Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 860
Закреплённые комментарии
могу подтвердить все то же самое на гостовской версии отсюда https://download.max.ru/android/release/gost/MAX...apk
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram. Вероятно билд подготовили после вчерашней статьи.
Но тем не менее из кода они не удалены, класс называется on7.
Модуль целиком отключен не был, в нет отключили только часть, отвечающую за Telegram и WhatsApp. Предыдущие версии будут отправлять эти запросы.
Так же актуальная версия ГОСТ с официального сайта так же содержит этот код.
Было бы интересно выполнить аналогичную проверку по другому гос. и около гос. (VK, Yandex) софту, например из рустора. А также по "отечественным" ОС, типа Астры.
Согласен. Если яндекс ещё вряд-ли, то вк буквально та же контора
При установке Яндекс Браузера под Win, он внаглую "крадет" все данные предыдущего браузера (в моем случае Chrome): вкладки и - внимание - логины и пароли. Возможно еще платежные данные берет и историю посещений сайтов (почему бы и нет, раз лежит?). Причем делает это совершенно самостоятельно, БЕЗ ЗАПРОСА. Куда потом уходят все эти данные? Почему какое-то приложение решило, что оно может спокойно брать данные ДРУГОГО ПРИЛОЖЕНИЯ? Причем совершенно без запроса на то разрешения. Причем максимально ЛИЧНЫЕ ДАННЫЕ, личнее не бывает.
После такого откровенного гоп-стопа я опасаюсь пользоваться ЛЮБЫМ приложением от некогда уважаемой компании.
Тут скорее надо задуматься, почему данные хранятся в таком виде, что их любой может взять.
А в каком должны? Сейчас, практически все браузеры строятся на одном и том же Chromium, так что...
Я не в курсе этих ваших виндовых заморочек.
Какой-же ты смешной...
Можно подумать, что не в винде хромиум какой то другой)
Лично я пользуюсь Safari, но предполагаю, что хромиум обращается к хранилищу ключей на общих основаниях.
"не в винде" обычно файловое пространство разграничено между приложениями на уровне ОС. А в винде файловое пространство - общее. Это наследие далеких 80х и 90х, когда приложения строились на других принципах.
Ubuntu такая: "о, я теперь винда, что ли"?
Если компьютер нужен чтобы работать с информацией, то, внезапно, однозначной связи между приложением и данными не существует - у меня вполне рутинна ситуация, когда конкретный файл открывается тремя-четырьмя разными программами.
Согласен!
Я не говорю, что все файлы должны быть привязаны только к своему приложению. Но некоторые точно должны! Файл хромиума с логинами-паролями - это один очевидный пример. Тут вина тех ОС, которые не предоставляют API приватного хранилища данных.
Я полагаю, со временем все к этому придут, и линуксы, и винда
это проблема только если это происходит в фоне. тогда надо явно давать доступ. а если открытие ручное то вызывается системное меню и пользователь сам выбирает файл и приложение имеет доступ только к выбранному файлу.
Неверная логика. Если конкретный камень мокрый, это не значит, что все камни мокрые. а всё мокрое - камни
Принцип, что некоторая информация лежит открыто и каждый может её получить, а некоторую лучше приберечь, человечество изобрело тысячи лет назад. С подключением
Забавно, сначала гугл запихивает свой браузер куда попало чтобы можно было как раз обойти ограничения ос и установиться с любой ***ней лишь бы попасть на компьютер пользователя, а потом такие вопросы - а кто это сделал? (с). Не смешивайте мягкое с теплым. Сам хром является вирусом для винды и я его со дня создания не переношу
Не знаю как это делается в виндах, но у меня KWallet запрашивает явное подтверждение буквально для всего
Если по десять раз на дню вводить пароль, то в итоге на автомате введёшь его куда-нибудь не туда.
Необязательно пароль; ручное подтверждение.
Реализовать UAC из пространства пользователя? Или же интегрироваться с keychain/его аналогами.
прчем здесь уак ?? :) да и зачем это некрософтово поделие ?? лучше уж какойнить keepass
Затем, что требуется грамотная техническая реализация, а не театр безопасности. Это отчасти и причина того, что браузеры не заморачиваются с огораживанием их хранилища. Но, как пример, у Firefox есть мастер-пароль для расшифровки сохраненный паролей.
какойнить keepass
Ответ: кейлоггер на него.
она есть он только в линухе :) к примеру хром использует системное хранилище линухи. мне приходилось ставить seahorse чтобы упростить работу хрома.
Ну кстати - у Chrome c некоторых пор защита от доступа к cookie (а люди ее откручивают для полезных(им) целяей) https://github.com/yt-dlp/yt-dlp/issues/7271
https://github.com/yt-dlp/yt-dlp/issues/7271#issuecomment-1588197148 (если не откроется: от mbway, Jun 13, 2023)
Не очень похоже на защиту. Защиту от дурака -- может. Я примерно так и подумал, что там пока файл открыт, к нему эксклюзивный доступ только.
del
Если пароль уникальный, то тому кто сидит на другом конце этого самого не туда, еще надо отдуплить от чего пароль и какой там логин)) При условии, что у него нет доступа к Вашей машине и экрану в частности)))
Из фаерфокса ябраузер тоже всё тащит, хоть фаерфокс и на другом движке.
Только из яндекса так данные не потянуть, если ты установил пароль на менеджер паролей)
Пароли должны храниться в зашифрованном виде, для этого придуман мастер-пароль и шифрование паролей. Браузер должен это уметь. Иначе они вытаскиваются любой софтиной как автоматически, так и вручную.
Много лет назад меня шокировало что приложение-браузер лезет перехватывать звонки (а значит шлет на сервер инфу), хоть и под видом борьбы со спамом, но кто просил браузер это делать?
Ну когда вы ставите новую версию хрома, то технически это новое приложение (теоретически может уже быть сделано новым юр. лицом даже), вас же не удивляет что он подхватывает старые настройки.
ID тот же, сертификат разработчика тот же.
Скорее всего это общее поведение всех браузеров на базе Chromium. Но это не снимает вопрос почему данные хранятся так что легко доступны.
Скорее всего это общее поведение всех браузеров на базе Chromium
Большинство других форков Chromium спрашивают перед этим разрешения у юзера
Да, запрашивают перенести все данные в оболочке, видимой пользователю. А что они на самом деле делают без нашего спроса, мы не знаем. Они сначала получают доступ к данным, потом запрашивают, нужно ли их сохранить в новом браузере. Но при этом доступ и так имеют.
В DPAPI можно добавить энтропию для ограничения доступа к секретам в контексте пользователя, но тогда антимонопольщики в ЕС могут возбудиться.
Ещё это бывает полезно для yt-dlp, чтобы руками не выгружать куки от Ютуба.
чтгобы импортировать в другой браузер? есть же такая функция когда открываете вновь установленный. Это же еще фишкой является)
Bitwarden наше все.
Почему какое-то приложение решило, что оно может спокойно брать данные ДРУГОГО ПРИЛОЖЕНИЯ?
Потому что может.. Вообще это огромный минус используемых операционок, по хорошему все приложения должны выполняться в своей полностью изолированной среде, и общаться с внешним миром исключительно через системные запросы, которые любую такую "шпионскую" деятельность блокируют просто по умолчанию.
Да это скорее проблема винды.
Которая даже в ней скорее решена, чем нет, но приложения этим не торопятся пользоваться(
В других ОС такой проблемы нет?
В мобильных, насколько мне известно, нет. Все приложения изолированы друг от друга, у каждого своё приватное хранилище. Доступ к общим файлам (фотки, музыка и т.п.) только через запрос разрешения у пользователя.
В десктопных всё очень плохо. Что винда, что линукс (да и макось скорее всего, но это не точно) из коробки никак не изолируют и не контролируют работу приложений. Приватных зон, доступных только конкретному приложению, не предусмотрено.
Макось ЕМНИП изолирует, если приложение из апстора получено, там появляется система разрешений почти как на мобиле. Но тут палка об двух концах, с одной стороны полезное дело, с другой вместо ноутбука мобильник с клавиатурой штука очень такая себе. Благо, пока что эти проверки ещё отключаются.
На макоси доступен Keychain (надежное хранение секретов) и Hardened Runtime (невозможность вмешаться в процесс приложения), которые в целом повышают безопасность не в ущерб пользователю
Еще есть песочница, но она скорее ограничивает само приложение, нежели доступ к его файлам (то есть приложение в песочнице не сможет читать чужие файлы, но его собственные файлы будут доступны в ~/Library/Containers)
И пользоваться этими фичами могут не только приложения в сторе, но и любые сторонние, и разработчики нередко их включают (а если хочется, то и сам пользователь может обернуть в песочницу какое-нибудь "подозрительное" приложение, правда придется немножко вникнуть в этот вопрос)
Речь про десктоп.
Комментарий выше сформулирован так, что это проблема Windows, но я вот тоже вижу, что другие десктопные ОС имеют ту же проблему.
В macOS ни одного браузера в AppStore не видел и меня эта ситуация с отсутствием защиты напрягает. Песочницу видел, что можно организовать, но надо вникать и простого и удобного интерфейса к ней нет, как я понял.
Я поставил Мах на GrapheneOS. Так вот, оно не запускается. Почитал лог. Происходит попытка записи в область памяти за пределами песочницы. ОС не дает это сделать.
Но если принудительно поставить для приложения галочку "Exploit protection compatibility mode", то Макс запускается. Эксплоит это или ошибка кода не понятно.
И не понятно почему на обычном Андроиде не срабатывает исключение.
Так пк/ноуты и смартфоны - это в принципе устройства разного характера пользования. Смартфоны давно стали, во-первых, устройством сугубо личного пользования, во-вторых, нередко средством личной идентификации, в-третьих, это еще и терминал для банковских и прочих финопераций. Ну и вообще, смартфонов куда больше, чем ПК) Так что отсюда и политика изоляции всего и вся.
в-третьих, это еще и терминал для банковских и прочих финопераций.
Кажется почти все мимо.
Если в семье несколько любителей компов, то свой системник/ноут есть у каждого, чтобы попами не толкаться
Тут конечно кривой СМС второй фактор, не попрешь почти никуда, кроме ТОПТ который ставится легко куда угодно, а токены точно проще воткнуть в системник, чем в смарт
Банковские и фин операции - вот что очень хочется оторвать от смарта. Раньше как просто было - встретили тебя в темной подворотне - остался ты без кошелька, часов и телефона. И даже потеря кредитки не сильно страшит, так как с мобильными терминалами тебя не встречают, и под камеры к банкомату обычно не тащат. А теперь и смарт разблокируешь, и денежки переведешь. Причем и зарплату с дебетовки, и депозиты закроешь и сбросишь, и с кредитки тоже.
А теперь и смарт разблокируешь, и денежки переведешь. Причем и зарплату с дебетовки, и депозиты закроешь и сбросишь, и с кредитки тоже.
Есть страховка (от мошенничества и противоправных действий). Да, не очень дёшево, но сами посчитайте, основные риски закрывает. Также, желательно инструмент для управления крупными накоплениями и инвестициями с собой по подворотням не таскать (можно завести отдельный смартфон, с собой носить платёжный инструмент, к примеру на таком смартфоне только МИР-пей с картами, у которых установлены жёсткие лимиты).
Есть какой-то рост подобных преступлений (гоп-стоп с раздеванием через смартфон)? Или вы просто гипотетически страху нагоняете? ;)
Если в семье несколько любителей компов
Есть семьи вообще без компов, а вот телефоны имеются практически у всех, и у большинства - смартфоны.
Во-первых, это даст огромную власть в руки изготовителей ОС (Google, Microsoft, Apple). И чем оно лучше? Все как-то забывают, что они ничуть не белее и не пушистее, чем Яндекс.
Во-вторых, хоть нонеча и не то, что давеча (раньше было хорошим тоном писать приложения вокруг HWND, и можно было менять в чужих приложениях почти всё, что хочешь), но пока ещё Trampoline'ы и прочие инъекции .dll в чужое адресное пространство никто не отменял, благодаря чему работают всякие ExplorerPatcher и OpenShell. Из-за того, что недалёкие люди ставят себе левые браузеры, мы, значит, должны остаться без этих и им подобных штук? Спасибо, но нет.
В Windows яндекс устанавливает dll, которая аттачится ко всем сетевым процессам, Adwcleaner от Malwarebytes находит его при простом быстром скане памяти как опасный adware. При удалении сканеру приходится завершать Все сетевые процессы, в том числе VPN, чтобы этот модуль выгрузить. Может быть на досуге разреверсит кто, думается там троянец или стиллер.
Яндекс.Бар чем-то напомнило...
Интересно, странно что это нигде не освещалось
ну не зря же они купили у били outpost firewall
Кстати, интересно как тот же воцап обращается к сети. Пытался его траффик отправить на другой маршрут через dscp метку, а в process explorer он внезапно не проявляет сетевой активности, видимо, через какой-то прослойку в системе uwp приложений.
Под Lin тоже самое.
Поствил ябраузер для доступа к госсервисам.
При первом же запуске по собственной нинциативе и без лишних вопросов радостно скопировал из хрома как букмарки, так логины/пароли к сайтам.
Был неприятно удивлён.
