, но еще не то. Вы еще гуглокарты порекомендуйте, которые с 2022 не обновлялись у нас :)
А с ЯК как быть?
А нахрена нужны карты при неработающей GPS?
Так-то еще есть OSMAnd, там карты можно скачать на устройство.
А браузер "Амиго" вы тоже через вэб-морду!? \s
Приложение банка просит доступ к телефонной книге (с правом редактирования оной), файлам на телефоне, микрофону, камере, также хочет принимать/совершать звонки и сообщения, иметь доступ к интернет подключению и т.д.
Без разрешений (или с опцией "запрашивать каждый раз...") работать отказывается.
Спасибо, я уж лучше через вэб-морду потыкаю.
Ну просит к контактам, и что дальше? За годы использования ни разу ни один контакт не изменился самолично. При этом это разрешение мне нужно, чтобы деньги контактам переводить быстро, а не вбивая номера руками.. Микрофон не запрашивало, отключено. Камера постоянно нужна фоткать QR-коды. Звонки тоже отключены, не запрашивало. Файлы на телефоне - всегда нужно при общении с поддержкой, более ничего оно не делает, само файлы никому не шлет. Доступ к интернет-подключению - это вообще смешно, ибо как без инета в интернет-банкинг заходить? Более того, у меня такого разрешения вообще нет. В общем, включено только: камера, контакта, местоположения, уведомления.
Вы не понимаете одного - если за вами надо следить, вас отследят и с отключением всех разрешений и наличием приложения в песочнице.
Но для этого не обязательно самому штаны расстегивать и становиться в удобную для НИХ позу!
Если для вас ваша приватность и ваши личные данные ничего не значат, то не факт, что другие люди так же считают. И не нужно их убеждать в обратном.
За годы использования ни разу ни один контакт не изменился самолично
Я как-то пару лет назад дал доступ к контактам приложению ВТБ. А потом обнаружил, что у меня все записи в адресной книге задвоились, причем в списке они никак не отличились, типа два раза "Иван Иванов", но выбрав одну можно было позвонить, а во второй записи - только "перевести деньги". Удалять эти дубликаты пришлось по одной руками, переплевался весь. Возможно это бы глюк приложения, но больше ни одно банковское приложение у меня к контактам доступа не получает.
У меня не требует.
Скрытый текст
Нет конечно. Ничего более тупого, чем установка приложения банка на то же устройство куда приходят коды подтверждения придумать невозможно. Браузером пользуемся на компе.
Впрочем поможет при случае это не сильно. К сожалению из 2fa давно уже убрали знание пароля :(
Зачем нужно приложение банка? С компутера с нормальным монитором и клавиатурой гораздо удобнее.
А в Яндекс Карты тоже через веб-интерфейс заходите?
В яндекс карты не захожу. Хватает гугла, osm и карт гармин в часах.
Очень удобно, знаете ли, заходить с ПК в банк, находясь в общественном транспорте или идя по улице. Рекомендую.
Еще бы банки держали синхронные приложения и веб клиенты, а то то Сбер СБП с компьютера не подключает, то Т скидки только в приложении держит.
Между банками есть конкуренция и мало кто захочет в такое вляпаться.
Про Яндекс сложнее, они даже в мирное время меняли алгоритм новостей по указке из АП, но за такое сейчас могут попасть в SDN List и потерять немалую часть бизнеса, поэтому тоже будут сопротивляться.
так это тоже не поможет, из браузера можно точно также поликать ту же инфу, что в статье указана.. и адблоки, как тут выше предлагали, никакие не спасут, банально потому, что нужно это правило написать и поддерживать.
Это навигатор, убер, мособлеирц, сбербанк, почта рф, штрафы, парковки и прочее подобное. Вкусвил, азбука, роснефть, лукойл итд - там же. Приложением госуслуг не пользуюсь, если прям надо, то открою в браузере (внутри той же песочницы).
А где гарантия того, что не "рфский" софт не собирает то же самое? Никто ведь не проверял
Не-рфский софт если и будет передавать данные куда-то, то не в РФ. Иностранному *комнадзору от этих данных (факт использования вами прокси для обхода блокировок или даже белых списков, и IP-адреса вашего прокси) ни горячо, ни холодно, они ему бесполезны.
Иностранному *комнадзору от этих данных (факт использования вами прокси для обхода блокировок или даже белых списков, и IP-адреса вашего прокси) ни горячо, ни холодно, они ему бесполезны.
Если Вы не знаете, как они могут быть ему полезны — то это Ваша проблема, а не его.
Например, дiд Панас, одно время работавший на микрокредитную компанию, однажды осознал, что список людей, работающих невдалеке от (а ещё лучше — непосредственно на) военных баз, у которых проблемы с деньгами (а иные за микрокредитами не обращаются) любая разведка конкурирующего государства с руками оторвёт.
Налоговые геополитических врагов отлично спелись (см FATF) против людей под предлогом антитеррора, почему бы и комнадзорам не слиться в экстазе?
С налогами там принцип «ты мне, я тебе», взаимовыгодное сотрудничество. С блокировками VPN/прокси такое не работает, потому что большинство стран (особенно тех где эти самые иностранные сервисы разрабатываются и имеют HQ) таким не промышляет.
Ну и что характерно, с начала войны как раз многие страны прекратили автообмен налоговыми данными с Россией.
Очень старое, но актуальное.
"Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
- О, Учитель, - спросил его Сисадмин, - я не могу понять, зачем вам VPN?
- Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? - удивился Инь.
- Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
- Сети нет дела до моего трафика, чего не скажешь о провайдере, - ответил Учитель. Видя, что Сисадмин не понял, он добавил. - Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
- Но ты не можешь доверить все свои деньги собственной супруге, - продолжал мудрый Инь.
- Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель. "
Правда, то что банки правительство в РФ не станет, в ближайшее время, считать деньги вкладчиков своими деньгами я бы не поручился.
Вопрос, не в защиту, но что если надо выяснить, используется ли приложение мошенником из-за рубежа через впн, чтобы совершать мошеннические действия? И для этого надо выяснить это и пометить пользователя как недобросовестного, и в случае чего ограничить? Или я оптимист?
вы не оптимист, вы идиот
Я не претендую на обратное и не оспариваю ваше утверждение на счет себя. Но я вот читаю статью и с технической точки зрения у меня нет притензий. Однако выводы — это сильная интерпретация. Грубо говоря на лицо доказано что приложение содержит функции сетевой разведки. Но в каких целях такие данные собираются, это уже гадание. Они могут действительно собираться для РКН, а могут только для улучшения качества связи, просто понимать почему падает качество звонка. Или чтобы можно было собрать достаточно данных о «звонках из банка» при дальнейшем расследовании инцидентов. А может выполняется сбор данных для всех этих задач одновременно. Я просто хочу быть объективным и не заниматься спекуляциями только из-за того что речь идет про Макс.
Как проверка доступности Telegram и WhatsApp поможет с улучшением качества связи?
Вы конечно правы, ответ, естественно, никак. Сбор таких данных для этого не нужен.
У меня есть гипотеза на этот счёт. Так как РКН известен своим friendly fire в отношении ни в чём не повинных айпишников\подсетей, то разрабы Макса могли таким образом себя подстраховать на случай, если при очередной волне блокировок ватсапа\телеги заденут Макс. Тогда можно это сразу определить и предъявить РКНу, что задели своих.
Тогда можно это сразу определить и предъявить РКНу, что задели своих.
очень странная логика: представьте, у вас есть заблокированный сервис (тг)
Ваша апса его пингует - он недоступен. Сама апса работает.
Наступает неудачный день - апса перестает работать, тг тоже недоступен - какие выводы можно сделать, о каком френдлифаере вы тут сможете судить?)
апса перестает работать, тг тоже недоступен - какие выводы можно сделать
Более того, клиент не подключается к серверу. А сервер даже не знает что что-то не так. Может устройство просто выключено? Стороннего канала чтобы передать эту информацию нет
Может устройство просто выключено?
не ну тут можно предположить, что клиент накапливает статистическую инфу и потом передает на сервер при случае.
Логика сломана - переменная тг\ватс итак недоступны (всегда)
для чего максу их пинговать? кроме как для статистической оценки эффективности блокировок)
Или чтобы можно было собрать достаточно данных о «звонках из банка» при дальнейшем расследовании инцидентов.
Или для защиты детей. Или для противодействия экстремистской информации. Или для критики....
Мой посыл был в том, что технический факт - это одно, а дальнейшая оценка этого факта, это другое.
интересно, а если, простите, вам по морде дадут и ограбят.. вы так же будете себя вести. факт удара есть! ... но что он хотел сказать этим ударом. может он меня хотел защитить от того, что будет дальше, или спас от удара ножом.. не все так очевидно..
Для этого и придумали разделение на прокуроров и адвокатов. Чтобы не было предвзятости. В вашем примере может оказаться, например, что по морде врезал дворник, неудачно закинув лопату при уборке снега. А деньги вы пропили ещё вчера в местном баре.
А теперь смотрим на MAX. Где синяк? Где удар? Где вред от того, что они пингуют Telegram и смотрят моего оператора? Пока что факта вреда нет. Есть факт сбора данных, который потенциально может быть использован во вред.
Очень правильно мыслите. Нокаут спасает от пера почти всегда. Если лежать и не дёргаться, то резать не будут.
вы изначально исходите из неверных посылок - что Макс как-то активно хочет бороться с мошенниками, например; или что вход через ВПН как-то коррелирует с тем, что это мошенники, и т.д.
Моя позиция в том, что технический реверс-инжиниринг дает нам факт: «собирается вот это». А вот почему это собирается — мы можем только строить вероятности. Версия автора наиболее вероятной по контексту. Но называть ее единственно возможной истиной и высмеивать все остальные — это уже не анализ, а идеология.
Логично давать определения действиям в рамках стандартного подхода "кому это выгодно", но альтернативой всегда держать в уме наихудший вариант использования. Можно надеятся на что угодно и что информация собирается на всякий случай, а вдруг нужным людям пригодится, но это совсем детский подход. Высмеивать наивные предположения в данном разборе скорее даже полезно.
Именно так. Можно подозревать всех и каждого. Но выводы делаются на основе доказательств, а не на основе «кому выгодно» и «наихудшего сценария». Иначе любой человек с улицы автоматически становится вором только потому, что «он мог бы им быть». MAX — та же история. Подозрительно? Да. Доказано? Нет.
В такие параллели надо обязательно добавлять оговорки. Не любой человек с улицы, а человек с набором отмычек и прочего воровского инструмента. Подозрительно? Да. Доказано? Нет. Выглядит по деловому и имеет очень нужный вид. Всё еще хотите пригласить незнакомца к себе? Да на него еще ни одного дела не завели - можно доверять!
УПД: в неконтролируемой среде очень опасно ждать подтверждающих фактов ради того, чтобы решиться на превентивные меры. Мы же не ждем, когда развалится загудевший подшипник, чтобы его обслужить. Так и в безопасности мы не должны ждать, когда реализуется нежелательный сценарий, чтобы сказать "ах тыж, нормально же общались"
Ну а где я прошу доверять? Или призываю ставить, потому что не было прецедента? Я просто говорю что для обвинения нужны факты, например, вы друзьям раздали влеес, один впс друзьям с Макс, другим второй влесс без него. И у тех, у кого он стоит, ip сервера в бан улетает. Это уже факты для обвинения. А пока у всех все работают, вы не можете говорить, что вот это все только для борьбы с впн.
Конечно вы всего этого не говорите и никого не обвиняете. Всего лишь "Да ты успокойся, Славик, чо ты очкуешь, я всегда так делаю". И этот вариант для большинства совершенно приемлим. Может и не для борьбы с впн, может для будущей борьбы с ненадёжными социальными элементами, а может еще для чего. Утрированно, хожу с зондом уже 10 лет, при ходьбе не чувствуется, нареканий нет.