Благо, что никогда не сохраняю чувствительной инфы в браузерах.
Правда, это было ещё до введения гуглом шифрование в password manager, как сейчас ситуация не знаю.
Используйте Flatpak для всякого мусорного ПО.
Здесь у меня больше претензия не к ябраузеру (глупо злится на волка за то, что он действует как волк), а к хрому. Я до того был уверен, что под линухом он хранит пароли хоть с какой-то защитой, в linux keyring например, а не просто в открытом виде.
Ещё стоит поставить Flatseal, чтобы все лишние разрешения убрать
Я тоже был удивлён, когда он автоматически скопировал у меня все данные с Хрома!)
Вы храните пароли вбраузере? А о Bitwarden итп ничего не слышали?
Windows 11 имеет несколько инструментов для запуска в "песочнице". В какой-то момент даже сам Microsoft, насколько я помню, рекомендовал именно браузеры запускать с использованием песочницы. Однако по умолчанию процесс в Windows практически ко всему имеет доступ, невзирая на более-менее управляемые ограничения к части API с подтверждением пользователем. Но т.к. оно обходится довольно просто, то считаем, что по историческим причинам запуская что-то в Windows мы потенциально даём неограниченный доступ ко всему в системе (наверняка где-то уже опубликован эксплойт, который будет исправлен обновлениями через полгода, культура разработки у нынешних microsoft характерная для современного мира).
А Firefox умеет шифровать хранилище менеджера паролей. Насколько это надёжно — сложно сказать. В каких случаях он применяет шифрование, а в каких нет — ну скорее-всего при использовании Master Password новые записи он шифрует, но лично я не проверял это поведение. Иногда он требует аутентификацию Windows для доступа к паролям, иногда при схожей конфигурации — нет. От чего это зависит лично я не понял. Как-то сравнивал 2 рабочие станции: обе с идентичной системой, в обеих FF установлен под пользователем из AD без прав локального администратора, но в разное время. Политики не менялись, но один инстанс требует пароль текущего пользователя, второй — нет. Углубляться не было возможности.
Еще Microsoft Edge "крадет" из Chrome все закладки и пароли. Тоже возмутительная практика.
Яндекс браузер по этой же причине опасаюсь устанавливать.
А когда это Яндекс был уважаемой компанией? Когда его брауйзер был еще младенцем, если кто то неосторожно его установил, то проще было переустановить винду чем почистить систему от него. Уже тогда стало понятно, что все поделия этой конторы нужно обходить десятой дорогой.
Ну хром в те времена был такой же. Ну и макафе антивирус в их компании.
Конда зарождался яб - тогда вообще были дикие времена бурного развития веба в общем и браузеров в частности) Хром тогда тоже борогозил активно, а еще всякие webalta, земля ей стекловатой, и прочие тулбары)))
З.ы. досталась, кстати, недавно от сестры машинка, коллега с работы отдала, на базе атлона 4400+, radеon 2600 и прочих рудиментах из вернитемоего2007го)) На машинке стояла зверевская ХР, забитая хламом типа мэйлруагентов и т.п., которая грузилась минут 5, пока я ее не почистил)) Запустил местный файрфокс, и тулбаров там понаставлено на полэкрана, включая пресловутую вебальту))) Вот прям в жесткую ностальгию с головой окунуло, чуть не захлебнулся))))
А можно такой же просто способ скопировать логины и пароли для Chrome под Windows в другую Windows ? А то в последних версиях хрома простое копирование папки хрома на свежеустановленную винду приводят к сбросу всех паролей в хранилище хрома, копируются только вкладки.
Яндекс Маркет прям пишет "и за VPN могут быть ошибки". Хотя клиент VPN настроен так чтобы ЯМа напрямую шла
Так он просто проверяет, включён VPN или нет, в самом андроиде.
в статье автор написал , проверка что запущен ли VPN - это функция api android , любое VPN или сниффер(делается якобы впн шлюз а внутри анализатор траффика) приложение должно быть зарегистрированно с определенными правами в системе (таким образом их можно увидеть в разделе VPN настроек телефона), потому что иначе пришлось бы давать права root для работы vpn
Было б интересно по-мониторить куда Яндекс-метрика отправляет свой код - только ли на сервера в зоне ru или может и не только!
И сам rustore надо бы тоже проверить
Для мобильного софта занятие полезное кстати. Чем больше таких разборов будет появляться на Хабре, тем сложнее будет разработчикам встраивать "зонды" под видом "улучшения качества сервиса"
Вк даже не скрывает, что видит твой впн, он сам просит его отключить когда заходишь.
Да и по самому рустору
Недавно я впервые для себя открыл рустор, потому что его навязывал банк, не давая как раньше скачать и установить апк. В настройках рустора располагается антивирус касперского, который сканирует систему. Я думаю, тут даже исследовать ничего не нужно, и так всё понятно.
Штатными средствами отключил все возможные права и фоновую активность. Наверное, было бы неплохо ещё как-то дальше пойти вроде всяких запретов через рут. Но пока не ковырял эту тему, потому что телефон не основной и только для приложений, которые требуют более-менее современный Андроид.
А что ж вы Sber не перечислили? А решили увести людей в сторону уже известных и много раз перечисленных угроз, чтобы ещё раз их повторить и чтобы другие приложения уже не воспринимались как угрожающие приватности. Вы засланный казачок!
100%, особенно основное приложение ВК стоит проверить, и Яндексовые сервисы.
+++ сбербанк втб и т.п. около государственные приложения тоже необходимо проверять, а так же всех тех кто получает поддержку от гос-ва, вкусно и точка и т.п.
Присоединяюсь к вопросу.
Я смотрю на Яндекс-клавиатуру. С одной стороны, она в Play Market, что, разумеется, ничего не гарантирует, но все же. С другой - идея встроить в клавиатуру кейлоггер кажется очень, очень богатой и логичной... Ну и - Яндекс, гм... Чем он отличается от ВК в принципе?
Яндекс не контролируется и не финансируется государством (#comment_29638668). Они частная компания, для них это крупный бизнес риск - если их начнут отменять как Макс, то они будут терять большие деньги. А VK и так убыточный на миллиарды долларов, их фактически финансирует гос-во.
Компания масштаба Яндекса просто не может быть нелояльной государству, - особо не афишируя свою лояльность, конечно. Иначе им просто не дадут работать и зарабатывать.
Чистое ИМХО, свечку не держал.
А Кудрин - не государственный?
Там репозиторий большинства проектов открыт для всех, сотрудников тьма, в том числе программистов со вполне обычным для Хабра политическими взглядами и опасениями.
Не могу понять как комментить, пишу свое мнение ответом в рандомный коммент.
Методика проверки (ping + tcp:443) это прямая проверка успешности блокировки ресурса на ТСПУ. ТСПУ не режет пинги, но ограничивает доступ к конкретным портам/протоколам.
Складывается ощущение, что мамкин программист поставил модель и начал разоблачать. У Роскомнадзора механизмы ограничения чуток посложнее, чем фаервол. Вся мысль неверна и выводы тоже не верны. Изучите работу DPI
Я так понимаю, что статью ты не читал, только выводы? Этот пункт в выводах написан косноязычно (возможно результат форматирования ИИ), приложение делает проверку не по tcp:443, а именно по https. Проверяется это легко даже без реверс инжиниринга - просто запускаешь дамп трафика на выходе из виртуалки, запускаешь приложение и видишь TLS client hello пакеты на эти хосты.
Вся мысль неверна и выводы тоже не верны. Изучите работу DPI
Автор знает как ТСПУ устроено. Я тоже далеко не со всеми его выводами согласен, но я вас уверяю он в теме и в том, что написал разобрался.
А ещё Госуслугам и каким нибудь Сберу/ВТБ
Вроде не секрет, что банковские и другие приложения, полагающие себя доверенными, выполняют проверку на подключение через VPN и просят его отключить.
Сбербанк и ВТБ с VPN работают нормально (если их через него не пускать, просто если он включен).
Никто и не опровергает что они работают, но они рекомендуют их отключить. И это совершенно правильно, потому что гонять финансовые данные через непонятный, потенциально левый "бесплатный" VPN не секурно ))
А через публичный WiFI секурно? Трафик банковских приложений априори зашифрован. Поэтому неважно какой используется транспорт.
Что такого несекурного в современных TLS, что делает его туннелирование через недоверенную сеть опасным? Ну, кроме возможности собрать некоторую статистику, что можно и без VPN сделать.
Это грубая техническая ошибка
Через самый ненадёжный канал связи можно установить полностью надёжное шифрованное соединение. Единственное условие безопасности соединения - доверенность начального и конечного устройств, что к впн не имеет никакого отношения. Его использование на безопасность передачи данных не влияет никак
А провайдерская сеть с ТСПУ конечно не "левая" и гонять по ней что бы то ни было очень безопасно.
Строго говоря, max тоже через впн нормально работает
Обычно они используют для этого нативный API устройства (не используя сеть) и не пытаются выяснить а что именно за впн и с каким адресами используется. Тем более не пытаются сравнивать российский и зарубежный ip адрес.
Это простая проверка системного флага в Android и iOS, которая только показывает статус VPN on/off, без конкретики. Было бы интереснее разобрать сетевой трафик, проверяют ли они доступность зарубежных хостов.
Довольно таки дурацкая проверка. У меня установлен файервол, который работает через VPN. Т.е. по факту vpn нет, но этот флаг выдет что есть. И приложения просят его отключить. Но отключить файервол такое себе с точки зрения безопасности.
Основной смысл этих предупреждений - маркетинг не хочет, чтобы гои блокировали рекламу и трекеры, ибо так сложнее лутать данные и накручивать показатели показов для отчетности перед рекламодателем. На безопасность впн никак не влияет, ибо http никто сто лет как не использует, да и подмена сертов на чужие в нормальном приложении тоже работать не должна.
ибо http никто сто лет как не использует
Если ходить на сайты через ввод домена, то не факт, что браузер будет сначала пробовать HTTPS по принципу happy eyeballs. А если MITM заблокировал порт 443 и сайт не настроил HSTS, то придете вы на "неиспользуемый" HTTP под контролем злоумышленника. Просто: не указан протокол https://, то браузер в итоге попробует соединиться к http://
Это не так. Вернее, прямо наоборот: в первую очередь любой современный браузер попробует https как протокол по умолчанию. И только если безопасное соединение не поддерживается, он нарисует вам сломанный замочек, а скорее всего даже выведет полноэкранное предупреждение о небезопасном соединении
Чтобы попасть на современный сайт через http, нужно прямо этого захотеть - или сайт должен поддерживать только его
Это еще не говоря о том, что любой хоть сколько-нибудь важный сайт должен иметь HSTS.
"Поддерживать только его" что я и описал в случае с MITM. Не знаю, насколько настойчив Chromium, а в Firefox пользователь уровня "дальше-дальше-дальше" может вполне себе прокликать переход на HTTP: https://support.mozilla.org/en-US/kb/https-only-prefs#w_secure-site-not-available-page
С HSTS это невозможно. Если вы его на сайте банка не настроили - ССЗБ.
Поддерживать только его - значит, что незащищённое соединение невозможно в принципе. Тут и обсуждать нечего
А если сайт поддерживает https и http, пользователю придётся дать информированное согласие. Это как минимум перекладывает на него основную ответственность
И, тут уже не могу быть уверена, но разве Fallback на http существует в принципе? Мне казалось, что нет - при недоступности порта браузер вроде бы не прыгает на http самостоятельно.
А владелец сайта всегда может добавить его в hsts preload, кстати
На http вообще почти невозможно попасть и уже очень давно. Даже набирая руками хром будет на https редиректить сам прям.
И даже в случае, когда https сломан, попасть по http та еще задачка была.
по принципу happy eyeballs
Мне казалось, что этот принцип не про HTTP/HTTPS, а про IPv4/IPv6.
Это так не работает. Если https с левым сертом - все перестает работать, редирект в http никогда не произойдет. Более того, http:// надо вводить самому, чтобы попасть на такой сайт - это реально гемор при локальной отладке веб-сервисов.
Использует. Даже госсайты. А оператор внедрял (может и продолжает) треш рекламу в HTTP трафик.
Ещё у некоторых были приколы с перенаправлением на свои сайты, если тот, куда переходил абонент, выдал ошибку. Скажем, Tele2 при открытии (точнее, неоткрытии) чего-то по HTTP перекидывал на некий 404.services/404. Со своей рекламой, само собой.
Они это делают потому что их регулярно DDoSят из-за рубежа, а не потому что им хочется
Кого DDoSят, приложения в телефонах людей?
Вероятно имеется в виду, что в момент DDoS банки вынуждены блокировать заграничный трафик чтобы сохранить работоспособность, что автоматически лишает доступа тех, кто использует VPN.
А с какой радости, это стало проблемой банка, а не тех, кто использует VPN? Эта навязчивая "забота", мягко говоря, сильно раздражает. Можно, юзер сам решит этот вопрос, раз уж он знает, что такое VPN, как его ставить и использовать?
Даже официальные исследования показывают, что не менее 30% населения страны использует VPN. В числах это не менее 40 миллионов человек? Очевидно, что в текущее время многие из этих людей не всегда технически подкованы. Это могут быть, к примеру, чьи-то родители, которым дети установили VPN.
И для них связь между vpn и неработающим банком может быть не очевидна. Банк страхуется от ситуаций, когда в момент отключения зарубежной связности их call центры будут просто лопаться.
Я считаю, что пока это проверяется локально и никуда не стучит (или по крайней мере без подробностей), то это не является никакой проблемой.
У меня регулярно банки и опсосы "ругаются" на блокировщик рекламы AdGuard. Просят выключить VPN.
Каким боком банк к блокировщику рекламы ? О_о
Он небось тоже через сокет ВПН работает. Собственно вроде это штатное место модификатора трафика в андроид.
Насколько я знаю, на андроид не существует иного способа завернуть трафик и фильтровать его, кроме как vpn. Без рут прав, во всяком случае
Он, как минимум, DNS-сервера подменяет. Как максимум – работает как туннель.
У меня регулярно банки и опсосы "ругаются" на блокировщик рекламы AdGuard. Просят выключить VPN.
У меня rutube регулярно просит выключить VPN. А у меня его нет. Я просто тут живу!
(Нет, я не смотрю соловьиные трели на тытрубе — мне просто иногда знакомые линки на взглянуть присылают.)
Как минимум один крупный банк имеет два варианта предупреждения про VPN:
просто панелька что может мешать (показывается насколько помню если с точки зрения андроида - VPN есть)
блокирующая панель отключите VPN - показывается если нет связи с авторизационным сервером, там даже кнопка есть "отключить" (отключают через подъем своего фейк VPN)
Да, приложения же просто работают на телефоне и им вообще не нужен бэкенд. Ну просто магически получают данные с БД и транслируют на экран.
Не только банки, но и МТС с Мегафоном, к примеру приложения сотовых настойчиво рекомендуют его выключить под эгидой: "Отключите частную приватную сеть что бы вас все работало хорошо"
А проверяют как заметели выше через android api
С операторами понятно: сейчас и операторы, и телефоны поддерживают VoIP, который по VPN не стоит гонять. И если погуглить, то реально встречаются проблемы, когда на телефоне операторский VoIP трафик начинает (пытаться) маршрутизироваться через VPN, не всегда успешно.
Нужно либо маршруты настраивать, либо VoIP запрещать, но там сложно дать универсальную понятную обычному пользователю инструкцию.
внезапно как минимум Adguard/Adguard VPN случаи с VoWiFi - чинят (явно прописывая в исключения - см changelog'и)
У меня наоборот, из-за АДГ не работает во вай-фай
А их техподдержка - в курсе?
https://github.com/AdguardTeam/AdguardForAndroid?tab=readme-ov-file#issue
(примеры - https://github.com/AdguardTeam/AdguardForAndroid/issues?q=vowifi )
сейчас и операторы, и телефоны поддерживают VoIP, который по VPN не стоит гонять. И если погуглить, то реально встречаются проблемы, когда на телефоне операторский VoIP трафик начинает (пытаться) маршрутизироваться через VPN, не всегда успешно.
Как странно. Я на своем Samsung s24 ultra, как не пытался, так и не сумел этот трафик в VPN, который на этом же телефоне запущен, загнать. Очень хотелось включить VoWIFI на финской сим-карте, будучи в РФ. А так работать не хотел, потому что на Yota и Мегафоне IPSEC наружу напрочь заблокирован.
Ну опсосы понятно, им впн мешает трафик снифить.
Банки проверяют наличие активного VPN-интерфейса ради защиты от фрода и подмены IP при транзакциях (анти-отмывочные законы), стандартная практика. Но банки не пингуют телеграм и whatsapp в фоне, чтобы проверить доступность ТСПУ
подмены IP при транзакциях
IP банка? В таком случае любой кастомный DNS мог бы подменять IP.
Нет, IP пользователя.
А в чём смысл?
В логах банка будет: пользователь ххх из Никарагуа взял в кредит и перевел 100500 рублей.
Пользователь в суде потом: я никогда не был в Никарагуа.
Не факт, что ему это поможет, но банку сбор доказательств облегчит, что пользователь мошенник,а не просто у него украли креды.
Вопрос - А зачем банку знать откуда и зачем его клиент выполнил какую либо операцию, есть у клиента какие либо другие приложения (кроме банковского) или клиент для доступа к сети использует прокси/впн? Может это явно прописано в договоре клиента и банка? Технические аспекты (насколько вообще технически возможно получить такого рода реальную информацию) это вообще отдельный вопрос (например при наличии root/admin доступа у его клиента к устройству).
пользователь ххх из Никарагуа взял в кредит и перевел 100500 рублей.
Каким образом это можно осуществить, подменив IP клиента? В данном случае человек сам на себя по своему желанию должен этот кредит взять. Просто в банке отобразится, что он в это время был в Никарагуа.
Когда клиенты банков начали массово выигрывать суды с банками по поводу кредитов, которые эти клиенты не признавали, ссылаясь на мошенников, и довольно весомым аргументом было «я в момент оформления кредита находится тут, а по вашим логам кредит был оформлен с устройства, находившегося там», банки очень резко пересмотрели модель рисков. И Иванов Иван Иванович из Красноярска, проживающий по ул. Туркина, дом 9111991 квартира 7543272, совершающий финансово обязывающие действия с айпишника, находящегося «где-то в Сиднее» — риск-алерт. А что им ещё остаётся делать? Не многоступенчатые же проверки вводить, чтобы удостовериться в личности пользователя приложения (сарказм).
После того, как банки обязали пытаться следить за местоположением пользователя, ещё бы живущим за границей не использовать VPN (в Россию), заходя в банки...
Искренний вопрос, потому что не в курсе: а что с web-версией Max? Где-то пишут, что она является заменой приложению, где-то пишут, что не является. Стоит ли её использовать вместо приложения, например, во вкладке Инкогнито в браузере телефона?
На сайте каждый раз надо входить через скан кода из приложения
Ничего подобного, мне аппа на телефоне понадобилась только для регистрации. А поскольку клиент мне на телефоне не нужен даром, то пользуюсь веб -версией раз в 2-3 дня, за всё время она ещё ни разу не попросила заново залогиниться.
Подтверждаю подобное поведение Макса. А вот с ВК полгода назад в аналогичной ситуации ловил дикие проблемы - при каждом включении компьютера приходилось входить заново с qr-кодами, смс-проверками и танцем с бубном. Сейчас всё норм, но я уже не помню, после чего ситуация исправилась... возможно, после переустановки ОС.
Можете использовать в отдельном профиле хрома или файрфокса, режим инкогнито тут ни к чему.
веб-версия может так же проверять доступность вражеских ip
Вообще никак, там в любой момент может прилететь JS модуль который может сходить на разные адреса.
Помнится VK ещё при Дурове устроили DDoS (Аналогия LOIC) какого-то сайта на странице логина. И одно дело когда DDoS нужен и легко отследить источник. И совсем другое дело, когда надо собрать телеметрию.
Интересно бы ещё посмотреть, насколько форк лишён этого паразитного трафика?
Вот не пойму, все палятся с максом, не не стесняются отдать данные - форку?!
Это даже не форк, а фактически "репак" существующего приложения. Не факт, что там эти запросы вообще выпилены.
Ну и самая главная проблема - он жестко привязан с одной версии оригинального приложения и трудоемкость перенос модификаций на новую версию сопоставима с изначальной работой. Так что в какой-то момент этот репак обязательно умрет.
Ну в свое время сторонние клиенты на ВКонтач жили долго, как например VK Coffee. Я им лично несколько лет пользовался.
Если будет высокий спрос на такого рода репаки, будут и сами репаки.
+ тоже считаю тратой времени. Хотелось бы чтобы появились хорошие альтернативные клиенты типа kate mobile, в komet вообще не верю.
Уж лучше установить форк, как говорится "хуже уже не будет", а форк в некоторых случаях может быть интереснее своими функциями и интерфейсом, например мне нравятся более лаконичные версии любых приложений, без всяких "прозрачностей" и т.п. фишек.
Вы не понимаете, эТо дРугОэ
Интересно, а на какой адрес потом отправляется список сканирования, и можно ли в этот список заменить на 127.0.0.1, ну или еще какой-нибудь IP
Вероятно, в моде комментарием выше попробовали нечто подобное:
• Многие запросы переадресованы на 0.0.0.0;
В статье указано, что трафик смешивается с основным трафиком мессенджера и отправляется на api.oneme.ru, то есть заблокировать его отдельно не получится. Вероятно это сделано намеренно.
я больше думал не про бан конкретного адреса, а про изменеие конкретного запроса к этому api, ну то есть можно ли в условый (или что там у них за чудо протокол) POST api.oneme/id/<ip> накидать IP каких-нибудь, например 89.221.239.1
Для этого вам нужно подменить запросы к сервисам проверки ip, о которых говорится в статье, что будет крайне затруднительно из-за TLS. К тому же сегодня используются эти сервисы, а потом их могут поменять на другие.
Если буквально заимплементить протокол и слать туда левые ip адреса, то в этом никакого смысла нет, все равно заодно в базу будет записаны и ваши реальные ip адреса.
Блокируйте сразу Макс и компанию целиком, полумеры ни к чему. На NTC добыли список доменов, надо только следить за его пополнением, плюс по-хорошему отловить все голые IP, куда он может стучаться.
Eсли кто-то дополнит, будет хорошо.
0.0.0.0 calls.okcdn.ru
0.0.0.0 download.max.ru
0.0.0.0 gosuslugi.ru
0.0.0.0 help.max.ru
0.0.0.0 ip.mail.ru
0.0.0.0 ipv4-internet.yandex.net
0.0.0.0 ipv6-internet.yandex.net
0.0.0.0 max.ru
0.0.0.0 privacy-cs.mail.ru
0.0.0.0 top-fwz1.mail.ru
0.0.0.0 trk.mail.ru
0.0.0.0 api-gost.oneme.ru
0.0.0.0 fgost.oneme.ru
0.0.0.0 gov.ru
0.0.0.0 voskhod.ru
0.0.0.0 nuc-cdp.digital.gov.ru
0.0.0.0 nuc-cdp.voskhod.ru
0.0.0.0 ws-api.oneme.ru
0.0.0.0 oneme.ru
0.0.0.0 adstat.yandex.ru
0.0.0.0 mc.yandex.ruВ идеале конечно автоматизировать сборку списка куда-нибудь на Github, но для этого нужно держать постоянно виртуалку с актуальным Максом. И то, это будет работать, только пока они не раздуплятся, что виртуалку тоже можно отслеживать.
На Android можно перейти на клиент, который умеет в роутинг по приложениям. На IOS придется дергать туда-сюда VPN.
Кажется тут потерялся основной домен, с которым коммуницирует мобильное приложение - api.oneme.ru
Вопрос не по теме. Как на NTC теперь зайти, если туда доступ закрыли для адресов на IPv4, а IPv6 провайдер не предоставляет?
Используйте трехбуквенную технологию до провайдера, который предоставляет. NTC все равно заблокирован в РФ
Почти все выходные TOR-узлы умеют в ipv6
Есть зеркало - https://evgen-dev.ddns.net/ Правда оно периодически отваливается
Достаточно просто прописать в hosts его IPv4 адрес:
130.255.77.28 ntc.party
Война брони и снаряда. Можно и не виртуалку - самый типовой телефон с максом, подключенный через точку доступа со сниффером. Или два таких телефона. Простой робот из двух серв и сосиски вместо пальца будет постоянно переписываться с другим таким же роботом, для осмысленности переписку можно нагенерить через LLM, гигабайты переписки. Пусть котиков обсуждают и картинки друг друга кидают, а снифферы делают свою работу прозрачно.
Хороший совет. Но тем, кто поставил Макс, блокировать незачем. А тем, кто не ставил, ставить не надо )) Есть еще третий вариант - когда не хочешь ставить Макс, но появилась причина поставить его. (Зайти в Госуслуги через Айфон или связаться с человеком, у которого работает только Макс)
На IOS придется дергать туда-сюда VPN.
Прям захотелось где-нибудь на reddit запостить открытое письмо к Apple с feature request об split tunneling приложив вот это исследование с рассказом о том, что это может быть не единственное приложение-зонд, и в целом, что такую методику могут брать на вооружение различные конторы для слежки над пользователями.
Даже если оно останется проигнорировано
Сплит на iOS легко реализуется с многоуровневыми правилами, скриптами и прочим на том же Shadowrocket и ему подобным. On demand конечно же тоже.
Разверните мысль. Пока не видел рабочей реализации ничего серьезнее простых списков типа geoip. Как завернуть весь трафик одного приложения?
Если речь о выделении трафика приложения, то на iOS я это представляю как установку того же Макса через mdm (self host или бесплатный облачный — не важно, главное чтобы умел per-App/App layer vpn). После энролла айфона и настройки службы туннелирования (можно ikev2, можно wireguard, etc) создается связка, например MAX -> AppLayerVPN (WireGuard-туннель) (в MDM это обычно “per-app VPN attribute / mapping” на приложение). И весь трафик приложения будет идти через туннель который в конфиге .mobileconfig с VPNSubType = com.wireguard.ios и VendorConfig/WgQuickConfig.