Ах да, доставать не пробовал, зонд отличный, можно ставить.
О чем вы вообще? Я говорю, что автор статьи не должен делать подобных выводов. Причем тут Славик?
Ты в курсе сколько сервисов уже «улетело в бан»?
Вот например человек просто стоящий с белым листком бумаги подозрителен настолько, что его могут задержать.
А сбор данных совсем не подозрителен. Я де не "эксперт", а значит и выводов делать не могу. Все верно.
Грубо говоря на лицо доказано что приложение содержит функции сетевой разведки. Но в каких целях такие данные собираются, это уже гадание.
Всё правильно, вы вправе самостоятельно интерпретировать изложенные факты.
Чтобы сделать качественный вывод о том, в каких целых такие данные собираются, стоит оценить контекст: какая компания разработала это приложение, кто её возглавляет. Насколько она аффилированна с государством и зависима от него. Какую политику проводит государство в части защиты прав граждан на доступ к информации, какие решения принимают исполнительные органы, а также какую роль в реализации этих решений теоретически может принимать разработчик MAX.
Взвесьте все эти факторы, и у вас сложится картина, в которой по вопросу о том, с какой целью собираются эти данные, будет серьёзный разброс вероятности: в пользу ли варианта, о котором говорит автор статьи и сообщество, в пользу ли варианта об улучшении качества связи — решать вам.
Контекст, конечно, заставляет склоняться к версии автора. Но это не делает такой вывод единственно верным — ни абсолютно, ни частично. Любой вывод должен на чем-то опираться. Сейчас у нас есть факт, который подтверждает сбор данных. А сами выводы остаются висеть в воздухе без подтверждения, просто потому что «с ними и так все понятно».
Ментальная гимнастика у вас потрясающе развита.
Мы, идиоты, такие. 🙂
да это бот на зарплате, он 12 лет спал, а тут как пробило его под постами про замедление телеграмм рассказывать о том, как он в муниципалитете работал и как глубинный народ сопротивлялся "цифровому рабству", да разоблачать "слухи" и "оговоры" о Max. Другие посты его не особо интересуют
Оптимист падает с 10-го этажа и на каждом этаже думает: "пока везёт". Когда в тебя направили ствол и нажали на курок - уже глупо надеяться на то, что стреляют не в тебя.
Важен контекст и векторы. Давно наблюдаются шаги к тому, чтобы заткнуть всем рты и исключить неконтролируемые горизонтальные связи. Поэтому блокировки мессенджеров, соц.сетей, ютуба и впн.
Есть масса возможных причин, почему это хотят сделать как можно оперативнее - новая мобилизация и экономические проблемы которые могут привести к массовому недовольству. И то, с какой настойчивостью заставляют МАХ установить уже говорит об очень-очень многом.
Вы чем лучше? Вы (и все кто поспешил написать под моим комментарием) так же преследуете инакомыслие, минусаторы прошлись по каждому моему комментарию, вне зависимости о чем он. Ну вот предположим люблю я Макс и розовые очки у меня. Я не имею права теперь высказывать мнение? Вы спешите написать свое мнение, которое, по вашему, не совпадает с моим, однако прямое оскорбление вы оставляете без внимания. Люди, которые выступают против цензуры и за свободу мнений, сами минусуют все подряд просто за несогласие с их позицией. Так может стоит и свои векторы пересмотреть?
Вы чем лучше? Вы (и все кто поспешил написать под моим комментарием) так же преследуете инакомыслие, минусаторы прошлись по каждому моему комментарию, вне зависимости о чем он. Я не имею права теперь высказывать мнение?
Как по мне, так маловероятно что у вас вообще есть собственное мнение и что вы вообще человек.
А так это ведь довольно примитивная уловка, сделать вид будто мы играем в одинаковых условиях. Это не так.
"Ваше" так называемое мнение вам никто не запрещает высказывать где угодно - хоть на телевидении, хоть в газетах, хоть на рутубе. Вы тут его высказали и получили на него честнейшую обратную связь, в виде минусцов. Так при чём тут вообще цензура?
А вот "наше" мнение высказывать вслух уже давно опасно. В лучшем случае станешь иноагентом, а в худшем - посадят больше чем за убийство или убьют.
А что именно вас не устраивает? Люди выступают за свободу мнений, поэтому вы высказываетесь сколько хотите, вам никто не запрещает.
Я сам за плюрализм мнений, поэтому ответ пресс службы max появился в моем посте спустя пару минут после его публикации.
Но вы подменяете понятия - свобода мнение не означает что с вами должны быть согласны.
Выше я с вами согласился — и меня заминусовали. С чем люди не согласились? С тем, что я с вами согласился? А когда меня оскорбляют — и это оскорбление поддерживают — это тоже плюрализм, который вы поддерживаете? Я не против несогласия. Я против того, когда несогласие превращается в затыкание. Минусы всего подряд, оскорбление, стадное чувство — это не про свободу мнения. Не надо предвзятость выдавать за плюрализм.
Будет хохма, если эти рукодельные «пингалки» приехали ещё с Тамтама, или откуда там этот Макс в свое время форкнули. Какой-то давно уволившийся Вася лет N назад просто закинул пачку well-known хостов для дебага, чтобы понимать, что инет в целом работает, а блокировок на то время таких вообще не было.
Но мы этого не узнаем, конечно, ибо пинговать и потенциально досить чужие эндпойнты не очень корректно даже в более травоядные времена.
а могут только для улучшения качества связи, просто понимать почему падает качество звонка
Я хочу к тебе в страну розовых единорогов. А то в нашем мире ни один монополист ещё не додумался заботиться о качестве своей продукции, если проверяющий ежедневно не бьет кувалдой по пальцам. Выдай, пожалуйста, координаты портала.
Знаете, до недавнего времени многие мысли казались бредом. Пока не вскрылись документы, расследования или утечки — и вдруг оказывалось, что это была чистая правда. Я уже ни чему не удивляюсь. 🙂
Ну вот в том-то и дело, что исторически это дорога в одну сторону. Ну, например, примеров, когда бредом считалось «государство злоупотребляет своими полномочиями даже в отношении собственных граждан», а потом появлялся Сноуден и вываливал скандалы-интриги-расследования о том, что да, следят, и даже за своими собственными гражданами, причём, в обход требования о получении судебного ордера, потому что массово — полно. А вот обратные примеры есть, чтобы вот все в один голос говорили «следят, твари», а один говорил «а вот и не следят», а потом скандал-утечка-шок-контент-смотреть-всем, а там прямо документальные подтверждения, что нет, не следят, вот такие примеры есть?
Я и не утверждаю что сбор данных идет во благо, я говорю что выводы без доказательств — это не выводы, а домыслы.
Жизнь - это игра с неполной информацией. Ставка на лично прикинутое матожидание, но управление рисками приветствуется. В контексте и предсказанное вероятное и основные риски +/- совпадают даже. А ещё полируются мудростью толпы, хоть и из одного кластера с +/- общими сдвигами.
Даже в играх с полной информацией, но не в счётных до конца аля шахматы, у человека нет полноценного 100% доказательства. Есть опровержение соперника.
Так что обрабатываем информацию, которая есть и делаем это формально неточно, но чтож поделать, таково наше ограничение. При чём, это тоже всего лишь позиция, вспомнить "гипотез не измышляю" Ньютона, он бы тебя поддержал :)
Документальные подтверждения отсутствия чего-либо это как? Факт слежки можно подтвердить наличием соответствующих артефактов. А отсутствие таковых подтверждением отсутствия слежки не является, всегда можно сказать что просто хорошо спрятали.
.. с технической точки зрения у меня нет притензий ..
Грубо говоря на лицо доказано что приложение содержит функции сетевой разведки. Но в каких целях такие данные собираются, это уже гадание.
А вас не смущает при этом Ответ пресс службы мессенджера MAX:
3. МАХ не отправляет запросы на серверы WhatsApp и Telegram.
?
Смущает. Вопрос: кто врет? Если врет пресс-служба — то приложение делает ровно то, в чем его обвиняют, а официальные заявления — это просто вранье. Если ошибается автор — значит, он неправильно интерпретировал трафик, и никаких запросов на самом деле не уходит. Просто много противоречащих статей. Вот например Макс дает бабки за найденые уязвимости https://bugbounty.standoff365.com/en-US/programs/max/ и пока их нет. Технически приложение ведет себя «честно» в рамках операционной системы (не шпионит скрытно), но сама его архитектура не подразумевает приватности от владельца сервера (VK) и государственных органов.
это вообще-то и есть работа пресс-службы - врать с покерфейсом даже если носом тыкают в кучку. как типичный пример см. пресслужбу Президента США
Кажется что уязвимости есть, при чём точно знаю что человек с 3 места сдал критическую уязвимость которая давала чтение чужих чатов. А ведь это только третье место
Я никогда не пользовался этим сайтом, но точно ли их нет, если там почти 20 миллионов выплатили и средний платеж 350к?
Идиот вы, если позволяет себе такие комментарии на Хабре. Аргументировали бы, что ли.
Нет, просто когда звонишь через VPN, то и во время звонка пишет, что лучше без VPN и после звонка пишут, что лучше без VPN. Ну это всё бестолковые занятия, всё что разводят "айтишники" рассказывая как он следит за VPN давно реальные айтишники сообщали, но тогда это не вызывало никакой реакции, а сейчас из каждого утюга. Всё это никак не помогает ни в борьбе с мошенниками ни в слежке за пользователями. Это всё из-за того, что 80% пользователей интернета пользователи VPN.
приложения которые ведут такую деятельность разве разрешены политикой appstore и playmarket?
del
Сразу напишу, что не собираюсь быть адвокатом этого дерьмодемона.
Не было зависимости от действий в интерфейсе и отправкой этих данных? Например, открытия профиля или раздела с документами в нём? Они могут оценивать "надежность" соединения для чувствительных действий, пусть и таким изуверским способом.
Точно известно, что эти сообщения отправляются в момент сворачивания и разворачивания приложения. Согласитесь, действия не выглядят чувствительными.
Там таймауты 3 секунды, заставлять ждать пользователя 3 секунды такое, плюс эта инфа не только внутри приложения используется (и то не ясно какая часть), а намеренно отправляется на сервера мессенджера.
Установил СКАМ - помогаешь прикончить Интернет(мое оценочное суждение).
почему не скачанное с магазина приложений? с 4PDA, там то оно может быть изменено уже.
Кто-то подкинул в max шпионский модуль, который на их сервер через их протокол это шлет? Самим то не смешно?
Но да, я проверял приложение из google play, там все тоже самое. Просто с Google Play скачивается split apk версия, которую не настолько удобно реверсить. Плюс мне хотелось в статье указать какой-то референс, который легко скачать и перепроверить мои слова.
Обратите внимание, меня на это исследование побудили сообщения в сети, которые начали появляться в декабре и стали появляться все чаще и чаще. Сомнительно, что у них у всех версия с подкинутым spyware.
Моё мнение. Я думаю, что это делается не против конкретного юзера скаМа, а массово против всех пользователей квна, хаппа, гойды и т.п., чтобы палить и сразу блокировать сервера. Ты можешь настроить свой смартфон, или вообще установить скаМ в эмулятор андроида, но какая-нибудь курица - домохозяйка, которой установили впн, например, для обхода белых списков, всё равно сольет IP шники впн серверов.
Это направлено исключительно против приватных прокси. Крупные сервисы и так уже не выпускают в интернет с тех же адресов, на которые принимают подключения, особенно для белых списков
Объясните как цепочка серверов помогает? Ведь когда макс сделает запрос, сервис покажет ИП адрес последнего сервера в цепочке, и если его заблочат то это будет так же эффективно как и заблочить первый, так как предпоследний сервер из цепочки не сможет подключиться к нему.