Но это не поможет с флагом VPN, который читает max.
Иной сплит на уровне L7 мне неизвестен, маркировать пакеты как-то по паттернам, фингерпринтам, характерному поведению это чистая негарантированная и жрущая ресурсы эвристика.
Конда я писал про сплит в SR, то комментировал возможность как таковую делить трафик на устройстве, но по конечным адресам. По источникам не уверен что штатно можно.
Оно там уже есть, но только через MDM.
Надо в списки Pihole и Adblock для openwrt
Также как они определяют установленные на телефоне сторонние приложения теперь они ещё и сетевые особенности анализируют.
Может, пришла пора в манифест Android добавить доступные приложению хосты?
Браузеры возмутятся :)
Можно по умолчанию разрешать доступ к любым хостам, но показывать предупреждение об этом
Ну будет показываться предупреждение для Max, и что вы ему сделаете?
Ничего, разумеется. Просто у пользователей Макса будет чуть больше поводов насторожиться.
Так же, как и насторожиться по поводу калькулятора, который требует доступ к геоданным. Среднего пользователя только раздражают эти предупреждения.
Ну да, пользователи раздражаются и начинают задавать вопросы разработчикам, зачем им такие разрешения. Это неприятно и, в идеальном мире, выкатывается патч убирающий потенциально нехороший код.
Среднего пользователя только раздражают эти предупреждения.
У среднего пользователя и IQ соответствуюший (в смысле средний).
И если его отрубить — отвалится какой-нибудь предпросмотр картинок, вставленных через url :-)
ну в свое время lg телики отправляли название файлов куда-то с подключенной флешки, а может и до сих пор это делают.
Та же мысль. В манифесте расширений для браузера уже давно такое есть.
можно установить приложение[MAX] в отдельное, изолированное рабочее пространство
Если у Вас Болван-Запрет/КВН на роутере, что дома что в офисе, изолированное рабочее пространство (даже если это виртуалка на ПК) это как мертвому припарка(ровно тоже про второй сматфон, если он включен в Wi-Fi внутренней сети).
На роутере можно сделать привязку MAC - IP, и пускать этот телефон мимо КВН и прочего.
Или поднять отдельную WiFi сетку для такого телефона мимо КВН и прочего.
Очевидно, да. Но у меня, например, есть гостевой wifi без доступа к внутренним ресурсам сети и квн. В нем же живет максофон.
Но, имхо, лучший вариант - белый список приложений. И туннелировать трафик только там, где это нужно. Чтобы, например, Андроид лишний раз не обращался к своим сервакам через тоннель, повышая шансы его спалить.
Поэтому лучше впн на телефоне с настройками на приложение
Кстати, запрет это не ВКН. Запрет модифицирует трафик, но не меняет его маршрут и не инкапсулирует его в другой маршрут.
А подскажите - под отдельное устройство новую симку заводить надо? Или можно извлечь текущую, вставить в другой смартфон, зайти в Макс - и вернуть симку на основное устройство?
Пока что можно просто переносить симку, если вопрос только в отслеживании Максимкой ваших подключений, с одной жирной оговоркой: если ваш КВН на настроен роутере, что дома что в офисе, а второй девайс включен в Wi-Fi внутренней сети(хотя бы случайно и эпизодически) - второй девайс не поможет.
У меня на этот случай на роутере поднято две изолированных сети: для доверенных и недоверенных устройств. И фаервол настроен, чтобы недоверенные не лезли куда не надо.
Вспоминаем, что буквально недавно были разговоры о привязки сим к IMEI и "белом списке IMEI", поэтому "пока что".
Симку можно оставить на месте: от нее требуется толко получить код из СМС
После этой статьи - вторая СИМ-карта становится обязательной. Просто потому, что телефон выделенный под государственные/банковские приложения и MAX придётся подключать к инету исключительно через мобильную связь, запретив WiFi в настройках - чтобы он работал только через официального провайдера и гарантированно не использовал VPN.
По-хорошему бизнес уже должен бы подсуетиться, и начать продавать отдельные дешёвенькие андроиды, с предустановленными всеми этими приложениями и подходящей по тарифу СИМ-картой. Чтобы одной недорогой покупкой полностью закрыть весь навязанный государством геморрой.
чтобы он работал только через официального провайдера и гарантированно не использовал VPN
Приобретите роутер нормальный и настройте там себе все что нужно. 3к рублей (мой роутер стоил чуть меньше) - это год оплаты тарифа с интернетом.
Я имел в виду вариант доступный для всех. Включая большую часть населения, которая не способна на тонкие настройки роутера. Кроме того, с точки зрения безопасности, разумнее не полагаться на корректность настройки роутера и на то, что эта настройка останется корректной в будущем при обновлении/перенастройке/замене роутера - а тупо не включать на отдельном телефоне WiFi в принципе.
У меня завелось на виртуалке с blissos путём приёма смс на лежащий рядом телефон.
Можно даже не переставлять симку. Просто получить код по смс на основном телефоне, и вбить его в максофон без симки.
Я вот думаю, хорошо ли это, светить в максе своей основной симкой. Ведь после этого система будет знать, что у меня есть аккаунт в максе, и мне туда присылать всякие коды уведомлений, например, от госуслуг, и не факт, что после этого удастся вернуть обычный вход по СМС.
Я бы в максофон ставил симку с номером, который не привязана ни к госуслугам, ни к банковским аккаунтам, ни к чему. Опять-таки, вероятность успешной атаки мошенников чуть минимизирует - при подломе аккаунта макса не получат доступ к госуслугам и банкам, например. (или получат? ), и опять-таки исключится атака на людей из списка контактов со знакомого номера.
так симки по паспорту, основная и максофонная все равно будут связаны
Тут есть два подхода, второй строго противоположный. Если человек ставит Макс вынужденно ради доступа к Госуслугам/банку/медицине/школе - то лучше и аккаунт завести на тот же номер, который уже сто раз во всех этих организациях засвечен.
Хотелось бы услышать мнение автора или других знающих коллег. Действительно ли установка МАХ на Samsung в защищённую папку Knox на 100% поможет решить данную проблему?
Вернее даже не так. Если Knox решает текущую проблему описанную в статье, могут ли разрабы из VK в теории прикрутить что-то в дальнейших обновлениях, что уже не будет работать и при установке в Knox?
Когда я тестировал папку Knox, то она не наследовала vpn подключение (и статус этого подключения) из основного окружения. Чтобы внутри нее работал vpn, его туда нужно отдельно установить.
подскажите пожалуйста. Я в этом ничего не разбираюсь. Читал что в айфоне есть "песочница", которая не позволяет одному приложению получать информацию от другого, только если нет прямого разрешения от пользователя
В данном случае это не работает?
Так оно и не получает никаких данных от других приложений
Это работает в том плане, то Макс не может читать какие то системные сообщения устройства/ресурсы и не имеет данным к другим приложениям.
Но ничего не мешает ему тупо пинговать как выше описано в статье своим приложением внешние хосты. То есть по факту он малварью останется и будет палить ваши приватные впны.
по идее можно настроить так,чтобы три буквы действовало только для конкретных приложений, а остальные - как обычно. Насчет айпи я понял, действительно для этого не нужен доступ к приложениям. Тогда причем тут папка КНОКС?
Это про Андроид, у него есть изоляция, теоретически если положить Макс в изолированную среду, то он не будет знать о vpn и будет использовать прямой доступный канал связи. Но это не гарантирует, что они не выдумают какую нибудь очередную хитрость и не сломают этот алгоритм.
Не работает.
Смысл слежки описанный в статье: приложение проверяет доступ к заблокированным сайтам (телеграмм и WA не сайты, но суть та же). Тут песочница не поможет, т.к. это не доступ к данным других приложений, а просто доступ в интернет.
Теоретически, песочница может не давать доступ к конкретным сайтам и это могло бы создать видимость их блокировки, но на iOS и Android такое недоступно обычным пользователям (но может быть доступно со специальными прошивками, как минимум на Android).
S25 Ultra, приложение ОПСОСа(в папке KNOX) видит что VPN в устройстве включен.
VPN, настроен только на туннелирование Telegram
Не совсем понятно - вы мобильное приложение от оператора засунули в knox, а впн-клиент нет - и как вы поняли что мобильное приложение видит включен или нет впн?
мобильное приложение от оператора засунули в knox, а впн-клиент нет
Все верно
поняли что мобильное приложение видит включен или нет впн
Приложение само об этом сообщило
Скрытый текст
мда, приложение зелено-фиолетового оператора тоже видит впн )))
Весело, что Android API сдает? Я же тестировал и у каждого пространства (основное, Knox, рабочее) было отдельное соединение. Например: VPN1, VPN2, через провайдера. Android 15
Возможно, они просто имеют список пулов IP-адресов многих VPN-провайдеров.
Ок, статус vpn (on/off) из knox виден. А если проверять реальный доступ через пинг/порты, как это делает макс, из приложения из knox?
Оно видит только факт наличия впн в системе, но подключается напрямую и не видит ip впн.
Проверил, подтверждаю.
Дано: подключение через WiFi (проводной провайдер, родственный "красному" мобильному оператору)
Приложение "зелёного" в кноксе.
квн включён (не в кноксе).
В кноксе сетевые утилиты (PortDroid, например) не видят ни "флажок" квн, ни виртуальный IP.
Трасероут ессно идёт при этом тоже напрямую.
Очень странно.
Версия проверки свой/не свой IP в данном случае не подтверждается (IP не мобильного оператора)
Надеюсь, специалисты по андроиду смогут прояснить ситуцию.
Я, наоборот, KNOX использую для личной и важной информации. Включенный внутри KNOX-а VPN не влияет на траффик снаружи. Но видит ли приложение снаружи кнокса, сам признак того, что VPN включен - не проверял. А для Макса есть Shelter в качестве решения. На том же самсунге работает замечательно.
Вот и мне интересно то же самое. Мало осведомлен о тонкостях APK, но кое что заметил.
Функционал мессенжера намеренно разбит на части, которые загружаются ядром. Это техника дропперов. (Хотя модульная архитектура может быть просто следствием большого функционала.)
Но наличие DexClassLoader в ядре — это инструмент для загрузки любого кода с сервера, то есть сработать может то, что не обязательно находится в APK. Что скажут продвинутые комментаторы?
Удивительно как у них только получается встраивать столько говна в это приложение, и при этом не иметь банальных триггеров на отправку apk и установку авы/имени из какого-то условного черного списка. Они буквально сделали лучший инструмент для скамеров и на каждом углу говорят о его безопасности. Начинает казаться что это всё не просто так и они сидят на каком-то проценте. Или всё же есть какие-то веские причины не реализовывать самую базовую защиту? Буквально взять 3 первые мысли приходящие в голову, и ни одна из них в СКАМ-е не реализована
Вы смотрите в корень. Вообще то у них есть возможность это сделать. Код уже написал, заблокированные расширения файлов прилетают с сервера (и, вероятно, дополнительно там проверяются), но даже после шумихи в СМИ никто не озаботился запретить аплоад apk. Сейчас запрещены только .exe
'file-upload-unsupported-types': ['exe'],
а задача не стоит вас защищать от мошенников, чтобы при этом не говорили в СМИ
если вокруг вашей лужайки строят забор с колючей проволокой под током для защиты от волков, но проволока почему-то висит с внутренней стороны забора - можно догадаться что тут не так
Давно затолкал весь рфский софт в песочницу, так как подозревал о чем-то подобном. Ну вот и подтверждение. СКАМ, понятно, даже в песочницу ставить не собираюсь.
"Весь" это даже, например, ВкусВилл или Транспондер М-11 или Метро от Involta?
Давайте признаем, что это стоит делать хотя бы для государственных или окологосударственных приложений типа VK и Max.
Если условному яндексу и вкусвиллу есть что терять, то этим ребятам нет.
Ну мне интересен ответ камрада d7s2di.
А вас спрошу - Госуслуги тоже в песочницу?
Госуслуги - в браузер. Они прекрасно работают без приложения вообще. Никогда не понимал, зачем ради них ставить приложение.
Ну а приложение банка у вас установлено? Или тоже через веб-морду? А в Яндекс Карты тоже через веб-интерфейс заходите?
Или тоже через веб-морду
Да. Благо PWA-вебморды стали сильно лучше после бана приложений в AppStore.
Ладно, допустим, в банк - через веб-морду (нет, ибо неудобно). А с ЯК как быть?
Так у ЯК тоже PWA есть
На смартфоне в браузере неудобно ЯК пользоваться. И не скачать офлайн-карты, например.
Ну они делают всё, чтобы ими было пользоваться неудобно и чтобы принудить вас поставить их приложение. Что наводит на мысли.
Оффлайн карты позволяет скачать любое приложение, которое использует osm.
Osmand. Бесплатная версия с fdroid. Ещё до всего этого стояло и сейчас стоит. И оффлайн.
Когда хоть кто-то будет так же хорошо знать всю карту РФ и отображать пробки - пожалуйста. Пока что никого у нас лучше Яндекса нет. Где-то рядом 2ГИС, но еще не то. Вы еще гуглокарты порекомендуйте, которые с 2022 не обновлялись у нас :)
А с ЯК как быть?
А нахрена нужны карты при неработающей GPS?
Так-то еще есть OSMAnd, там карты можно скачать на устройство.
Ну, есть 2Gis еще, работает оффлайн.
А браузер "Амиго" вы тоже через вэб-морду!? \s
Приложение банка просит доступ к телефонной книге (с правом редактирования оной), файлам на телефоне, микрофону, камере, также хочет принимать/совершать звонки и сообщения, иметь доступ к интернет подключению и т.д.
Без разрешений (или с опцией "запрашивать каждый раз...") работать отказывается.
Спасибо, я уж лучше через вэб-морду потыкаю.
Ну просит к контактам, и что дальше? За годы использования ни разу ни один контакт не изменился самолично. При этом это разрешение мне нужно, чтобы деньги контактам переводить быстро, а не вбивая номера руками.. Микрофон не запрашивало, отключено. Камера постоянно нужна фоткать QR-коды. Звонки тоже отключены, не запрашивало. Файлы на телефоне - всегда нужно при общении с поддержкой, более ничего оно не делает, само файлы никому не шлет. Доступ к интернет-подключению - это вообще смешно, ибо как без инета в интернет-банкинг заходить? Более того, у меня такого разрешения вообще нет. В общем, включено только: камера, контакта, местоположения, уведомления.
Вы не понимаете одного - если за вами надо следить, вас отследят и с отключением всех разрешений и наличием приложения в песочнице.
Но для этого не обязательно самому штаны расстегивать и становиться в удобную для НИХ позу!
Если для вас ваша приватность и ваши личные данные ничего не значат, то не факт, что другие люди так же считают. И не нужно их убеждать в обратном.
За годы использования ни разу ни один контакт не изменился самолично
Я как-то пару лет назад дал доступ к контактам приложению ВТБ. А потом обнаружил, что у меня все записи в адресной книге задвоились, причем в списке они никак не отличились, типа два раза "Иван Иванов", но выбрав одну можно было позвонить, а во второй записи - только "перевести деньги". Удалять эти дубликаты пришлось по одной руками, переплевался весь. Возможно это бы глюк приложения, но больше ни одно банковское приложение у меня к контактам доступа не получает.
А как же одноразовые кнопочные телефоны и одноразовые ноутбуки? Хотя, если подумать, откуда у параноиков интернет-банк? Только наличные в виде бывших у употреблении купюр разного номинала.
У меня не требует.
Скрытый текст
Нет конечно. Ничего более тупого, чем установка приложения банка на то же устройство куда приходят коды подтверждения придумать невозможно. Браузером пользуемся на компе.
Впрочем поможет при случае это не сильно. К сожалению из 2fa давно уже убрали знание пароля :(
В чем тупость? Почему я (и не только) не испытываю проблем с этим уже много лет?
Потому что это полностью ломает идею второго фактора для авторизации.
Так в приложение банка я не через TOTP вхожу :) Впрочем, откуда вам знать, у вас же по каким-то надуманным причинам приложений на смартфоне нет. А уж смартфон без приложений точно за пользователем не следит и не сливает данные куда надо.
Если бы вы входили в приложение банка ЧЕРЕЗ ТОТР - проблемы действительно тогда не было бы(на самом деле была бы, но чуть менее болезненная), а так.... Желаю вам не рвать на жопе волосы, но верится в это с трудом....
Кроилово всегда ведет к попадалову, вопрос времени.
Я вхожу через палец или пин-код, мне этого достаточно, я не параноик (если только в легкой стадии). Более тяжелые параноики меня тут заминусили вовсю, осознавая отсутствие контраргументов, имея на руках только кнопку дизлайка. Что ж, каждый минус в очередной раз подтверждает мою правоту.
Вы не параноик, вы просто некомпетентны. Только и всего.
А минусят вас не за вашу глупость, а за то, как вы выражаете свою позицию.
Насчет моей некомпетентности вы глубоко заблуждаетесь.
Но это же моя позиция, верно? За несогласие с ней сразу минус? Ну ок.
Знаем мы таких лицемеров: сейчас они мессенджер в песочницу засовывают (тут я их поддерживаю, они правы), а потом уходят с рабочего места, не блокируя машину. Или сначала пишут о том, что ЯК не пользуются в приложении, а потом что? Ловят такси на обочине или вызывают по телефону, а потом с таксистом наличкой расплачиваются? Не верю.
И, например, пишут всякий бред про то, что нужно в банк только с ПК заходить, хотя часто требуется и вне дома. С собой комп таскать всегда?
Нет, это всего лишь подтверждение моей правоты в выведении их на чистую воду. Аргументировать не могут, а минус влепить - легко. Не зря сейчас от такого способа взаимодействия уходят на разных платформах, и тут придут, надеюсь. Понравилось - нажал +1, не понравилось - ну либо аргументируй (в споре рождается истина), либо мимо пройди, раз неспособен дискуссию вести.
Я не очень понимаю зачем вы всё это пишите и какое все это имеет отношение "к делу". Вы упорно пытаетесь перейти на личности и осудить правильные практики исходя из того, как вам хочется чтобы всё было, а не то, как все "есть".
Именно за это вас и минусуют. И правильно делают. Именно так система оценки комментариев и работает. Если человек упорно несет чушь, не умеет себя вести итд итп, то ему посылают об этом сигнал. С вами никто не хочет времени терять уже.
Вы можете эти сигналы игнорировать. Оно право ваше.
Основные аргументы вам уже неоднократно высказывали, вы их просто не понимаете.
В частности для нормальной работы 2фа вы должны вручную вводить пароль и второй фактор (смс к примеру, или тотр) не в то устройство, которое этот смс получает/генерирует. Именно поэтому люди используют ПК(потенциально можно и второй телефон иметь, собственно у меня так и сделано, но на уровне приложения этож работать толком не будет, только с веб клиентом). И никакой ваш вайн на тему несправедливости мирозданья ничего тут не поменяет.
Вы сколько угодно можете людей параноиками пытаться обзывать, однако они над вами будут только ржать. Для них это не обидно, а в общем-то наоборот.
ЗЫ. Я много пожил. Достаточно чтобы видеть случаи, когда люди забивающие на безопасность ради того, чтобы нивелировать свою же неорганизованность рвали себе волосы на попе. Желаю вам не пополнить их число.
Да, вы правы, я так и делаю - всегда использую TOTP там, где это возможно. И в интернет-банкинге, в том числе. Но естественно, не на смартфоне, где: 1) сначала надо в ОС по отпечатку/пину/лицу зайти; 2) затем в приложение точно так же. Тут TOTP не нужен абсолютно.
На личности не перехожу (кстати, не вы ли писали про "тупость" вешу? Не это ли переход на личности? Да не, бред какой-то), лишь задаю наводящие вопросы, чтобы сделать правильные выводы. И они неутешительные. Люди пишут, что не пользуются ни почтой, ни банками, ни такси, ни картами, ни парковками, ни скидками от магазинов. Ничем. Только лаптями щи хлебают. Не верю ну вот ни разу. Это лицемерие для красного словца в комментариях.
И еще про лицемерие. Тут человек опроверг, мягко сказать, высказывания комментатора. А тут я написал то же самое, но развернуто. Но минусы у меня, а плюсы у него. Всё потому, что люди понимают написанное, видят мое последнее предложение и постепенно выходят сами на себя, но контраргументировать не могут и лепят минус :)
Но вы правы - я тоже не очень понимаю, зачем вы всё это пишЕте, поэтому заканчиваю дискуссию.
Чтобы оценить ваше сообщение по достоинству у меня, увы, не хватает кармы...
Тут TOTP не нужен абсолютно.
Проблема в том, что ни один банк не даёт подключить TOTP или Passkey вторым фактором, а для сброса пароля достаточно номера карты и кода из SMS.
То есть кража сумки потенциально ведёт к краже всех денег с банковского счёта. Немного снижает опасность eSIM с установленным PIN, но не исправляет первопричину в желании банков сэкономить на отделениях для восстановления доступа к ДБО.
Проблема в том, что ни один банк не даёт подключить TOTP или Passkey вторым фактором
Справедливости ради, Тиньков пару месяцев назад добавил TOTP.
Как это выглядит? В приложении нет таких настроек, а в поиске вся выдача засрана их пульсом и тоже ничего не находит.
В настройках безопасности появился пункт "Входить с кодом из аутентификатора". По крайней мере, в веб-версии. Приложением не пользуюсь, поэтому не могу там посмотреть.
При входе (когда уже знает мой браузер) первым делом запрашивает этот самый код, я его генерю стандартной TOTP-генерилкой. Потом — пароль. Немного странно, что в обратном порядке, но вот так.
С собой комп таскать всегда?
А знаете, у моей девушки есть такая маленькая штучка — «лаптоп» называется...
Проблема входа через палец заключается в том, что он может быть с лёххкостью совершён без Вашего ведома. Для этого потребуется всего‑навсего
простой советский
приём под названием «рессора от трактора „Беларусь“» ©
Зачем нужно приложение банка? С компутера с нормальным монитором и клавиатурой гораздо удобнее.
А в Яндекс Карты тоже через веб-интерфейс заходите?
В яндекс карты не захожу. Хватает гугла, osm и карт гармин в часах.
Очень удобно, знаете ли, заходить с ПК в банк, находясь в общественном транспорте или идя по улице. Рекомендую.
Еще бы банки держали синхронные приложения и веб клиенты, а то то Сбер СБП с компьютера не подключает, то Т скидки только в приложении держит.
Между банками есть конкуренция и мало кто захочет в такое вляпаться.
Про Яндекс сложнее, они даже в мирное время меняли алгоритм новостей по указке из АП, но за такое сейчас могут попасть в SDN List и потерять немалую часть бизнеса, поэтому тоже будут сопротивляться.
так это тоже не поможет, из браузера можно точно также поликать ту же инфу, что в статье указана.. и адблоки, как тут выше предлагали, никакие не спасут, банально потому, что нужно это правило написать и поддерживать.
Это навигатор, убер, мособлеирц, сбербанк, почта рф, штрафы, парковки и прочее подобное. Вкусвил, азбука, роснефть, лукойл итд - там же. Приложением госуслуг не пользуюсь, если прям надо, то открою в браузере (внутри той же песочницы).
Ну я вообще весь запихнул во второй профиль - от сбера до пятёрочки, от госуслуг до маха этого, с автозаморозкой по локу экрана. А что?
А где гарантия того, что не "рфский" софт не собирает то же самое? Никто ведь не проверял
Не-рфский софт если и будет передавать данные куда-то, то не в РФ. Иностранному *комнадзору от этих данных (факт использования вами прокси для обхода блокировок или даже белых списков, и IP-адреса вашего прокси) ни горячо, ни холодно, они ему бесполезны.
Иностранному *комнадзору от этих данных (факт использования вами прокси для обхода блокировок или даже белых списков, и IP-адреса вашего прокси) ни горячо, ни холодно, они ему бесполезны.
Если Вы не знаете, как они могут быть ему полезны — то это Ваша проблема, а не его.
Например, дiд Панас, одно время работавший на микрокредитную компанию, однажды осознал, что список людей, работающих невдалеке от (а ещё лучше — непосредственно на) военных баз, у которых проблемы с деньгами (а иные за микрокредитами не обращаются) любая разведка конкурирующего государства с руками оторвёт.
Налоговые геополитических врагов отлично спелись (см FATF) против людей под предлогом антитеррора, почему бы и комнадзорам не слиться в экстазе?
С налогами там принцип «ты мне, я тебе», взаимовыгодное сотрудничество. С блокировками VPN/прокси такое не работает, потому что большинство стран (особенно тех где эти самые иностранные сервисы разрабатываются и имеют HQ) таким не промышляет.
Ну и что характерно, с начала войны как раз многие страны прекратили автообмен налоговыми данными с Россией.
Очень старое, но актуальное.
"Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
- О, Учитель, - спросил его Сисадмин, - я не могу понять, зачем вам VPN?
- Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? - удивился Инь.
- Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
- Сети нет дела до моего трафика, чего не скажешь о провайдере, - ответил Учитель. Видя, что Сисадмин не понял, он добавил. - Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
- Но ты не можешь доверить все свои деньги собственной супруге, - продолжал мудрый Инь.
- Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель. "
Правда, то что банки правительство в РФ не станет, в ближайшее время, считать деньги вкладчиков своими деньгами я бы не поручился.
Дело вот в чём: в банке нет никаких «Ваших денег» — в банке есть запись «когда придёт Вася, разрешаем отслюнявить ему XXXX рублей». Всё.
Обычно эта запись там появляется, когда Вы пришли в банк и вручили кассиру XXXX рублей.
Однако нет записи — нет и денег. А запись может исчезнуть миллионом разных способов.
Это же в демократических целях, понимать надо.
Вопрос, не в защиту, но что если надо выяснить, используется ли приложение мошенником из-за рубежа через впн, чтобы совершать мошеннические действия? И для этого надо выяснить это и пометить пользователя как недобросовестного, и в случае чего ограничить? Или я оптимист?
Нет, просто когда звонишь через VPN, то и во время звонка пишет, что лучше без VPN и после звонка пишут, что лучше без VPN. Ну это всё бестолковые занятия, всё что разводят "айтишники" рассказывая как он следит за VPN давно реальные айтишники сообщали, но тогда это не вызывало никакой реакции, а сейчас из каждого утюга. Всё это никак не помогает ни в борьбе с мошенниками ни в слежке за пользователями. Это всё из-за того, что 80% пользователей интернета пользователи VPN.