Часто читаю про то что заводят ру впску и на нее направляют клиентов, а потом с нее уже на заграничный сервер, но не могу понять преимущества этой схемы.
Если последний и предпоследний сервер будут не в РФ - то последнему будет по барабану на его блокировки со стороны РФ. Трафик то на него не из РФ идет
так и толку то, если по трейсроуту все хопы будут видны
Во первых, что бы хоп был виден - он должен отвечать/отправлять ICMP, что отключается двумя правилами nft или iptables.
Во вторых - большая "классических" VPN сейчас либо заблокирована, либо чувствует себя не очень хорошо. Большая часть пользователей сейчас использует прокси протоколы, а именно VLESS, ShadowSocks. Они чисто технически не могут передавать ICMP пакеты.
И что вы там увидите, если цепочка выстраивается на туннелях с приватными адресами?
До серверов внутри РФ (промежуточного сервера) фильтрация обычно минимальная
Внутри датацентров (от промежуточного сервера к выходному) фильтрация обычно слабее чем у обычных абонентов
Между серверами можно использовать всякие упоротые протоколы, которые нельзя использовать с юзерских устройств из-за отсутствия мобильных клиентов или провайдерского NAT’а.
Между серверами можно туннелироваться по IPv6, а внутри тоннеля и наружу гонять IPv4 - это бесплатно (не надо платить за второй IPv4), а сопоставить эти пары адресов будет не так-то просто.
Можно подключаться не с промежуточного сервера к выходному, а в обратную сторону - от выходного к промежуточному (реверс). Трафик в обратную сторону часто не фильтруется вообще, и его фильтрация потребует гораздо больше мощностей.
Нет, мой сервер и так временно заблокировали (причем именно tls), потому что ip не красивый, хотя у меня на нём сайт был
изначально идет расчет на это
На некоторых телефонах есть такое "частное пространство" или "тайное место".. Если туда его засунуть? Там вроде как изолированно.
Я тут забавное заметил когда vpn отлаживал. https://api.ipify.org/ возвращает не мой адрес, а, похоже, адрес ТСПУ. При этом сам https://ipify.org заблокирован (не отвечает). То есть, похоже, ТСПУ подменяет запрос. Очень странное поведение. Не могу понять зачем они это делают
ТСПУ не может подменить вам HTTPS запрос без явного предупреждения от браузера.
Ну или если вы удосужились поставить корневик минцифры в систему - тогда очень даже может.
Запрос подменить не может, но IP-адрес исходящего запроса - легко
Достаточно iptables -j MASQUERADE сделать на пути прохождения трафика
Так ведь будет несоответствие IP-адреса домену, на который выписан сертификат.
С чего бы?
Это же NAT обычный. NAT-ить можно из любых адресов в любые, на этом весь интернет стоит.
Но, даже если NAT-ить DST, то https тут тоже ни при чём, ни на что там ругаться не будет. https не проверяет "несоответствие IP-адреса домену", https проверяет соответствие сертификата на хосте запрошенному CN (в случае https - соответствует заголовку Host: обычно).
Ключевой момент здесь - что никто https-запрос/ответ не подделывает, "подделывается" только src-адрес клиента. А https на этом "уровне" ничего не проверяет (да и не может в общем-то, он это на l7 проверять)
Сертификат выписывается не на IP, а на домен. Сертификаты на IP кране редкое явление.
Сертификаты на IP кране редкое явление.
Все потихоньку меняется, не очень быстро, но это происходит
https://api.ipify.org/ возвращает не мой адрес, а, похоже, адрес ТСПУ.
А можете посмотреть какой IP? Или хотя бы блок какой? Какая ASN? (Посмотреть whois [IP_ADDRESS]).
Сравните его с ifconfig.me или internet.ya.ru.
Может просто провайдер с NAT мутит?
У меня статический ip и провайдер с nat мутить не должен.
https://api.ipify.org/ 195.178.4.138, серт выдан Google Trust Services
https://api.myip.com/ {"ip":"195.178.4.136","country":"Germany","cc":"DE"} серт выдан Google Trust Services
ifconfig.me 195.46.171.xx - правильный
вот еще забавное:
Tracing route to api.myip.com [8.6.112.6]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms tplinkwifi.net [192.168.xxx.xxx]
2 1 ms 1 ms 1 ms static-a1.Kaliningrad.golden.ru [195.46.171.1]
3 1 ms 1 ms 1 ms 89.178.245.157
4 2 ms 1 ms 2 ms smtp1.tlsa.ru [62.141.126.134]
5 27 ms 26 ms 27 ms 195.178.4.128
6 25 ms 25 ms 25 ms 79.104.225.229
7 27 ms 26 ms 26 ms 79.104.225.230
8 31 ms 32 ms 31 ms 81.211.0.62
9 26 ms 27 ms 26 ms 81.211.0.63
10 45 ms 45 ms 45 ms 212.133.1.222
11 62 ms 45 ms 52 ms 212.133.1.221
12 46 ms 45 ms 58 ms 213.249.107.146
13 44 ms 43 ms 44 ms 172.68.180.37
14 45 ms 45 ms 44 ms 8.6.112.6
Tracing route to 195.178.4.136 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms tplinkwifi.net [192.168.xxx.xxx]
2 1 ms 1 ms 1 ms static-a1.Kaliningrad.golden.ru [195.46.171.1]
3 1 ms 1 ms 1 ms 89.178.245.157
4 2 ms 2 ms 2 ms smtp1.tlsa.ru [62.141.126.134]
5 26 ms 25 ms 25 ms pe04.KK12.Moscow.gldn.net [79.104.225.11]
6 31 ms 30 ms 31 ms 79.104.225.231
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
11 * * * Request timed out.
12 * * * Request timed out.
13 * * * Request timed out.
14 * * ^C
у него нет IP, он прозрачен. См описание архитектуры в недавнем треде.
А что делать то?
Ну кажется решение простейшее - удалите его.
Расстрелять этого иноагента! Замедлить ему всё что можно!
😁
Почти все банковские приложение палят КВН, как они это делают?
Если что у КВН российский ip
Они используют системный API Android, который буквально проверяет запущен ли VPN в системе или нет. Им не нужны ваши ip адреса из других источников, они их вообще не пытаются узнать и сравнить.
Только что запустил приложение Сбер через российский впн, молча открылось и работает, ничего не палит.
Они не палят, они просто смотрят системный флаг, который вполне себе спокойно отдает система.
Просто в мире розовых пони и незаблокированных интернетов наличие vpn подразумевает какое то корпоративное соединение, и для apple/google и прочих разработчиков мобильных операционных систем важно давать знать об этом другим приложениям для корректной работы, это нормальная практика.
Кто же знал, что наличие этого флага для некоторых стран окажется не плюсом, а минусом.
apple/google и прочих разработчиков мобильных операционных систем важно давать знать об этом другим приложениям для корректной работы, это нормальная практика
Ужасная практика. По хорошему понимание должно приходить по определению доступности какого-либо healthcheck сервиса, который доступен исключительно изнутри корпоративной (VPN) сети.
Так там наоборот всё. Проверяют что выключен, а не что включен. Чтобы, к примеру банковские данные туда не слать. Хотя какая разница не очень понятно...
А если этот сервис лежит? А если это мой туннель до моего дома (моей домашней сети), мне там тоже поднимать некий сервис для хелсчека?
Это тоже не серебряная пуля. Поэтому и выбрана логика, что есть некий туннель, дорогой юзер, обрати на это внимание.
Ну кажется решение простейшее - удалите его.
На подъезде и по городу развешаны камеры. По ним можно сказать куда и когда вы направляетесь.
Конечно простейшим решением будет - уехать в лес, не выходить из избы.
Ладно, шучу, наверное) Но доподлинно известно, что браузер дает сотни параметров фингерпринта, кларити которая бесплатная и почти на каждом сайте - даже движение мышки записывает. Вообще уже ничего не удивляет)))
Мы говорим не о сокрытии чего бы то ни было. Мы говорим о том, что этот модуль может помочь автоматически блокировать даже ваш личный vpn сервер.
или автоматически в макс прислать квитанцию об уплате штрафа, если примут соотвествующий закон :)
Да даже без закона такое легко провернуть. Вашу мысль с высокой долей вероятности могут воплотить в реальность, хоть она и звучит как новость из ИА Панорама.
Что-то такое ведь уже было во времена ковида, когда в Москве жителей принуждали устанавливать кривое отслеживающее приложение. В случае смещения геолокации, из-за передвижения смартфона или кривого гео-распознавания — прилетал штраф.
Я понимаю, но мы же в ру айти, может есть у кого то знакомые из вк или прям из макса, спросить зачем это, без домыслов. Вдруг не все так ужасно) Может какой то слишком хитрый рекламный сдк. А может действительно собирают метрику использования впн. Но пока это паничка кота Шрёдингера))
Горжусь отечественными разработчиками - голь на выдумки хитра. Красивое решение понятной задачи, молодцы. Еще бы майнинг настроили. Вспомнился фильм полицейская академия в России с Игрой. =)
Спасибо автору за разбор, было интересно.
В интернете есть варианты оберток через WebView для разных сайтов (по сути дело это просто как в браузере открыть сайт) вот например:
ChatGPT: https://f-droid.org/ru/packages/org.woheller69.gptassist/
Mistral Le Chat (французской аналог ChatGPT): https://f-droid.org/ru/packages/org.shano.assistral/
Может тогда сделать аналогичную обертку для MAX? В этих обертках есть функционал полной блокировки сторонних доменов. Возможно даже звонки будут работать, но это не точно.
Товарищи, подскажите пожалуйста поможет ли per-app туннелирование через тот же v2box на андроиде, если не охота заморачиваться изоляцией рабочего пространства? То, что мах узнает, что у юзера включен впн через апи андройда - бог с ним, наверное?
Всем привет, а как же клиент по типа в2рау, там же можно использовать выбор приложений, я разве не прав если скажу что исключив оттуда СКАМ, он не спалит наличие чего либо на телефоне?
На Андроиде так и нужно, просто подели приложения которым можно внутрь VPN ходить, а каким нет. Тогда МАХ будет видеть чтот у тебя VPN, но какой именно он не узнает. А что делать пользователям iPhone? на iOS нет деления приложений кому можно внутрь VPN ходить, а кому нет.
Как вариант это просто отключать ВПН при использовании макса, а потом выгружать макс из памяти, чтобы ничего не делал в фоновом режиме. Но такой способ наверное подходит только если использовать макс очень редко - например для логина в госуслуги, а не как мессенджер для общения.
AdGuard vpn. Установка через Канаду, там не требуется кредитная карта
на ios через шорткаты можно включать/выключать пвн при открытии/закрытии определенных приложений
"Собственно сам мессенджер MAX. В исследовании я использовал версию MAX_(RS)_v.26.4.3(6552)(8.0-15.0)(arm7a,arm64-8a,x86,x86-64), которую нашел на 4pda."
А почему не по ссылке с официального сайта https://max.ru/ ?
Чтобы при изменении версии на офф сайте люди не кричали, что не смогли проверить и повторить эксперимент.
Я говорил об этом вот тут https://habr.com/ru/articles/1006666/comments/#comment_29622722
могу подтвердить все то же самое на гостовской версии отсюда https://download.max.ru/android/release/gost/MAX...apk
У меня андроидный вацап работает без всяких VPN. А телега, помимо этого, работает без VPN еще и на win11-десктопе.
Я видел мысли вроде "А почему сбербанк так не может или, может, уже делает".
Ну в некотором смысле банки уже так делают, но у них схема проще чисто от спамеров защищаться.
не знаю, совпадение или нет, подключаю бесплатный vless для обхода белых списков, захожу в сбербанк онлайн, через этот впн, вроде, как заходит, работает, через 2 минуты впн отваливается....
PS Кстати, без впн, который обходит белые списки, в сбербанк и т-банк ВООБЩЕ невозможно зайти, рубит сук, на котором сидят?
Сделайте пожалуйста такое же для приложений Яндекса, если там аналогично, то я снесу вообще все приложения от рф разработчиков
Вопрос знатокам. А если у меня VLESS клиент стоит и режим per-app. Т.е. ВПН на конкретные приложения только, прокатит? Так понимаю все еще будет флаг vpn=1, но сам сервер не должны задетектить. Звучит как решение.
И можно ли запретить приложениям понимать что активен впн через Android API
Почему-то никто не упомянул, что в Андроиде есть функциональность Per-App VPN: https://developer.android.com/develop/connectivity/vpn?hl=ru#per-app Можно выбирать трафик каких приложений заворачивать в туннель
Например в той же Амнезии это реализовано.
Заглянул сюда вкинуть 2 копейки.
То что отечественный софт или ресурсы могут выявлять сомнительные для них адреса и в последствии лочить их - совершенно не ново.
Столкнулся с такой темой уже достаточно давно. Если на постоянку палить адрес, в который завёрнут туннель, то рано или поздно он отлетает на раз два. Порой до полной его потери во всех смыслах. Под подозрения попали все гос. приложения.
При этом, из каждого утюга говорят, что ТСПУ выявляет конкретные протоколы и душит их.
Но вот интересно другое. Имеем пачку туннелей, которые висят в запасе либо используются очень редко и они работают даже с самыми устаревшими решениями. Какой вывод? Давно подозреваю, что не всегда пытаются выявлять тип/протокол, а просто душат доступ до конкретного хоста.
Поэтому всё, что около госов, лучше держать подальше или дотошно разделять трафик.
Да уж, тут вообще к отечественным гигантам софта большие опасения. Вспомнить статью здесь про яндекс, который приложениями через локалхост идентифицировал пользователя в браузере.
Лично я сам заметил что т-банк сейчас обходит ограничения на автозапуск и фоновую активность андроида, висит в процессах и что-то льёт на "mobile-bank.cdn-tinkoff.ru" И блокировка этого хоста не нарушает работу приложения
Заблочу у себя тоже
Вдвойне интересно, что он туда льёт, учитывая что это эндпоинт S3 API, по сути хранилище произвольных данных.
Т-Банк еще и оборудование регулярно опрашивает...
Попробуй через adb придушить
adb shell am force-stop com.idamob.tinkoff.android
adb shell appops set com.idamob.tinkoff.android RUN_IN_BACKGROUND ignore
adb shell appops set com.idamob.tinkoff.android START_FOREGROUND ignoreВспомнить статью здесь про яндекс, который приложениями через локалхост идентифицировал пользователя в браузере.
Слежка за пользователем это лет 15 уж массовая общемировая практика(широко известная в узких кругах), случай со СКАМ-ом скорей порадовал, тем что привлек внимание гораздо более широкой аудитории к этой тенденции.
Что же касаеться в целом например концепта централизованных коммерческих месседжеров наиболе широко получивших известность в РФ, то , что Максимка, что Телега, что WhatsApp, в целом - один и тот же концепт неуважения приватности(как условие использования), а заодно навязывания услуг ОПСОС-а и использования мобильного девайса с аккунтом, даже если вам месседжер нужет только на ПК.
Могу предположить, что после випиливания их из Play market им ещё и FCM отрубили. Вот и приходится переодически коннектится, что бы уведомления получить (ну и заодно телеметрию слить, куда ж без этого)
Подвергнув реверс инжинирингу клиент российского мессенджера MAX удалось подтвердить самые худшие предположения.
Огромнейшее Вам спасибо за это исследование!
Я, признаться, сильно недоумевал по поводу MAX: что в нём, что его продвижением пропихиванием занимается государство в лице административных органов (Госуслуги) и Президента (закон об использовании в ЖКХ)? Вряд ли дело в коммерческие интересах владельцев мессенджера, да и желание читать / модерировать общение граждан, наверно, можно было удовлетворить, договорившись с Телеграмом; тогда - что же???
Теперь, лично для меня, пазл сложился : причина агрессивного внедрения MAX государством в том, что мессенджер MAX - клиент ботнета РКН.
Когда я включаю Шелтер и в него захожу у меня трубка греется как будто я в генши на ультрах играю
Всё проще. Есть задача идеологическая (декларируется: отказ от западного, борьба с врагами, поддержка отечественного производителя; отрицается: ограничение прав и свобод), задача "коммерческая" (распил средств, борьба с конкурентами) -- всё это является причинами. Подход универсальный: все ограничения Интернета и даже "Честный знак" (и другие кампании) -- для них верны все те же пункты.
Макс, равно как и другие отечественные приложения, это не скрывает
У меня в шелтере давно сидит Сбербанк.
Раньше до 2024 года я не был клиентом их банка у меня никогда не было их приложения. Но когда я поставил он мне вечно выдает уведомления типо "Ваш телефон под защитой Сбербанк онлайн" "проведена проверка - угроз не обнаружено".
Я просто офигел. Я просил их что-то у меня сканировать, искать угрозы и ТП? Какие угрозы? Это антивирус какой-то или что? Ну теперь он там в шелтере сражается непойми с чем. Включаю что бы за вывести из Сбера.
В приложение Сбера прям изначально, лет 10 назад, был встроен Касперский. Оттого непотребные размеры, тормоза и сообщения что ничего не обнаружено. Всё для вашей безопасности!
его в Шелтере можно автозамораживать при блокировке телефона. И размораживать только при тапе на иконку. Так что в таком случае можно сказать, что его на телефоне нет, не считая занимаемого места
Ну это отключается в настройках безопасности, щит на главном экране.
Чтобы ЗП выводить из Сбера можно воспользоваться веб мордой и не выдумывать кульбиты с шелтером. А ещё проще отнести в отдел кадров заявление на перечисление ЗП на карту которая вас устраивает. Отказать не имеют права.
Интересно, а если в APN отключить IPv6 будет определять VPN? На днях решил использовать "Цифровой ID" и был послан отключать VPN (который был выключен). Немного позже решил отключить IPv6 в APN Мегафона и о чудо мне тут же дало мой QR "Цифрового ID".
Зависит от методов проверки.
Если проверяется через API ОС - отключение IPv6 в настройках APN никак не повлияет на результат проверки.
Если проверка идет через определение внешнего IP и сверки с некой базой IP-адресов - все зависит от корректности этой самой базы. Т.е. корректные данные в базе не будут портить жизнь при отключенном туннеле и включенном IPv6
Если помогло отключение IPv6 в настройках APN делаю вывод о некорректных данных в базе IP на сервере
Отличная работа!
Спасибо за статью и ресёрч. Буду дальше агитировать против монополиста)
Надо на своих впн серверах блокировать эти сервисы определения айпи
Сервисов определения IP сотни, если не тысячи. Изредка даже используются легитимными сайтами. Всех не перебаните. Банить придется Макс и все домены, куда он ходит стучать.
Банить придется Макс и все домены, куда он ходит стучать.
Бесполезно. Когда проектировали сети и ОС вообще не думали про этот юзкейс. Присылают обновленный список доменов и вся работа на смарку. Правы те, кто покупает второй телефон и держит его в лепризории до момента, когда им крайне необходимо воспользоватся.
Присылают обновленный список доменов и вся работа на смарку.
Это правда. А еще могут вообще напрямую по IP ходить без доменов. Поэтому я предложил собирать списки автоматически, и кто-то уже реализовал. Не идеально, но хоть так. По сути то задача отвадить пользователей пользоваться максом через впн.
А зачем пользоваться МAX'ом через VPN? И откуда такая задача появилась? Доля пользователей MAX, использующих VPN, как думаете какая?
Есть те кто его вообще не выключает, часть из них настроила маршрутизацию в зависимости от направления трафика (по подсети/ASN/домену/геобазе, кто на что горазд). Так вот, во втором случае «зонд» вполне может ходить к своим серверам напрямую, но при такой проверке IP логика маршрутизации ломается и зонд вполне получает и «прямой IP», и «выходной IP туннеля».
Регулярно актуализировать внося новые исключения не самый эффективный способ. Более эффективно не пускать в туннель на основании источника трафика и андроид это позволяет, ios штатными средствами - нет. Выше, конечно, писали про MDM, но это не то
Доля пользователей MAX, использующих VPN, как думаете какая?
Все пользователи IOS.
Надо, как минимум, максу блокировать все подключения, кроме тех что на его сервера идут
Кто-то уже упоминал про раздельное туннелирование на андроиде, сам им пользуюсь. Завернул только заблоченные сервисы в туннель, всё остальное - напрямик. Понятно, что флаг использования обходняка палится, но более конкретная инфа уже будет неизвестна.
Я же хотел поговорить в целом про ру-сервисы, которыми многие из нас пользуются, но неизвестно, что в них может быть вшито в будущем, и какую инфу они будут стягивать.
Тут вариантов несколько:
• можно использовать веб-версии, но не всеми сервисами удобно так пользоваться, например, те же Якарты
• закидывать их в изолированное пространство, но в таком случае зачастую приложение оказывается в полном ауте, вплоть до того, что в клиенте банка не будет даже списка контактов, так как в песочнице он пуст
• и тут ещё один варик, он не такой надёжный, как предыдущие, но для тех же банков - вполне сгодится. Это заморозка приложений в настройках электропитания.
Я честно не уверен, как это работает на других андроид девайсах, но на самсунгах есть 2 уровня заморозки: приложения в спящем режиме (минимальная фоновая активность, из-за чего уведомления из приложений могут приходить с ощутимой задержкой, так как аппка условно только несколько раз в день может оживать и проверять обновления) и приложения в глубоком сне (аппка вообще не работает в фоне до тех пор, пока вы сами ее не откроете, уведомления естественно не приходят вовсе. Получается ситуация, что прога вообще ничего не может в фоне, как если бы у вас вообще не было этого приложения установлено)
Я лично все ру-сервисы по типу приложений доставки, мака, магнита, почты РФ, озон и те же Якарты держу в глубоком сне. Уведомления из них зачастую даже на пользу не приходят (меньше спама), а там, где надо, настроены через почту в гмаиле.
По фоновой активности проверял в работающих службах - приложения в глубоком сне после закрытия могут пару минут повисеть в фоне и потом убиваются. Даже если заблокировать телефон с открытой прогой из этого списка, через минуты 3 после разблокировки я оказываюсь на рабочем столе (прога убивается сама за заблокированным экраном)
Проверил на iPhone, получил поведение аналогичное в статье :(
Тем кого на работе заставляют ставить этот софт, стоит завести отдельный дешманский андроид без симки. Подключать его только к рабочей Wi-Fi сети и не ставить туда никаких личных аккаунтов. Песочницы вроде Knox это полумера, так как сетевой стек на уровне ОС все равно общий
А зачем без симки? Аккаунт мессенджера всё равно к какой-то симке привязывается. Если это будет ваша основная симка, то это также плохо, лучше сделать отдельную симку и не приаязывать её больше нигде.
симки то все равно по паспорту, причем уже все методы получения "левой" симки зачистили
Вроде бы есть теперь возможность на иностранный номер аккаунт завести.
Но опять же, это имеет смысл только если мессенджер будет использоваться строго для переписки с частными лицами. Использовали для Госуслуг - номер засвечен, для банка - тоже, для школы, записи ко врачу - всё туда же...
Это я даже не говорю, что ваши собеседники вас могут уже в своих записных книжках обозначить и по ФИО, и вообще как угодно.
В идеальном мире работадатель по идее не может заставлять ставить вас, что либо на личные устройства.