приложения которые ведут такую деятельность разве разрешены политикой appstore и playmarket?
del
Сразу напишу, что не собираюсь быть адвокатом этого дерьмодемона.
Не было зависимости от действий в интерфейсе и отправкой этих данных? Например, открытия профиля или раздела с документами в нём? Они могут оценивать "надежность" соединения для чувствительных действий, пусть и таким изуверским способом.
Точно известно, что эти сообщения отправляются в момент сворачивания и разворачивания приложения. Согласитесь, действия не выглядят чувствительными.
Там таймауты 3 секунды, заставлять ждать пользователя 3 секунды такое, плюс эта инфа не только внутри приложения используется (и то не ясно какая часть), а намеренно отправляется на сервера мессенджера.
Установил СКАМ - помогаешь прикончить Интернет(мое оценочное суждение).
почему не скачанное с магазина приложений? с 4PDA, там то оно может быть изменено уже.
Кто-то подкинул в max шпионский модуль, который на их сервер через их протокол это шлет? Самим то не смешно?
Но да, я проверял приложение из google play, там все тоже самое. Просто с Google Play скачивается split apk версия, которую не настолько удобно реверсить. Плюс мне хотелось в статье указать какой-то референс, который легко скачать и перепроверить мои слова.
Обратите внимание, меня на это исследование побудили сообщения в сети, которые начали появляться в декабре и стали появляться все чаще и чаще. Сомнительно, что у них у всех версия с подкинутым spyware.
Моё мнение. Я думаю, что это делается не против конкретного юзера скаМа, а массово против всех пользователей квна, хаппа, гойды и т.п., чтобы палить и сразу блокировать сервера. Ты можешь настроить свой смартфон, или вообще установить скаМ в эмулятор андроида, но какая-нибудь курица - домохозяйка, которой установили впн, например, для обхода белых списков, всё равно сольет IP шники впн серверов.
Это направлено исключительно против приватных прокси. Крупные сервисы и так уже не выпускают в интернет с тех же адресов, на которые принимают подключения, особенно для белых списков
Объясните как цепочка серверов помогает? Ведь когда макс сделает запрос, сервис покажет ИП адрес последнего сервера в цепочке, и если его заблочат то это будет так же эффективно как и заблочить первый, так как предпоследний сервер из цепочки не сможет подключиться к нему.
Часто читаю про то что заводят ру впску и на нее направляют клиентов, а потом с нее уже на заграничный сервер, но не могу понять преимущества этой схемы.
Если последний и предпоследний сервер будут не в РФ - то последнему будет по барабану на его блокировки со стороны РФ. Трафик то на него не из РФ идет
так и толку то, если по трейсроуту все хопы будут видны
Во первых, что бы хоп был виден - он должен отвечать/отправлять ICMP, что отключается двумя правилами nft или iptables.
Во вторых - большая "классических" VPN сейчас либо заблокирована, либо чувствует себя не очень хорошо. Большая часть пользователей сейчас использует прокси протоколы, а именно VLESS, ShadowSocks. Они чисто технически не могут передавать ICMP пакеты.
И что вы там увидите, если цепочка выстраивается на туннелях с приватными адресами?
До серверов внутри РФ (промежуточного сервера) фильтрация обычно минимальная
Внутри датацентров (от промежуточного сервера к выходному) фильтрация обычно слабее чем у обычных абонентов
Между серверами можно использовать всякие упоротые протоколы, которые нельзя использовать с юзерских устройств из-за отсутствия мобильных клиентов или провайдерского NAT’а.
Между серверами можно туннелироваться по IPv6, а внутри тоннеля и наружу гонять IPv4 - это бесплатно (не надо платить за второй IPv4), а сопоставить эти пары адресов будет не так-то просто.
Можно подключаться не с промежуточного сервера к выходному, а в обратную сторону - от выходного к промежуточному (реверс). Трафик в обратную сторону часто не фильтруется вообще, и его фильтрация потребует гораздо больше мощностей.
Нет, мой сервер и так временно заблокировали (причем именно tls), потому что ip не красивый, хотя у меня на нём сайт был
изначально идет расчет на это
На некоторых телефонах есть такое "частное пространство" или "тайное место".. Если туда его засунуть? Там вроде как изолированно.
Выше в комментах про knox написано что изолируется.
Как вариант кроме доменов макса ничего через vpn не пускать, настроить это впринципе не сложно. Интересная у них аналитика получится, VPN включен на устройстве, а ничего кроме макса не пингуется и https не получается)
Чет мне кажется, что все же единственный способ безопасно поставить МАХ, если вдруг надо - нарыть второй смарт, лучше с возможносью ставить больмень свежий LineageOS, вставить туда симку и поставить МАХ)) И наглухо выключить вайфай, блюпуп, GPS и прочее. Один фиг практически любое решение по сплит-туннелированию отдельно макса\отдельно всего кроме макса надолго не поможет. Один фиг они будут анализировать статистику, будут видеть, что их не пускают куда-то, и будут разнообразить тактику помалу. Ибо упертые дураки способны проявлять чудеса изобретательности, особенно в самых бесполезных задачах)))
А на отдельном смарте с отдельной симкой с интернетом он все равно ничего не сможет сделать) Тут, как в старом детском анекдоте: "...да хоть обосрись, у меня тормозов нет")))
Ну, разрешения у приложения можно отобрать. Только если оно будет отказываться работать без них.
А что они вообще смогут сделать, если я интересную маршрутизацию настрою и закрою все от них, кроме их же адресов? Да по идее ничего, пусть хоть усрутся, обойти то не получится по идее
Мне оно как бы не сильно надо, вк удалить пора давно, а на госуслуги у меня КЭП для входа, но это пока, кто знает что еще на него насильно завяжут
Я тут забавное заметил когда vpn отлаживал. https://api.ipify.org/ возвращает не мой адрес, а, похоже, адрес ТСПУ. При этом сам https://ipify.org заблокирован (не отвечает). То есть, похоже, ТСПУ подменяет запрос. Очень странное поведение. Не могу понять зачем они это делают
ТСПУ не может подменить вам HTTPS запрос без явного предупреждения от браузера.
Ну или если вы удосужились поставить корневик минцифры в систему - тогда очень даже может.
Запрос подменить не может, но IP-адрес исходящего запроса - легко
Достаточно iptables -j MASQUERADE сделать на пути прохождения трафика
Так ведь будет несоответствие IP-адреса домену, на который выписан сертификат.
С чего бы?
Это же NAT обычный. NAT-ить можно из любых адресов в любые, на этом весь интернет стоит.
Но, даже если NAT-ить DST, то https тут тоже ни при чём, ни на что там ругаться не будет. https не проверяет "несоответствие IP-адреса домену", https проверяет соответствие сертификата на хосте запрошенному CN (в случае https - соответствует заголовку Host: обычно).
Ключевой момент здесь - что никто https-запрос/ответ не подделывает, "подделывается" только src-адрес клиента. А https на этом "уровне" ничего не проверяет (да и не может в общем-то, он это на l7 проверять)
Сертификат выписывается не на IP, а на домен. Сертификаты на IP кране редкое явление.
Сертификаты на IP кране редкое явление.
Все потихоньку меняется, не очень быстро, но это происходит
это если в ответных пакетах в поле src-address указан адрес, отличный от того, что написан в сертификате и в исходящем dst-address))) А ТСПУ-то может, по идее, вернуть ответ с любым адресом в поле src, в том числе и тем, на который был запрос или какой указан в сертификате))) Еще "честно-честно" добавит, и мамой поклянется))))
Хотя непонятно, как он подменяет связность DNS-IP ресурса, если тот в CDN, ибо айпишник сайта для меня может отрезолвиться один, а для запроса с ТСПУ - другой) Видимо, у него обширная база.
Ну или если вы удосужились поставить корневик минцифры в систему - тогда очень даже может.
Никто не подменяет сертификаты даже в этом случае ибо Perfect Forward Secrecy и Certificate Transparency Logs и ряд других фишек. Вы просто сами попробуйте это реализовать и увидите, что это не работает.
https://api.ipify.org/ возвращает не мой адрес, а, похоже, адрес ТСПУ.
А можете посмотреть какой IP? Или хотя бы блок какой? Какая ASN? (Посмотреть whois [IP_ADDRESS]).
Сравните его с ifconfig.me или internet.ya.ru.
Может просто провайдер с NAT мутит?
У меня статический ip и провайдер с nat мутить не должен.
https://api.ipify.org/ 195.178.4.138, серт выдан Google Trust Services
https://api.myip.com/ {"ip":"195.178.4.136","country":"Germany","cc":"DE"} серт выдан Google Trust Services
ifconfig.me 195.46.171.xx - правильный
вот еще забавное:
Tracing route to api.myip.com [8.6.112.6]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms tplinkwifi.net [192.168.xxx.xxx]
2 1 ms 1 ms 1 ms static-a1.Kaliningrad.golden.ru [195.46.171.1]
3 1 ms 1 ms 1 ms 89.178.245.157
4 2 ms 1 ms 2 ms smtp1.tlsa.ru [62.141.126.134]
5 27 ms 26 ms 27 ms 195.178.4.128
6 25 ms 25 ms 25 ms 79.104.225.229
7 27 ms 26 ms 26 ms 79.104.225.230
8 31 ms 32 ms 31 ms 81.211.0.62
9 26 ms 27 ms 26 ms 81.211.0.63
10 45 ms 45 ms 45 ms 212.133.1.222
11 62 ms 45 ms 52 ms 212.133.1.221
12 46 ms 45 ms 58 ms 213.249.107.146
13 44 ms 43 ms 44 ms 172.68.180.37
14 45 ms 45 ms 44 ms 8.6.112.6
Tracing route to 195.178.4.136 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms tplinkwifi.net [192.168.xxx.xxx]
2 1 ms 1 ms 1 ms static-a1.Kaliningrad.golden.ru [195.46.171.1]
3 1 ms 1 ms 1 ms 89.178.245.157
4 2 ms 2 ms 2 ms smtp1.tlsa.ru [62.141.126.134]
5 26 ms 25 ms 25 ms pe04.KK12.Moscow.gldn.net [79.104.225.11]
6 31 ms 30 ms 31 ms 79.104.225.231
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
11 * * * Request timed out.
12 * * * Request timed out.
13 * * * Request timed out.
14 * * ^C
у него нет IP, он прозрачен. См описание архитектуры в недавнем треде.
а, похоже, адрес ТСПУ
У ТСПУ нет никаких адресов, они в принципе не вмешиваются в маршрутизацию пакетов и не делают никакой трансляции адресов, прозрачны для проходящего через них трафика. Возможно у вас провайдер до этого хоста почему-то NATит или у вас где-то по пути есть split / shadow VPN.
При этом сам https://ipify.org заблокирован (не отвечает).
Не совсем понятно ваше описание, в какой момент заблокирован? У вашего провайдера?
А что делать то?
Ну кажется решение простейшее - удалите его.
Расстрелять этого иноагента! Замедлить ему всё что можно!
😁
Почти все банковские приложение палят КВН, как они это делают?
Если что у КВН российский ip
Они используют системный API Android, который буквально проверяет запущен ли VPN в системе или нет. Им не нужны ваши ip адреса из других источников, они их вообще не пытаются узнать и сравнить.
Только что запустил приложение Сбер через российский впн, молча открылось и работает, ничего не палит.
Они не палят, они просто смотрят системный флаг, который вполне себе спокойно отдает система.
Просто в мире розовых пони и незаблокированных интернетов наличие vpn подразумевает какое то корпоративное соединение, и для apple/google и прочих разработчиков мобильных операционных систем важно давать знать об этом другим приложениям для корректной работы, это нормальная практика.
Кто же знал, что наличие этого флага для некоторых стран окажется не плюсом, а минусом.
apple/google и прочих разработчиков мобильных операционных систем важно давать знать об этом другим приложениям для корректной работы, это нормальная практика
Ужасная практика. По хорошему понимание должно приходить по определению доступности какого-либо healthcheck сервиса, который доступен исключительно изнутри корпоративной (VPN) сети.
Так там наоборот всё. Проверяют что выключен, а не что включен. Чтобы, к примеру банковские данные туда не слать. Хотя какая разница не очень понятно...
А если этот сервис лежит? А если это мой туннель до моего дома (моей домашней сети), мне там тоже поднимать некий сервис для хелсчека?
Это тоже не серебряная пуля. Поэтому и выбрана логика, что есть некий туннель, дорогой юзер, обрати на это внимание.
Я подозреваю, что они просто смотрят на географию айпишника, с которого пришёл запрос
Ну кажется решение простейшее - удалите его.
На подъезде и по городу развешаны камеры. По ним можно сказать куда и когда вы направляетесь.
Конечно простейшим решением будет - уехать в лес, не выходить из избы.