Немного тупорылый лайфхак для андроида: указываете в настройках приложения в разделе батарея: "Ограничено". Таким образом он не будет висеть в фоне, но и уведомления получать не будет. Если нужно открыть/прочитать, помним, где и как мы подключены (сплиты дома, ВЧС (виртуальные частные сети) и так далее).
Предлагаю заменить КВН на ВЧС! :)
Публичного правового основания для превращения пользовательского мессенджера MAX в распределенный сетевой сканер для нужд РКН не существует. Думаю, что сопоставление фактов использования VPN, доступности WhatsApp/Telegram и активности в MAX дает руководству платформы исчерпывающую аналитику о том, насколько успешно идет процесс миграции аудитории в условиях государственного регулирования интернета.
Те, кто сливает карму, аргументируйте. И ищите нормальное объяснение, а не конспирологию.
РКН не интересуется правовыми обоснованиями уже почти 10 лет. При очень большой нужде правовые обоснования прикручиваются задним числом. Обычно даже не заморачиваются.
А при чём здесь "конспирология"? Да, во время активных военных действий действительно имеет смысл использовать подобные решения в ПО. Но на практике мы наблюдаем совсем другое применение таких решений. Все помнят человека который попал под раздачу просто за то что, ехав в автобусе, через местный Wi-Fi полез посмотреть изображение нарукавного шеврона в гуглах? Это один из многих, очень многих примеров. Да, это "немного другое" как сейчас любят говорить, и конкретно с этим модулем не связано, но опера, сцена и действующие лица всё те же.
В рф законы пишутся не в интересах граждан, а в интересах "государственной безопасности". Долго ли правки внести и разрешить сканить сеть?
Карму минусуют за наивность, я полагаю
Рискну предположить, что минусуют за то, что аккаунт, созданный в 2012 году, "проснулся" ровно двумя комментариями в этой теме
Раньше всё нормально было :)
Ммм, а что в этом такого? ;)
Далеко не всегда есть возможность оперативно читать и комментировать статьи, эта тема мне интересна и сейчас есть время.
Вы думаете, я бот что ли и пытаюсь оправдать кого-то?
Да, если честно, то немного подозрительно, что за 14 лет у вас вот именно в этой статье первый раз время нашлось.
Мне кажется, подозревающие задаются вопросом, почему/как аккаунт активизировался сейчас, но зря не задаются вопросом, почему/как он был зарегистрирован N лет назад.
Консерва :)
А вот вообще не факт, что внезапно просыпающийся после долгого молчания аккаунт реактивирован тем же человеком, который его заводил.
Ууу, кто-то специально столько лет назад зарегал акк и вот, его для какой-то суперцели расчехлил. Вот это реально выглядит странно, такое думать.
Я просто, часто попадал на статью, где мне было что сказать или было интересно, когда мне уже комментировать было запрещено. Это реальная причина.
знаете, подобная "подозрительность" уровня "пикабу" и прочих подобных площадок с каждым днём всё больше и больше распространяется в том числе и на Хабре. Уровень аудитории к сожалению в последние годы качественно поменялся. Притом не в лучшую сторону. Я замечаю даже что многие не в состоянии воспринимать полноценный русскоязычный текст в комментариях, они просто не поймут смысл или извратят его подстроив под собственное миропредставление. Поэтому чему вы удивляетесь? Чем больше будете вопрошать тем больше вас будут "минусить". Такова гнусная человеческая натура. Принципиально написал вам это зная, что сейчас толпа узнавших себя в описании побежит минусить и мой комментарий. За 14 лет на Хабре сам не поставил ни одного плюса или минуса, потому что считаю что это абсолютно порочный "критерий большинства", который только искажает истину и навязывает подсознанию читателей определенные мнения.
Спасибо, значит ещё не всё пропало!
Выше там уже гипотезы, что увели почтовый ящик какой-то старый аж какой-то "окологосударственный почтовый хостер" и вот теперь это все. :)
Вот реально люди думают, что кому-то сейчас есть дело до этой статьи на уровне госструктур. Сегодня предпраздничный день же, 8 марта скоро. Вот этим сейчас все заняты.
«Нам не нужно, чтобы все соблюдали закон — нам гораздо легче, когда все его хоть чуть‑чуть, но нарушют.» ©
В статье фактически говорится, что вам вставляют ректальный зонд при использовании приложения, а вы вдруг решили придумать для этого причины...
Какая вообще разница, в гос они сливают что условный "Валера-то КВН вот такой-то использует!" или для себя?
То есть сам зонд вас не беспокоит?
Я карму не топил, но намекаю, что со здравым смыслом у вас в этом отношении точно есть проблемы.
Уж не знаю, кто вы, и с какой целью вообще пробудили свой акк ради этих комментариев, но здравый смысл тут точно курит в сторонке.
Во-первых, я вообще не являюсь пользователем мессенджера MAX (не горю желанием получить указанный выше "зонд" и ряд других, более серьёзных) и оцениваю ситуацию исключительно с профессиональной точки зрения.
Во-вторых, сам факт сбора сетевой телеметрии технически неоспорим, однако выводы автора статьи о том, что это прямой инструмент РКН для мониторинга средств обхода блокировок, по мне, слегка притянуты за уши. Риски для тех, кто попал под наблюдение определённо есть, но это, как минимум, ПДн (по userid там есть связь), со всеми вытекающими. Тут с позиций архитектуры ИБ и государственного управления, реализация данного модуля не выдерживает критики как инструмент государственного надзора: она уязвима к манипуляциям (в протоколе нет никакой защиты от навязывания ложных данных), а ее внедрение не имеет под собой необходимого правового базиса (что важно в госструктурах как для финансирования, так и в целом реализации функциональности).
Следовательно я делаю вывод, что это реализовано для оценки бизнес-метрик. Наиболее вероятно для понимания того, как пользователи переходят на MAX, используют ли они средства обхода блокировок, доступны ли им конкурирующие мессенджеры, насколько стабильно вообще MAX работает в текущих условиях регулирования Интернета в РФ.
Кстати, описанный в статье протокол, не является чем-то новым, он же используется в web-версии MAX (см. проект на gihab nyakokitsu/MaxProtoExplanation).
По поводу правового базиса, если к ним придёт письмо от министра связи или (как работает ЦБ с банками) какая-то не официальная рекомендация, то они что, скажут нет? Типа вот, собирайте и передавайте данные вот сюда, без лишних вопросов.
Туда же, например, зелёный банк или яша. Они что, спорить будут?
При наличии данных сложить 2 и 2 *надзор может вот легко.
И касательно ненадёжности: если никто к этому не готовился, то включив такой функционал можно за неделю собрать 80-90+% IP недружественных хостов для обхода.
В общем, такие данные могут быть очень полезны *надзору, прям кладезь информации, и такое зачастую никак иначе их особо и не получить, кроме подобных "троянов"
используют ли они средства обхода блокировок, доступны ли им конкурирующие мессенджеры
И по чистой случайности, адреса этих самых средств обхода блокировок, а также адреса, для которых блокировки по каким-то причинам не работают, отправляются "куда следует". Хотя к бизнес-метрикам мессенджера они вообще никакого отношения не имеют.
адреса этих самых средств обхода блокировок
Посмотрите ещё раз алгоритм определения внешнего IP-адреса (он под спойлером, там всё подробно). Сколько IP-адресов формируется в JSON ответе с событием? Что там отправляться разобрались? А теперь снова свой комментарий прочитайте. Нет там достоверной информации по внешнему адресу.
Как раз такие данные имеют прямое отношение к тому, какова конверсия пользователей по перехожу с других мессенджеров и даёт понимание, кто пытается использовать ещё и другие мессенджеры, и кто не может их использовать, динамику всей этой картины.
Посмотрите ещё раз алгоритм определения внешнего IP-адреса (он под спойлером, там всё подробно). Сколько IP-адресов формируется в JSON ответе с событием? Что там отправляться разобрались? А теперь снова свой комментарий прочитайте.
В одном сообщении отправляется один IP адрес, но каждое новое сообщение отправляет IP адрес из нового источника. В итоге очень быстро на бекенд уходят все внешние IP адреса.
Причем как для российского, так и для зарубежного сегмента интернета.
Доступные хосты тестируются каждое сообщение.
Так что комментатор выше прав - это позволяет быстро узнать внешние (выходные) адреса средств обхода блокировок
В одном сообщении отправляется один IP адрес, но каждое новое сообщение отправляет IP адрес из нового источника. В итоге очень быстро на бекенд уходят все внешние IP адреса.
Ммм, тогда я понял ваше описание не так: подумал, что первый ответивший будет попадать в такой список, а сбор производится только при запуске приложения и пробуждения из фона. Спасибо за разъяснение.
Всё же, тогда уточняющий вопрос, в какой момент инициируется опрос сервисов для определения внешнего IP? Постоянно в фоне (раз в 3 секунды) или на каждое сообщение и/или при пробуждении / запуске в приложения?
В любом случае демаскировка внешнего IP будет только тогда, когда приложение MAX работает через VPN, что не понятно зачем делать. Какой смысл гонять трафик всех приложений через VPN включая MAX? Кто так не умеет настраивать в будущем научатся. ;)
Если подумать, то нормально так 50 млн. пользователей у этих сервисов появилось. Интересно посчитать какую они нагрузку создают.
Доступные хосты тестируются каждое сообщение.
"Доступные хосты" — это те что пингуются и TCP-коннект (WA/Telegtam/Госуслуги)? Т.е. не при пробуждении и входе в приложение? Прямо на каждое сообщение в фоне происходит определение доступности и потом отправка эвента?
Пользуясь случаем, можно ещё разъяснить, что означает: "есть задержка 3000 мс перед стартом проверки/репорта". Погружаться в полноценный анализ декомпилированного и обфусцированного кода, интересно, но не настолько.
И, что будет, если заблокировать хосты (например, в DNS) для определения внешних IP (они чётко перечислены), тем самым скрыть внешний адрес от сбора.
Публичного правового основания
Oh my sweet summer child
Публичного правового основания не существует для вообще огромного количества дичи, происходящего в стране в последние годы аж на государственном уровне - и тем не менее, оно происходит.
Давайте не подменять одно другим. Одно дело — когда РКН действует волюнтаристски при настройке политик блокировок на ТСПУ. Там они теоретически могут не оглядываться на правовые нормы (есть карт-бланш). Совсем другое дело, пусть и госкомпании, приказать реализовать функциональность распределенного сетевого сканера в госмессенджере. Сбор телеметрии для бизнес-метрик куда логичнее, чем предположения, что это для слежки. А вот риски, что породил такой сбор метрик, уже другой вопрос.
Каким публичным обоснованием замедлен Youtube?
Сервера деградировали же - оно само замедлилося./s
Публичным правовым обоснованием замедления YouTube выступает статья 9 Федерального закона от 01.07.2021 № 236-ФЗ (закон о приземлении). В качестве одной из мер понуждения за нарушение законодательства РФ эта норма прямо предусматривает: "частичное ограничение доступа к информационному ресурсу иностранного лица", но нет соответствующей записи в "Перечне иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации", что вызывает только вопросы. Вообще по этой причине нет никого в перечне, хотя замедление применяется к различным ресурсам и легко диагностируется.
Натягиваете сову на глобус. Ни одно официальное лицо не говорило про это тоже.
Ютуб можно смотреть без всяких регистраций и хранения персональных данных.
Натягиваете сову на глобус. Ни одно официальное лицо не говорило про это тоже.
О чем не говорило?
Был вопрос о правовой основе, она есть, закон и причины указаны (не все, частично) в Перечне иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации, откройте его (перечень), посмотрите. То, что норма не корректно применена или не оформлены все детали, это другой вопрос, главное, что она в принципе есть.
Плюс, можно посмотреть решения судов по Youtube и поглядеть на цифру штарфов. Можно не соглашаться с этими решениями (логикой их вынесения), но то, что для них есть публичная правовая основа очевидно.
Ютуб можно смотреть без всяких регистраций и хранения персональных данных.
Да, можно смотреть без регистрации и СМС (не просто, но можно), но решения судов и причины в перечне совсем не про ПДн. Если говорить, про вопросы по ПДн к Google, то они опять же в рамках публичных правовых норм.
Что именно натягивается то? Что сова и что глобус? ) И главное для чего мне это нужно? Я просто ответил на вопрос, как я понимаю ситуацию.
У меня как раз на роутере стоит утилита для маршрутизации трафика и можно смотреть куда ходят запросы. Так вот последняя версия из RuStore всегда обращается к mtalk.google.com и на один какой-нибудь сервис определения IP: ipify.org, ifconfig.me, checkip.amazon.com. А iOS только к mtalk.google.com, ipv4-internet.yandex.net.
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram. Вероятно билд подготовили после вчерашней статьи.
Но тем не менее из кода они не удалены, класс называется on7.
Модуль целиком отключен не был, в нет отключили только часть, отвечающую за Telegram и WhatsApp. Предыдущие версии будут отправлять эти запросы.
Так же актуальная версия ГОСТ с официального сайта так же содержит этот код.
Да, не заметил, что сегодня появилась новая версия. Получается, они сделали сбор IP-адресов из разных источников только в Android-версии. Для работы iOS-версии приложения достаточно обращения к ipv4-internet.yandex.net, тогда как Android версия даже после обновления обращается к иностранным сервисам определения IP. Похоже, что основной целью является именно сбор этих данных, а не работа WebRTC.
На самом деле для iOS тоже собирает, вот сегодняшняя проверка от Apple Insider.
Имейте в виду, что сейчас они активно могут работать над зачисткой хвостов.
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram.
«Не прокатило, вычёркиваем.» ©
Вероятно, они хотят превратить миллионы устройств в сканеры успешности своих блокировок и поиска тех, кто их обходит.
Это видимо та ai система, о которой писали недавно. Она помогает более качественно блокировать vpn трафик.
класс называется
on7
JADX генерирует имена всегда одинаковые? У меня нет ни on7, ни vb7, ни zb7
APK скачан из download.max.ru
JADX показывает те классы, которые есть в сборке. Если у вас его нет, то это значит что apk пересобрали и при сборке сгенерировались новые имена.
Именно по этой причине к названию класса и ссылкам я всегда прикладываю точный номер версии и источник. В комментарии выше это RuStore.
Но найти этот класс достаточно тривиально для любой версии, ищите по коду вхождение строки GET_HOST_REACHABILITY, вы найдете один единственный класс. В этом классе, чуть ниже будет вызов функции, первым аргументом содержащий открытую строку "api.oneme.ru". 4 остальных аргумента будут обращены именно к этому классу.
Что у вас за роутер и какая утилита стоит для мониторинга?
сделал скрипт который парит все это чудо раз в сутки. в релизах будут новые домены если авось появятся
https://github.com/fatyzzz/max-list
Спасибо. А в саму репу не релизом не хотите файлы положить?
Либо наоборот, в новых релизах все уберут на какое-то время, чтобы говорить «мы никаких запросов не отправляем», а потом, когда шум уляжется, по-тихому вернут обратно в каком-нибудь измененном и более скрытном виде.
Спасибо
Какой у вас прекрасный дисклеймер там, можно еще дописать "колебался вместе с генеральной линией партии" (шутка, если что).
https://ru.wikipedia.org/wiki/Свидетельство_канарейки добавьте ещё.
В исходном коде есть закоменченный модуль амины с потенциалом для удалённого включения после его доработки бтв. Так что всё будет ещё веселее.
Пруфов не будет, пояснений тоже
Это ещё даже не цветочки, а только росточки. Ягодки Тоталитаризма и Автократии - впереди.
С сегодняшним обновлением 26.7.1 (RuStore) в мессенджере отключили отправку запросов к WhatsApp и Telegram
Пройдет неделя-другая и снова включат по-тихому.
А почему не сделать многоходовочку и не выпустить 2 госмессенджера? Один захейтить специально ,вызвать бурление. Заодно посмотреть реакции. И потом второй, даже на иностранную компанию зарегистрировать. Дать звонки, сообщения. Не блокировать под разными предлогами. Народ сам в него набежит. Потом сыграть спектакль по переносу серверов и регистрации в России. Profit!!!
А почему не сделать многоходовочку и не выпустить 2 госмессенджера? Один захейтить специально ,вызвать бурление. Заодно посмотреть реакции. И потом заранее второй, даже на иностранную компанию зарегистрировать. Дать звонки, сообщения. Не старательно, но безуспешно блокировать под разными предлогами. Народ сам в него набежит. Потом набутылить владельца в Париже сыграть спектакль по переносу серверов и регистрации в России. Profit!!!
Он окружен людской молвой,
Он не игрушка- он живой!
В его руках от счастья ключ,
И потому он так везуч,
Все песенки о нем поют,
Скажите, как его зовут?
Да потому что хейт тут рушит доверие к системе, причём необратимо.
Уже, на подходе мессенджер Молния.
Если у вас IOS или совсем не хотите риска
А в чём риск? Кроме как "приложение выполняет ping и проверку удалённых tcp:443" больше ничего нет, это вроде как стандартное поведение, которое принимается паттерном "доверенного" приложения. А если брать мои личные данные, фото, контакты, файлы, то МАХ не имеет к ним доступа.. например, в отличие от телеграмма..
А вы точно статью читали, или сразу принялись писать «риска нет»? Существенный риск в том, что подобный сбор данных (пробирование заблокированных ресурсов, плюс определение IP и с использованием внешних, не-российских сервисов в расчете на то, что подключения пойдут по разным маршрутам split tunnelingа по geoip) ведут к обнаружению факта использования прокси/vpn и во многих случаях - непосредственно адреса самого прокси/vpn сервера, с перспективой его последующей блокировки Роскомнадзором.
И что, заблочат очередной vpn иии?
Конец света произойдет?
У меня вот вообще ничего не измениться.
С блокировкой whatsapp биомусор всякий перестал звонить,
Вам звонит сбербанк через вотсап, охренеть как рад что этот говномеседжер сдохнет в РФ
в телеге биомусор чуть ли не каждый день писал, хотя за последний год стало гораздо получше.
Сочувствую, выздоравливайте.
А, ну да, раз вам все это не нужно, то, конечно, никому не нужно.
У меня вот вообще ничего не измениться.
Тогда для вас никаких рисков нет.
У меня вот вообще ничего не измениться.
Держите нас в курсе
"У меня вот вообще ничего не измениться. "
Вы за всех то не говорите. Если вам инет нужен только для обновления странички в вк или одноклассниках, то да, вам можно не париться вообще.
Представьте себе, если лично Вам не нравится какой-то сервис, то можно не терпеть, а просто перестать им пользоваться! И для этого даже не обязательно ждать массовых блокировок! Не благодарите за подсказку.
Ну а аргумент "надо запретить, потому что им пользуются мошенники" так вообще мой любимый. Давайте по такой логике алфавит запретим, им ведь тоже пользуются мошенники для своих тёмных дел.
Только один вопрос: вы всё верно написали, хотя с выводом я, как и многие тут, с вами не согласен. Но вопрос или скорее недоумение - почему нужно писать столько воды, призывать "удалить, не устанавливать" и т.п. вместо 4 строчек фактов, которые вы написали? Выглядит как очередной "прогрев", "вброс",.. в необразованные массы, как и позавчерашняя тема https://habr.com/ru/news/1007216/ . Ведь все эти публикации, их массовость вызывают лишь отторжение у образованных пользователей, как будто очутился в мире "Идиократии".
Так это не вода. Это именно что подробное техническое изложение фактов.
Реверс-инжиниринг мобильного приложения нельзя уместить в 4 строчки. Если расписать недостаточно подробно, то читатели спросят «откуда ты вот это и это взял».
Описание найденной в результате реверс-инжиниринга проблемы тоже не уместить в 4 строчки - если расписать недостаточно подробно, то широкий круг читателей, не являющихся специалистами, просто не поймут, а у чем же проблема и чем она им грозит.
А про «не устанавливайте» - это только в самом конце статьи, где приведен список мер, как защитить себя. «Не устанавливать» - это самая надежная и действенная из них.
Ну и насчет «как и многие тут» не льстите себе - «образованные люди» в итоге все прекрасно поняли и подавляющее большинство с выводами согласилось, несогласными оказались только некоторые мутные анонимные юзеры, внезапно ожившие после долгой спячки, при этом никто из них не смог предоставить каких-либо вменяемых контр-аргументов в поддержку своего несогласия кроме «мне так кажется» и «я ниче не понял», а если и приводили, то они не выдерживали никакой критики.
А что до той следущей статьи - не удивлюсь, если ее как раз пресс-служба Макса вбросила, возможно даже это была давно готовая заготовка. Когда тебя поймали за руку за грязными делами с неопровержимыми фактами, вполне ожидаемо сделать вброс с громким заголовком, но пустым содержанием - именно для того, чтобы перебить инфоповод, добавить бесполезного шума, а потом утверждать что «все эти новости и исследования брехня», хотя на самом деле новости новости рознь.
подавляющее большинство с выводами согласилось, несогласными оказались только некоторые мутные анонимные юзеры, внезапно ожившие после долгой спячки, при этом никто из них не смог предоставить каких-либо вменяемых контр-аргументов в поддержку своего несогласия кроме «мне так кажется» и «я ниче не понял», а если и приводили, то они не выдерживали никакой критики.
Вот я приводил гипотезу - https://habr.com/ru/articles/1006666/comments/#comment_29623448
Как по мне, все уцепились за одно единственное предположение, не удосужившись поперебирать другие возможные варианты.
Все почему-то забывают, что до недавнего времени Макс был просто мессенджером компании ВК. Это потом, когда владельцы ВК подсуетились, его назначили госмессенджером. Но он при этом как был сайд-проектом ВК, так и остался. И разработчики там все те же самые, а не какие-то мнимые программисты в погонах.
Версия автора вполне может быть правдой. Но пока остальные версии не проанализированы, нельзя утверждать, что это объяснение единственно верное.
все прекрасно поняли и подавляющее большинство с выводами согласилось
С чем? Возьмите среднего российского пользователя, и посмотрите куда уходят соединения при включении компьютера(виндовс, драйвера, популярные программы), возьмите популярные смартфоны.. - да никого это почему-то не волнует. То что МАХ работает в рамках "предоставить доступ к Интернету", нет ничего страшного. Страшно - это когда вы покупаете кнопочный телефон, а он куда-то в фоне отправляет смс, https://habr.com/ru/articles/575626/ . Почему вы основываясь на вашем личном мнении, что "непозволительно МАХ собирать маршрутизацию" пытаетесь убедить и побудить к действию в этом остальных? Если взять RIPE Atlas то для региона RU постоянно(running) насчитывается почти полмиллиона различных измерений, почему вас не волнует эта деятельность Голландцев? Я не отрицаю факта, что информация может быть использована во вред, но уровень угрозы, истерики, и глупости несоизмерим фактам.
GPT говорит:
Почему это опасно суммарно
- Чувствительный признак VPN → прямой маркер “обхода/приватности”.
- Избыточность: для звонков/пушей не нужно знать доступность Telegram/WhatsApp/Госуслуг и не нужно делать это на каждом foreground.
- Необратимые последствия: даже если “сейчас только диагностика”, завтра тот же пакет легко превращается в механизм санкций/дискриминации.
- Риск утечек: такой набор данных в руках злоумышленника — почти готовый профиль человека и его сетевого поведения.