Ладно, шучу, наверное) Но доподлинно известно, что браузер дает сотни параметров фингерпринта, кларити которая бесплатная и почти на каждом сайте - даже движение мышки записывает. Вообще уже ничего не удивляет)))
Мы говорим не о сокрытии чего бы то ни было. Мы говорим о том, что этот модуль может помочь автоматически блокировать даже ваш личный vpn сервер.
или автоматически в макс прислать квитанцию об уплате штрафа, если примут соотвествующий закон :)
Да даже без закона такое легко провернуть. Вашу мысль с высокой долей вероятности могут воплотить в реальность, хоть она и звучит как новость из ИА Панорама.
Что-то такое ведь уже было во времена ковида, когда в Москве жителей принуждали устанавливать кривое отслеживающее приложение. В случае смещения геолокации, из-за передвижения смартфона или кривого гео-распознавания — прилетал штраф.
Я понимаю, но мы же в ру айти, может есть у кого то знакомые из вк или прям из макса, спросить зачем это, без домыслов. Вдруг не все так ужасно) Может какой то слишком хитрый рекламный сдк. А может действительно собирают метрику использования впн. Но пока это паничка кота Шрёдингера))
Горжусь отечественными разработчиками - голь на выдумки хитра. Красивое решение понятной задачи, молодцы. Еще бы майнинг настроили. Вспомнился фильм полицейская академия в России с Игрой. =)
Спасибо автору за разбор, было интересно.
В интернете есть варианты оберток через WebView для разных сайтов (по сути дело это просто как в браузере открыть сайт) вот например:
ChatGPT: https://f-droid.org/ru/packages/org.woheller69.gptassist/
Mistral Le Chat (французской аналог ChatGPT): https://f-droid.org/ru/packages/org.shano.assistral/
Может тогда сделать аналогичную обертку для MAX? В этих обертках есть функционал полной блокировки сторонних доменов. Возможно даже звонки будут работать, но это не точно.
Товарищи, подскажите пожалуйста поможет ли per-app туннелирование через тот же v2box на андроиде, если не охота заморачиваться изоляцией рабочего пространства? То, что мах узнает, что у юзера включен впн через апи андройда - бог с ним, наверное?
Всем привет, а как же клиент по типа в2рау, там же можно использовать выбор приложений, я разве не прав если скажу что исключив оттуда СКАМ, он не спалит наличие чего либо на телефоне?
На Андроиде так и нужно, просто подели приложения которым можно внутрь VPN ходить, а каким нет. Тогда МАХ будет видеть чтот у тебя VPN, но какой именно он не узнает. А что делать пользователям iPhone? на iOS нет деления приложений кому можно внутрь VPN ходить, а кому нет.
Как вариант это просто отключать ВПН при использовании макса, а потом выгружать макс из памяти, чтобы ничего не делал в фоновом режиме. Но такой способ наверное подходит только если использовать макс очень редко - например для логина в госуслуги, а не как мессенджер для общения.
AdGuard vpn. Установка через Канаду, там не требуется кредитная карта
на ios через шорткаты можно включать/выключать пвн при открытии/закрытии определенных приложений
Использовать клиент, поддерживающий раздельную маршрутизацию по спискам IP/доменов
Мы же тут как раз и обсуждаем что техника которую они использовали позволяет вычислять IP выходной ноды для туннелей с выборочной маршрутизацией на основе адреса назначения. Все адреса ты не предусмотришь, тем более список внешних «проверялок IP» может со временем (и неконтролируемо) изменяться
Нужен клиент, который позволяет управлять маршрутизацией на основе источника. Разделяя по конкретным приложениям, кому можно в туннель, а кому - напрямую.
Позволяет у тех, кто не списки заблокированного в туннель заворачивает и всё остальное напрямую, а GEOIP:RU напрямую, а всё остальное в туннель. Хотя, конечно, в будущем могут в списки блокировок и сервисы проверки IP напихать специально для этого.
а GEOIP:RU напрямую, а всё остальное в туннель.
Нет, же. Там часть проверялок адресов находится за пределами «GEOIP:RU», и вот тебе аномалия при проверке, которая благополучно будет слита на сервер. Один IP в GEOIP:RU, и ещё один при проверке на внешнем сервере
списки заблокированного в туннель заворачивает и всё остальное напрямую
И вот аномалия, и GEOIP:RU, и внешний сервер - IP одинаковый, но при этом заблокированный сервер все равно доступен. Хотя можно и какую-нибудь проверялку IP заблокировать, в надежде что она попадет в списки заблокированного…
И ведь адреса для проверки можно менять
"Собственно сам мессенджер MAX. В исследовании я использовал версию MAX_(RS)_v.26.4.3(6552)(8.0-15.0)(arm7a,arm64-8a,x86,x86-64), которую нашел на 4pda."
А почему не по ссылке с официального сайта https://max.ru/ ?
Чтобы при изменении версии на офф сайте люди не кричали, что не смогли проверить и повторить эксперимент.
Я говорил об этом вот тут https://habr.com/ru/articles/1006666/comments/#comment_29622722
могу подтвердить все то же самое на гостовской версии отсюда https://download.max.ru/android/release/gost/MAX...apk
А кто вы такой, чтобы вам верить? Может вы в сговоре с автором - не зря же он не стал официальное приложение качать, а взял его из сомнительного источника.
Вам за эти комментарии платят что ли?
FYI На NTC-форуме люди дампали трафик официальной APK’шки с официального сайта Max, и те наблюдения полностью совпадают с описанным в этой статье.
А зачем вы вообще врёте, что кто-то предлагает вам во что то верить?
Возьмите и проверьте сами, ни на одном шаге не предполагается что-то взять на веру или полагаться на какую-то недоступную информацию.
У меня андроидный вацап работает без всяких VPN. А телега, помимо этого, работает без VPN еще и на win11-десктопе.
Я видел мысли вроде "А почему сбербанк так не может или, может, уже делает".
Ну в некотором смысле банки уже так делают, но у них схема проще чисто от спамеров защищаться.
не знаю, совпадение или нет, подключаю бесплатный vless для обхода белых списков, захожу в сбербанк онлайн, через этот впн, вроде, как заходит, работает, через 2 минуты впн отваливается....
PS Кстати, без впн, который обходит белые списки, в сбербанк и т-банк ВООБЩЕ невозможно зайти, рубит сук, на котором сидят?
Сделайте пожалуйста такое же для приложений Яндекса, если там аналогично, то я снесу вообще все приложения от рф разработчиков
Вопрос знатокам. А если у меня VLESS клиент стоит и режим per-app. Т.е. ВПН на конкретные приложения только, прокатит? Так понимаю все еще будет флаг vpn=1, но сам сервер не должны задетектить. Звучит как решение.
И можно ли запретить приложениям понимать что активен впн через Android API
Почему-то никто не упомянул, что в Андроиде есть функциональность Per-App VPN: https://developer.android.com/develop/connectivity/vpn?hl=ru#per-app Можно выбирать трафик каких приложений заворачивать в туннель
Например в той же Амнезии это реализовано.
Заглянул сюда вкинуть 2 копейки.
То что отечественный софт или ресурсы могут выявлять сомнительные для них адреса и в последствии лочить их - совершенно не ново.
Столкнулся с такой темой уже достаточно давно. Если на постоянку палить адрес, в который завёрнут туннель, то рано или поздно он отлетает на раз два. Порой до полной его потери во всех смыслах. Под подозрения попали все гос. приложения.
При этом, из каждого утюга говорят, что ТСПУ выявляет конкретные протоколы и душит их.
Но вот интересно другое. Имеем пачку туннелей, которые висят в запасе либо используются очень редко и они работают даже с самыми устаревшими решениями. Какой вывод? Давно подозреваю, что не всегда пытаются выявлять тип/протокол, а просто душат доступ до конкретного хоста.
Поэтому всё, что около госов, лучше держать подальше или дотошно разделять трафик.
Да уж, тут вообще к отечественным гигантам софта большие опасения. Вспомнить статью здесь про яндекс, который приложениями через локалхост идентифицировал пользователя в браузере.
Лично я сам заметил что т-банк сейчас обходит ограничения на автозапуск и фоновую активность андроида, висит в процессах и что-то льёт на "mobile-bank.cdn-tinkoff.ru" И блокировка этого хоста не нарушает работу приложения
Заблочу у себя тоже
Вдвойне интересно, что он туда льёт, учитывая что это эндпоинт S3 API, по сути хранилище произвольных данных.
Т-Банк еще и оборудование регулярно опрашивает...
Попробуй через adb придушить
adb shell am force-stop com.idamob.tinkoff.android
adb shell appops set com.idamob.tinkoff.android RUN_IN_BACKGROUND ignore
adb shell appops set com.idamob.tinkoff.android START_FOREGROUND ignoreВспомнить статью здесь про яндекс, который приложениями через локалхост идентифицировал пользователя в браузере.
Слежка за пользователем это лет 15 уж массовая общемировая практика(широко известная в узких кругах), случай со СКАМ-ом скорей порадовал, тем что привлек внимание гораздо более широкой аудитории к этой тенденции.
Что же касаеться в целом например концепта централизованных коммерческих месседжеров наиболе широко получивших известность в РФ, то , что Максимка, что Телега, что WhatsApp, в целом - один и тот же концепт неуважения приватности(как условие использования), а заодно навязывания услуг ОПСОС-а и использования мобильного девайса с аккунтом, даже если вам месседжер нужет только на ПК.
Могу предположить, что после випиливания их из Play market им ещё и FCM отрубили. Вот и приходится переодически коннектится, что бы уведомления получить (ну и заодно телеметрию слить, куда ж без этого)
Подвергнув реверс инжинирингу клиент российского мессенджера MAX удалось подтвердить самые худшие предположения.
Огромнейшее Вам спасибо за это исследование!
Я, признаться, сильно недоумевал по поводу MAX: что в нём, что его продвижением пропихиванием занимается государство в лице административных органов (Госуслуги) и Президента (закон об использовании в ЖКХ)? Вряд ли дело в коммерческие интересах владельцев мессенджера, да и желание читать / модерировать общение граждан, наверно, можно было удовлетворить, договорившись с Телеграмом; тогда - что же???
Теперь, лично для меня, пазл сложился : причина агрессивного внедрения MAX государством в том, что мессенджер MAX - клиент ботнета РКН.
Когда я включаю Шелтер и в него захожу у меня трубка греется как будто я в генши на ультрах играю
Всё проще. Есть задача идеологическая (декларируется: отказ от западного, борьба с врагами, поддержка отечественного производителя; отрицается: ограничение прав и свобод), задача "коммерческая" (распил средств, борьба с конкурентами) -- всё это является причинами. Подход универсальный: все ограничения Интернета и даже "Честный знак" (и другие кампании) -- для них верны все те же пункты.
Макс, равно как и другие отечественные приложения, это не скрывает
У меня в шелтере давно сидит Сбербанк.
Раньше до 2024 года я не был клиентом их банка у меня никогда не было их приложения. Но когда я поставил он мне вечно выдает уведомления типо "Ваш телефон под защитой Сбербанк онлайн" "проведена проверка - угроз не обнаружено".
Я просто офигел. Я просил их что-то у меня сканировать, искать угрозы и ТП? Какие угрозы? Это антивирус какой-то или что? Ну теперь он там в шелтере сражается непойми с чем. Включаю что бы за вывести из Сбера.
В приложение Сбера прям изначально, лет 10 назад, был встроен Касперский. Оттого непотребные размеры, тормоза и сообщения что ничего не обнаружено. Всё для вашей безопасности!
его в Шелтере можно автозамораживать при блокировке телефона. И размораживать только при тапе на иконку. Так что в таком случае можно сказать, что его на телефоне нет, не считая занимаемого места
Ну это отключается в настройках безопасности, щит на главном экране.
Чтобы ЗП выводить из Сбера можно воспользоваться веб мордой и не выдумывать кульбиты с шелтером. А ещё проще отнести в отдел кадров заявление на перечисление ЗП на карту которая вас устраивает. Отказать не имеют права.
Интересно, а если в APN отключить IPv6 будет определять VPN? На днях решил использовать "Цифровой ID" и был послан отключать VPN (который был выключен). Немного позже решил отключить IPv6 в APN Мегафона и о чудо мне тут же дало мой QR "Цифрового ID".
Зависит от методов проверки.
Если проверяется через API ОС - отключение IPv6 в настройках APN никак не повлияет на результат проверки.
Если проверка идет через определение внешнего IP и сверки с некой базой IP-адресов - все зависит от корректности этой самой базы. Т.е. корректные данные в базе не будут портить жизнь при отключенном туннеле и включенном IPv6
Если помогло отключение IPv6 в настройках APN делаю вывод о некорректных данных в базе IP на сервере
Отличная работа!
Спасибо за статью и ресёрч. Буду дальше агитировать против монополиста)
Надо на своих впн серверах блокировать эти сервисы определения айпи
Сервисов определения IP сотни, если не тысячи. Изредка даже используются легитимными сайтами. Всех не перебаните. Банить придется Макс и все домены, куда он ходит стучать.
Присылают обновленный список доменов и вся работа на смарку.
Это правда. А еще могут вообще напрямую по IP ходить без доменов. Поэтому я предложил собирать списки автоматически, и кто-то уже реализовал. Не идеально, но хоть так. По сути то задача отвадить пользователей пользоваться максом через впн.