"Телекран работал на прием и на передачу. Он ловил каждое слово, если его произносили не слишком тихим шепотом; мало того, покуда Уинстон оставался в поле зрения мутной пластины, он был не только слышен, но и виден. Конечно, никто не знал, наблюдают за ним в данную минуту или нет. Часто ли и по какому расписанию подключается к твоему кабелю полиция мыслей - об этом можно было только гадать. Не исключено, что следили за каждым - и круглые сутки. Во всяком случае, подключиться могли когда угодно. Приходилось жить - и ты жил, по привычке, которая превратилась в инстинкт, - с сознанием того, что каждое твое слово подслушивают и каждое твое движение, пока не погас свет, наблюдают. "
Джордж Оруэлл "1984"
Автор а где разбор как следят за пользователями мессенджер whatsapp, телеграмм, инстаграмм и др?
Они то давно вышли, особенно связанные с утечками спецслужб и скнандами с ними связанные
Или проплатили только реверс инжиниринг мессенджера макс?
По мне так все кто желчью брызжут по поводу макса, не должны пользоваться whatsapp, телеграмм, инстаграмм...
Если это не так, то явно у этих людей отставание в умственном развитии..
Наткнулся на хороший комментарий у Алексея Гладкова
Немножко поговорим про цифровую грамотность
Тут недавно залетела статья про "нежно любимый мной" мессенджер (https://habr.com/ru/articles/1006666/) MAX (я буду наставить что правильно не Макс, а Мах, потому что с 1 марта Макс запрещен законом). Так вот хочу буквально в двух словах про статью, потому что защищать то, что косвенно блокирует мне мой интернет нет никакого желания, и потом в целом про цифровую гигиену и грамотность
Я прочитал статью, была проделана большая работа, чтобы выяснить просто ШОКИРУЮЩИЙ ФАКТ. ПРИЛОЖЕНИЯ ЧЕКАЮТ VPN. Прикиньте? Вот это да. Можно было не вскрывать для этого исходники, а, например, ну не знаю даже, просто увидеть плашку на каждом втором приложении в России, что c VPN приложение может работать нестабильно (мы в Леруа тоже такое делали). Вот это да, вау, шок сенсация. На этом, в принципе, со статьей можно и заканчивать
Но меня интересует какая шизофрения творится у некоторых малолетних дебилов (с) в голове. То есть, я правильно понимаю логику
а) Люди готовы ставить openclaw и давать ему доступ к медицинским данным/банковским счетам/доступам к дому
б) Люди готовы запускать домой иностранные робопсины чистящие с камерой и микрофоном, которые ездят по дому и тд
в) Люди фоткаются сидя на унитазе в приложение ТБанк (недавно новость была, где просили так не делать ибо отбивает аппетит и менеджеров)
г) Люди смотрят порно с телефона у которых камера на фронталке может буквально увидеть спираль у вас в матке (такое у нее хорошее разрешение)
д) Люди готовы ставить себе какие угодно VPN сделанные буквально Васяном на коленке, за просмотр 10 рекламы казино и не думать, а откуда берется профит у создателя
НО Б***Ь ОНИ С**А ПЕРЕЖИВАЮТ ЧТО КТО-ТО Б***Ь ПРОЧИТАЛ ИХ ПЕРЕПИСКИ?
Так да это работает? Я хз, я уже много писал про технологическую сингулярность, но еще больше меня пугает наложение технологической сингулярности и какой-то беспросветной тупости и безграмотности
Уровень развития среднего гомосапиенса в цифровой среде - что-то типа безграмотного румына в ауле, который даже говорить не умеет. Вот это реально вызывает беспокойство
Вы зачем сюда этот кал принесли? Автор сего опуса даже не разобрался в чем дело-то вообще, он натурально сравнивает детектирование split tunnelling’а с выявлением адресов прокси что проворачивает Макс с безобидными плашками про VPN в приложениях которые используют системный API Android и позволяют узнать только что в системе есть какой-то TUN-интерфейс. И при этом ещё мнит себя «экспертом» и оскорбляет окружающих.
А еще он огульно утверждает что все делают а) б) в) г) д) из его списка, хотя по факту большинство здесь присутствующих это не делают. И это вообще смешно. Читать таких «икспердов» - себя не уважать.
Ну откуда Вы знаете что он знает что не знает? По мне это или определение vpn через системную функцию андройд, или выявление адресов прокси похожи, просто второй вариант позволяет выявлением адресов прокси
Вангую остальные месседжеры +/- также себя ведут, но это Вас конечно но же не парит))
А еще он огульно утверждает что все делают а) б) в) г) д) из его списка,
Я могу называть Вас п***болом?
Потому что он этого не говорил
хотя по факту большинство здесь присутствующих это не делают
Вот насчет этого у меня сомнения, вы слишком хорошего мнения о людях на хабре, такие статьи с плашкой простой и домохозяйки читают
Ну откуда Вы знаете что он знает что не знает?
Из того что он сам же и пишет, если бы он знал - чушь бы не писал
определение vpn через системную функцию андройд, или выявление адресов прокси похожи
Вообще ничего общего ни в механизме работы, ни в том к чему такой сбор данных может привести.
Вангую остальные месседжеры +/- также себя ведут
Проведите разбор и докажите. У клиента той же Телеги открытый код и есть reproduceable builds, и там такой херни не нашлось. А то что WhatsApp такое вдруг зачем-то может делать - без разницы, ибо в отличие от Макса он крайне маловероятно сливает данные в РКн, а *комнадзорам других стран эти данные бесполезны.
Потому что он этого не говорил
Читайте внимательнее и между строк
|| вы слишком хорошего мнения о людях на хабре
так вы это мнение и портите
ШОКИРУЮЩИЙ ФАКТ. ПРИЛОЖЕНИЯ ЧЕКАЮТ VPN.
Нет, не просто чекают впн. Просто чекать впн - это системная функция андроида. А вот чекать какой конкретно впн используется, успешно ли используется, обходятся ли блокировки - это как раз интересное поведение, позволяющее выявлять все эти обходные пути. Зачем? Нууу... Мало ли, потом пригодится...
НО Б***Ь ОНИ С**А ПЕРЕЖИВАЮТ ЧТО КТО-ТО Б***Ь ПРОЧИТАЛ ИХ ПЕРЕПИСКИ?
В данной статье нет ни слова про чтение переписок. Возможно, Алексею Гладкову стоит внимательнее и до конца прочитать статью.
Нет, не просто чекают впн. Просто чекать впн - это системная функция андроида. А вот чекать какой конкретно впн используется, успешно ли используется, обходятся ли блокировки - это как раз интересное поведение, позволяющее выявлять все эти обходные пути. Зачем? Нууу... Мало ли, потом пригодится...
Через макс люди на госуслуги заходят, там должна быть безопасность на уровне банковских приложений и выше. И да чтобы всякое говно не лезло нужно точно знать откуда оно лезет, поэтому да правильно делают.
Я помню как через другие мессенджеры всякий мусор звонил + миллион спама приходило, в т.ч. через телеграмм
В данной статье нет ни слова про чтение переписок. Возможно, Алексею Гладкову стоит внимательнее и до конца прочитать статью.
Согласен, но просто вначале появления макс 99 всего хейта было в том что теперь не госдеп и масад будет читать твою переписку, а фсб.
+ его сообщение не относиться исключительно к этой статье
Через макс люди на госуслуги заходят, там должна быть безопасность на уровне банковских приложений
Вообще-то это всё можно (и нужно) делать на сервере услуг (пардон за масло масляное).
Я помню как через другие мессенджеры всякий мусор звонил
Мне в некоторые дни по мобильному телефону звонят по 8 раз. Что с этим будем делать? Запретим мобильные звонки? Или рано еще?
Чтобы не быть голословным
Через макс люди на госуслуги заходят, там должна быть безопасность на уровне банковских приложений и выше. И да чтобы всякое говно не лезло нужно точно знать откуда оно лезет, поэтому да правильно делают.
Ну, да, вместо того, чтобы сделать свое туннелирование, шифрование, протокол, давайте просто другие запретим!
Я помню как через другие мессенджеры всякий мусор звонил + миллион спама приходило, в т.ч. через телеграмм
Сейчас уже в новостях описаны случаи того же мошенничества через мах. Когда будем мах блокировать?
"Однажды инженер Чжа Вынь обратился к Учителю:
- Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание полиции. Учитель, что вы об этом думаете?
Инь Фу Во ответил:
- Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими его тела принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Поэтому «честному человеку» есть, что скрывать. "
В РФ реверс официально законен. Можно завести Гидру, зареверсить и показать доказательства. Кажется сейчас уже есть ИИ-средства для реверса, которые сильно ускоряют процесс.
Можно завести Гидру, зареверсить и показать доказательства.
Мысленно представил диалог
Юзер: Зачем вы это сделали?
Разработчик:
А что можно предъявить этому МАху? Что он шпионит? Так наверняка в соглашении прописано разрешение. Что использует трафик и ресурсы устройства пользователя в своих целях? Так тоже наверное прописано. Нечего предъявить, кроме разве что того, что на нас клали большой металлический болт.
Господа, есть какой то список российских приложений для андроида? Чтобы в sing-box через правила всё это сразу пускать прямо без дальнейшей обработки?
У sing-box для этого есть правило package_name, занести туда com.octopod.russianpost.client.android com.wildberries.ru ru.yandex.yandexmaps и тд.
И чтобы прям всё чему точно не нужен vpn, приложения банков, сервисы вк, сервисы яндекс, почта, гос услуги, маркетплейсы и тд.
Было бы хорошо получить полный список а то у меня ни макса ни вк не стоит.
В теории для того же sing-box можно сразу на гитхабе создать репозиторий и отдавать готовый srs файл.
Как будто бы VPN обычно не влияет на reachability сайтов...
Теперь ради поиска истины нужен такой же разбор любого приложения меты. Хоть вотсап, хоть инста.
Вы заранее уверены, что оно будет ходить на сервера условного ВК или TikTok?
Можно, а зачем? (c) В какой школе или каком госучереждении насильно заставляют ставить вотсап или инсту, а аналоги блокируют под предлогом защиты детей от мошенников? Остальные мессенджеры - свободный выбор взрослого человека кому ты хочешь сливать данные, а кому - нет. А эта балалайка - уже во многих местах требование, в тех же госуслугах вход по ватсапу или по максу?
то что какой-нибудь WhatsApp такое вдруг зачем-то может делать - без разницы, ибо в отличие от Макса он крайне маловероятно сливает списки адресов прокси и доступность заблокированных ресурсов в РКН, а *комнадзорам других стран эти данные бесполезны.
есть ли опасность, если поставить хам на отдельный старый прибор с iOS?
Андроид телефоны за пять тысяч предоставляют не меньшую опасность в плане блотвара
Спасибо за исследование, производит впечатление. Однако шок-контент не кажется таким уж шок-контентом. Точнее, шок не в этом. Поясню.
Если все это сделано ради того, чтобы просто проверить, используется ли на устройстве ВПН, то совершенно не обязательно быть мессенжером МАКС (с 1 марта запрещены названия на иностранных языках). Абсолютно любой сайт интернета (и мой, и vk.com) может в фоне скриптом попытаться скачать любую картинку (favicon.ico) с любого блокированного в России сервиса (facebook.com) и по результатам сделать вывод, работает у этого пользователя сейчас блокировка или нет. А государственный сайт вообще имеет возможность даже не гонять устройство пользователя за картинкой на Фейсбук (вдруг Фейсбук заметит и отрубит незнакомую активность?), а завести свой собственный подставной сервер abcd123test-vk-max.com и "разместить" его у Роскомнадзора в списке запретных, чтобы вообще вопросов у хакеров не возникало, куда он там стучится. На свой и стучится, имеет право.
Иными словами, проблема слежки с помощью мессенджера Макс конечно заслуживает исследования. Но по сравнению с возможностями всех прочих обычных сайтов Макс ничем не выделяется - они могут делать ровно то же самое, имея идентификацию пользователя и информацию о его возможности обходить блокировку.
Я уже не говорю о том, что факт включенного ВПН видит любой сервер просто по наличию иностранного IP у российского пользователя. Если ты ходишь в тот же vk или Яндекс трижды в день попеременно то из Чертаново, то из Амстердама, то серверу все про твой именной аккаунт понятно без всяких "шпионских приложений" и сложных проверок. Извините за правду. Сам в шоке :)
Если ты ходишь в тот же vk или Яндекс трижды в день попеременно то из Чертаново, то из Амстердама, то серверу все про твой именной аккаунт понятно
Именно поэтому делают раздельное туннелирование, когда впн используется для зарубежных сервисов, а на те же вк и яндекс заходят напрямую, без впн.
А разве какой-либо отечественный крупный сайт не может просто поставить на странице (или встроить в условный блок adsense) запрос к какому-либо зарубежному чекеру ip (может быть даже ими контролируемому), и затем отправлять эти данные куда им надо? При условии, что большинство людей не пользуются блокировщиками скриптов.
Интересно как это все будет работать, если использовать сплит туннелирование по приложению
Это если клиент на смарфоне. А если интерфейс поднят на роутере - сплмт тунеллирование сложно настроить на андроиде, но можно на винде))) Через QoS и DSCP, к примеру. а dscp выхватывать на роутере и по ним заворачивать
Это будет правильно работать. Не нужно весь трафик гнать через прокси. По хорошему все ru (особенно госы) должны идти на прямую. Ну или вариант со списками, тоже не должно направлять трафик куда не нужно но это скорее на компе, где сложнее с per-app.
Как раз их методика, описанная в статье, помогает детектировать использование впн даже для умной маршрутизации. Спасет только per-app туннелирование.
С чего это? У вас на VPN клиенте в туннель будет только трафик для доменов из списка идти, остальное на прямую. Не ну если у вас 1 правило, что все что не ru -> туннель, тогда да.
Для этого используется 6 внешних сервисов для проверки ip адреса, 3 российских и 3 зарубежных.
Вы же не можете в правила поместить все заблокированные на территории РФ ресурсы как минимум из-за:
Не существует публичного полного списка всех ресурсов, к которым применяется ограничения.
Этот список столь велик, что едва ли нормально поместится в оперативную память мобильных устройств, тем более на iOS
Так что вы вынуждены либо туннелировать крупными категориями, вроде "весь зарубежный трафик", либо каждый нужный вам ресурс вбивать в список вручную, что не реально из-за того, что так или иначе ограничивается доступ к сотням миллионов адресов, включая все самые крупные CDN (так называемая 16КБ блокировка).
Как раз их методика, описанная в статье, помогает детектировать использование впн даже для умной маршрутизации.
Да, в смартфоне логично использовать App-based Split Tunneling. Зачем делать что-то ещё? Ну, можно сделать ещё Site-based Split Tunneling для каких-то сайтов в браузере (хотя проще иметь отдельный браузер и первый механизм).
Я правильно понял, что умная маршрутизация — это список на роутере с ресурсами для обхода блокировок + средство обхода блокировок?
Описанный в статье механизм для выявления средств обхода блокировок (точнее, внешних IP-адресов, через которые такие средства обхода блокировок получают доступ к заблокированным ресурсам, потенциальный механизм, для чего он может использоваться, прямых доказательств, что используется, у нас пока нет) работает более-менее корректно только для случая постоянного включенного средства обхода блокировок. С небольшой натяжкой — для случая списков на роутере (если в такие списки попадает хотя бы один из 5-ти сервисов для определения внешнего IP, IPv6 — особый случай, вообще не ясно, как там корреляция проводится, как трафик пошёл, через IPv4 или IPv6).
Для справки, я проанализировал такие списки (несколько вариантов с разных сервисов, с разной степенью агрегации), только один зарубежный в некоторые попал, в те, что используются на практике, не попал ни один.
Получается, что этот механизм крайне ненадёжный. Это сделано или специально, чтобы его таким образом можно было замаскировать, например, под механизм бизнес-метрик, или это плохо сделанная работа (слабая постановка). Считать это реальным механизмом для выявления средств обхода блокировок на полном серьёзе в таком контексте недостаточно обоснованно (то, что на основании таких данных можно в какой-то степени решить эту задачу понятно). Можно было взять 100% заблокированные хосты, а не мерить деградацию Telegram / WhatsApp. На мой взгляд, тут второе.
Прямо краудсорс блокировок, даже если почти все будем такими умными с шелтерами и изоляцией каналов, даже 9 из 10, то достаточно и одного, чтобы спалить целый квн ресурс и всех на нём. Сделано подло, до гениальности.
Фух. Какое же счастье что этого нет в других продуктах ВК.
Таких как основное приложение VK, VK Музыка, VK Видео...
И очень рад что также это отсутствует в Госуслугах, приложениях банков, телефонных операторов и в электронных дневниках...
Я бы ни за что не потерпел слежки за моим VPN через который я смотрю на ютубе что за ошибка на стиральной машинке вылезла.
Провел эксперимент на Pixel.
На смартфоне КВН включен и Ютуб работает.
В частном пространстве доступа к Ютуб нет. Получается что частное пространство использует свое подключение.
они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление*
Куда им с голыми пятками, да против шашки-то))) Взял, удалил, и более никогда не стааишь этот хлам на основной смартфон. По ходу, этот мусор можно ставить только на второй смарт с LineageOS под контролем, доступ в интернет ему давать исключительно с симки. И отключить наглухо все остальные радиомодули ему, включая GPS.
а реверс телеграмма и других мессенджеров выкатишь или "там-то у них вообще все секурно"?
Их даже реверсить не надо - у клиента ТГ в отличие от Макса открытый код и даже есть reproduceable builds. Их код натурально уже тысячи человек глазами и нейросетями просмотрели и ничего подобного не нашли.
И уж тем более они своих конкурентов на государственном уровне не блокируют и на свои продукты административными методами население не загоняют.
На телеграм не пересаживают из под палки. Хочешь - пользуйся, не хочешь - не пользуйся.
А есть ли готовый образ VM с андроидом для запуска в KVM\ProxMox чтобы в нём можно было запустить маха (ну и подсунуть данные оператора, гео и тд)
Мессенджер собирает данные о сети — ну пусть собирает. Зачем удалять?
Вся суть в том что и как он собирает. Тем более зачем он собирает эти данные о блокируемых/ограниченных ресурсов на территории РФ?
Мессенджер собирает данные, которые ему не нужны для нормальной работы, но будут использованы для выявления и блокировки частных vpn/прокси серверов. Поэтому надо не только «удалять», а еще и настоятельно уговаривать окружающих удалить его.
Эти данные используются для блокировки VPN сервисов.
с телека, видимо, vk video надо тоже снести
Пока моя статья на модерации я просто хочу оставить это здесь: https://vestivlg.ru/news/society/utechka-v-messendzhere-max-lichnye-foto-polzovatelej-okazalis-v-otkrytom-dostupe.html
Трекает статистику, не совсем красиво, конечно.
Но если отринуть все «системоборствующие» и «rеволюционные» нарративы - какой негативный импакт на конечного юзеров то?
Пресс службе МАХ верить нельзя. Она не заслуживает доверия
РКН по своему похоже видит ИИ для блокировки впн.
Если посмотреть на сухие факты из написанного, мы имеем подозрительные (не факт, что плохие, а именно подозрительные) запросы от мессенджера.
Далее, с моей точки зрения, чтобы добавить к статье немного научности, можно провести сравнение аналогичной информации с другими приложениями, как то: упомянутые телеграм и вотсап, инстаграм, тик ток и тд и тп (хотя бы с несколькими для репрезентативной выборки). Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
Правильным действием было отправить об этом вопрос команде Max, а вот оставлять его без комментариев нехорошо, он как то влияет на Ваши выводы и рекомендации, например, по удалению и призывам к этому?
И последнее, по поводу совета удалить Max после проведенного реверс инжиниринга: если окажется, что другие мессенджеры или приложения делают похожее, автор обязуется призывать всех знакомых удалить их тоже?
Далее, с моей точки зрения, чтобы добавить к статье немного научности, можно провести сравнение аналогичной информации с другими приложениями, как то: упомянутые телеграм и вотсап, инстаграм, тик ток и тд и тп (хотя бы с несколькими для репрезентативной выборки). Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
Ачтонасчетизм? Ни один из этих продуктов не является ни государственным, ни окологосударственным и уж тем более никем не навязывается. И да, глупо думать, что такие исследования не проводились, учитывая открытость исходного кода клиента Телеграм, к примеру.
Правильным действием было отправить об этом вопрос команде Max, а вот оставлять его без комментариев нехорошо, он как то влияет на Ваши выводы и рекомендации, например, по удалению и призывам к этому?
Правильным действием было бы сначала прочитать статью, а потом ее комментировать. В конце статьи буквально есть ссылка на ответ команды Max.
автор обязуется призывать всех знакомых удалить их тоже
Да, сразу же, как только кто-то начнет обязывать их ставить и это сможет оказать влияние на мою или их жизни.
А вообще - провокация достаточно дешевая.
Если посмотреть на сухие факты из написанного, мы имеем подозрительные (не факт, что плохие, а именно подозрительные) запросы от мессенджера.
"...опять эта проклятая неопределенность" (с)
Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
проверяет ли вацап доступность серверов скама для америанского ркн? могу попробовать угадать ответ с трёх попыток.
Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
Телеграм и Ватсап такие запросы не посылают
если окажется, что другие мессенджеры или приложения делают похожее, автор обязуется призывать всех знакомых удалить их тоже?
Если эти приложения подконтрольны или имеют отношения к структурам государства, резидентом которого является конкретный человек - то безусловно да. Поэтому у если условный Ватсап будет делать прям вот такое, то россиянам его удалять нет особой нужды, а американцам уже стоит.
..
есть признаки того, что планируется приделать к нему полноценный модуль выполнения команд с сервера.
..
Т.е. если этот функционал допилят (а скорее он уже готов), то приложение превратится в удаленный терминал. Это значит, что сервер сможет динамически отправить команду телефону сделать практически всё все что угодно (например, записать аудио или сделать фото), а не только собирать статистику автоматически.
Автор молодец. Я видел логи МАХа месячной давности там народ мониторил через прокси куда этот троян обращается. И там все эти подключений к телеге и ватсапу было очень много и активно. Там не было разбора трафика - только IP адреса. Еще заметил код приложения причесали спрятав все компрометирующее. Пару недель назад решил посмотреть изменения по сравнению со старыми версиями и оно значительное.
Я бы даже не спорила, шпионский это модуль или очень умная диагностика. Сам факт, что приложение собирает vpn-флаг и ходит проверять телегу с вотсапом, уже ломает доверие в ноль. У мессенджера и так куча доступа - контакты, уведомления, сеть, фон. Если туда еще добавляется удаленно включаемый сбор сетевой картины, то это просто другой класс софта
Приложения в shelter/knox/двойном профиле в случае vpn в котором нет раздельного туннелирования или оно выключено работают точно так же как и приложения просто установленные на телефон.
А если ваш vpn умеет раздельное туннелирование, то можно просто для СКАМ отключить хождение через vpn.
А какой список адресов минимально необходимых для работы Скама и только российских. Задача для Скама на выделенном телефоне. В роутере разрешаем только Скамовые адреса . Все остальное для данного телефона , устройства со Скамом в блок.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Месседжер MAX следит за пользователями VPN? Реверс инжиниринг говорит — да (добавлено обновление)