А зачем пользоваться МAX'ом через VPN? И откуда такая задача появилась? Доля пользователей MAX, использующих VPN, как думаете какая?
Есть те кто его вообще не выключает, часть из них настроила маршрутизацию в зависимости от направления трафика (по подсети/ASN/домену/геобазе, кто на что горазд). Так вот, во втором случае «зонд» вполне может ходить к своим серверам напрямую, но при такой проверке IP логика маршрутизации ломается и зонд вполне получает и «прямой IP», и «выходной IP туннеля».
Регулярно актуализировать внося новые исключения не самый эффективный способ. Более эффективно не пускать в туннель на основании источника трафика и андроид это позволяет, ios штатными средствами - нет. Выше, конечно, писали про MDM, но это не то
Доля пользователей MAX, использующих VPN, как думаете какая?
Все пользователи IOS.
О, тут я не в курсе был, это достаточно большое число (конечно, не все пользователи iPhone и далеко не каждый VPN заворачивает всё, но это очень плохой дизайн). Сочувствую тем, кому этим приходится пользоваться. Чувствую я узнал один из фатальных недостатков!
5-8 млн. людей, думаю, используют VPN. Примерно 3 млн. в день используют мессенджер MAX с КВН. Нехило так.
конечно, не все пользователи iPhone и далеко не каждый VPN заворачивает всё, но это очень плохой дизайн
А тут неважно, что вы заворачиваете, если это не per-app. Если вы заворачиваете RU, то спалитесь как раз на проверке зарубежным ip checker-ом. Так что потенциально каждый пользователь Max + VPN стучит РКН о том, какими серверами пользуется.
5-8 млн. людей, думаю, используют VPN.
Даже до массовых блокировок в 2015 году, по данным государственных социологических опросов таких пользователей насчитывалось не менее 40 миллионов человек. В целом сейчас, по данным из множества источников эта цифра вероятно перевалила за 50 миллионов человек. Представьте себе, в абсолютных числах больше половины дееспособного населения пользуется впн. Так что вы недооценили пользователей впн на порядок.
Как, судя по другим веткам в этой теме, недооценили желание властей это обуздать.
Как, судя по другим веткам в этой теме, недооценили желание властей это обуздать.
Оценки даны именно для пользователей iPhone в среднем в день (в этом контексте всё считалось). Мог, конечно, слегка занизить, но это +- реальные цифры.
В целом сейчас, по данным из множества источников эта цифра вероятно перевалила за 50 миллионов человек.
Я брал за основу 45. Но меня эти цифры удивляют, потому как вокруг меня в основном ИТ спецы и многие до сих пор не юзают КВН. Не говоря о их семьях. Просто люди вокруг меня не так молоды, вероятно много молодых используют КВН и iPhone тоже.
Надо, как минимум, максу блокировать все подключения, кроме тех что на его сервера идут
Кто-то уже упоминал про раздельное туннелирование на андроиде, сам им пользуюсь. Завернул только заблоченные сервисы в туннель, всё остальное - напрямик. Понятно, что флаг использования обходняка палится, но более конкретная инфа уже будет неизвестна.
Я же хотел поговорить в целом про ру-сервисы, которыми многие из нас пользуются, но неизвестно, что в них может быть вшито в будущем, и какую инфу они будут стягивать.
Тут вариантов несколько:
• можно использовать веб-версии, но не всеми сервисами удобно так пользоваться, например, те же Якарты
• закидывать их в изолированное пространство, но в таком случае зачастую приложение оказывается в полном ауте, вплоть до того, что в клиенте банка не будет даже списка контактов, так как в песочнице он пуст
• и тут ещё один варик, он не такой надёжный, как предыдущие, но для тех же банков - вполне сгодится. Это заморозка приложений в настройках электропитания.
Я честно не уверен, как это работает на других андроид девайсах, но на самсунгах есть 2 уровня заморозки: приложения в спящем режиме (минимальная фоновая активность, из-за чего уведомления из приложений могут приходить с ощутимой задержкой, так как аппка условно только несколько раз в день может оживать и проверять обновления) и приложения в глубоком сне (аппка вообще не работает в фоне до тех пор, пока вы сами ее не откроете, уведомления естественно не приходят вовсе. Получается ситуация, что прога вообще ничего не может в фоне, как если бы у вас вообще не было этого приложения установлено)
Я лично все ру-сервисы по типу приложений доставки, мака, магнита, почты РФ, озон и те же Якарты держу в глубоком сне. Уведомления из них зачастую даже на пользу не приходят (меньше спама), а там, где надо, настроены через почту в гмаиле.
По фоновой активности проверял в работающих службах - приложения в глубоком сне после закрытия могут пару минут повисеть в фоне и потом убиваются. Даже если заблокировать телефон с открытой прогой из этого списка, через минуты 3 после разблокировки я оказываюсь на рабочем столе (прога убивается сама за заблокированным экраном)
Проверил на iPhone, получил поведение аналогичное в статье :(
Тем кого на работе заставляют ставить этот софт, стоит завести отдельный дешманский андроид без симки. Подключать его только к рабочей Wi-Fi сети и не ставить туда никаких личных аккаунтов. Песочницы вроде Knox это полумера, так как сетевой стек на уровне ОС все равно общий
А зачем без симки? Аккаунт мессенджера всё равно к какой-то симке привязывается. Если это будет ваша основная симка, то это также плохо, лучше сделать отдельную симку и не приаязывать её больше нигде.
симки то все равно по паспорту, причем уже все методы получения "левой" симки зачистили
Вроде бы есть теперь возможность на иностранный номер аккаунт завести.
Но опять же, это имеет смысл только если мессенджер будет использоваться строго для переписки с частными лицами. Использовали для Госуслуг - номер засвечен, для банка - тоже, для школы, записи ко врачу - всё туда же...
Это я даже не говорю, что ваши собеседники вас могут уже в своих записных книжках обозначить и по ФИО, и вообще как угодно.
Дело не в этом, есть сценарии, когда у вас уведут Госуслуги или другие чувствительные сервисы при контроле за вашим акком MAX (причём у разработчиков есть полный контроль, и как там реализована система безопасности не ясно).
Захват контроля над приложением MAX лично для меня равносилен полному захвату гражданской, юридической и финансовой идентичности пользователя (с некоторыми ограничениями, но всё же).
И не совсем понял, что "зачистили"? Левые SIMки можно купить.
Также можно для зарубежной SIMки зарегать акк: https://help.max.ru/help/about/kak-zaregistrirovatsya-v-max
В идеальном мире работадатель по идее не может заставлять ставить вас, что либо на личные устройства.
Немного тупорылый лайфхак для андроида: указываете в настройках приложения в разделе батарея: "Ограничено". Таким образом он не будет висеть в фоне, но и уведомления получать не будет. Если нужно открыть/прочитать, помним, где и как мы подключены (сплиты дома, ВЧС (виртуальные частные сети) и так далее).
Предлагаю заменить КВН на ВЧС! :)
Публичного правового основания для превращения пользовательского мессенджера MAX в распределенный сетевой сканер для нужд РКН не существует. Думаю, что сопоставление фактов использования VPN, доступности WhatsApp/Telegram и активности в MAX дает руководству платформы исчерпывающую аналитику о том, насколько успешно идет процесс миграции аудитории в условиях государственного регулирования интернета.
Те, кто сливает карму, аргументируйте. И ищите нормальное объяснение, а не конспирологию.
РКН не интересуется правовыми обоснованиями уже почти 10 лет. При очень большой нужде правовые обоснования прикручиваются задним числом. Обычно даже не заморачиваются.
А при чём здесь "конспирология"? Да, во время активных военных действий действительно имеет смысл использовать подобные решения в ПО. Но на практике мы наблюдаем совсем другое применение таких решений. Все помнят человека который попал под раздачу просто за то что, ехав в автобусе, через местный Wi-Fi полез посмотреть изображение нарукавного шеврона в гуглах? Это один из многих, очень многих примеров. Да, это "немного другое" как сейчас любят говорить, и конкретно с этим модулем не связано, но опера, сцена и действующие лица всё те же.
В рф законы пишутся не в интересах граждан, а в интересах "государственной безопасности". Долго ли правки внести и разрешить сканить сеть?
Карму минусуют за наивность, я полагаю
Рискну предположить, что минусуют за то, что аккаунт, созданный в 2012 году, "проснулся" ровно двумя комментариями в этой теме
Раньше всё нормально было :)
Ммм, а что в этом такого? ;)
Далеко не всегда есть возможность оперативно читать и комментировать статьи, эта тема мне интересна и сейчас есть время.
Вы думаете, я бот что ли и пытаюсь оправдать кого-то?
Да, если честно, то немного подозрительно, что за 14 лет у вас вот именно в этой статье первый раз время нашлось.
Мне кажется, подозревающие задаются вопросом, почему/как аккаунт активизировался сейчас, но зря не задаются вопросом, почему/как он был зарегистрирован N лет назад.
Консерва :)
А вот вообще не факт, что внезапно просыпающийся после долгого молчания аккаунт реактивирован тем же человеком, который его заводил.
Ууу, кто-то специально столько лет назад зарегал акк и вот, его для какой-то суперцели расчехлил. Вот это реально выглядит странно, такое думать.
Я просто, часто попадал на статью, где мне было что сказать или было интересно, когда мне уже комментировать было запрещено. Это реальная причина.
знаете, подобная "подозрительность" уровня "пикабу" и прочих подобных площадок с каждым днём всё больше и больше распространяется в том числе и на Хабре. Уровень аудитории к сожалению в последние годы качественно поменялся. Притом не в лучшую сторону. Я замечаю даже что многие не в состоянии воспринимать полноценный русскоязычный текст в комментариях, они просто не поймут смысл или извратят его подстроив под собственное миропредставление. Поэтому чему вы удивляетесь? Чем больше будете вопрошать тем больше вас будут "минусить". Такова гнусная человеческая натура. Принципиально написал вам это зная, что сейчас толпа узнавших себя в описании побежит минусить и мой комментарий. За 14 лет на Хабре сам не поставил ни одного плюса или минуса, потому что считаю что это абсолютно порочный "критерий большинства", который только искажает истину и навязывает подсознанию читателей определенные мнения.
Спасибо, значит ещё не всё пропало!
Выше там уже гипотезы, что увели почтовый ящик какой-то старый аж какой-то "окологосударственный почтовый хостер" и вот теперь это все. :)
Вот реально люди думают, что кому-то сейчас есть дело до этой статьи на уровне госструктур. Сегодня предпраздничный день же, 8 марта скоро. Вот этим сейчас все заняты.
«Нам не нужно, чтобы все соблюдали закон — нам гораздо легче, когда все его хоть чуть‑чуть, но нарушют.» ©
В статье фактически говорится, что вам вставляют ректальный зонд при использовании приложения, а вы вдруг решили придумать для этого причины...
Какая вообще разница, в гос они сливают что условный "Валера-то КВН вот такой-то использует!" или для себя?
То есть сам зонд вас не беспокоит?
Я карму не топил, но намекаю, что со здравым смыслом у вас в этом отношении точно есть проблемы.
Уж не знаю, кто вы, и с какой целью вообще пробудили свой акк ради этих комментариев, но здравый смысл тут точно курит в сторонке.
Во-первых, я вообще не являюсь пользователем мессенджера MAX (не горю желанием получить указанный выше "зонд" и ряд других, более серьёзных) и оцениваю ситуацию исключительно с профессиональной точки зрения.
Во-вторых, сам факт сбора сетевой телеметрии технически неоспорим, однако выводы автора статьи о том, что это прямой инструмент РКН для мониторинга средств обхода блокировок, по мне, слегка притянуты за уши. Риски для тех, кто попал под наблюдение определённо есть, но это, как минимум, ПДн (по userid там есть связь), со всеми вытекающими. Тут с позиций архитектуры ИБ и государственного управления, реализация данного модуля не выдерживает критики как инструмент государственного надзора: она уязвима к манипуляциям (в протоколе нет никакой защиты от навязывания ложных данных), а ее внедрение не имеет под собой необходимого правового базиса (что важно в госструктурах как для финансирования, так и в целом реализации функциональности).
Следовательно я делаю вывод, что это реализовано для оценки бизнес-метрик. Наиболее вероятно для понимания того, как пользователи переходят на MAX, используют ли они средства обхода блокировок, доступны ли им конкурирующие мессенджеры, насколько стабильно вообще MAX работает в текущих условиях регулирования Интернета в РФ.
Кстати, описанный в статье протокол, не является чем-то новым, он же используется в web-версии MAX (см. проект на gihab nyakokitsu/MaxProtoExplanation).
По поводу правового базиса, если к ним придёт письмо от министра связи или (как работает ЦБ с банками) какая-то не официальная рекомендация, то они что, скажут нет? Типа вот, собирайте и передавайте данные вот сюда, без лишних вопросов.
Туда же, например, зелёный банк или яша. Они что, спорить будут?
При наличии данных сложить 2 и 2 *надзор может вот легко.
И касательно ненадёжности: если никто к этому не готовился, то включив такой функционал можно за неделю собрать 80-90+% IP недружественных хостов для обхода.
В общем, такие данные могут быть очень полезны *надзору, прям кладезь информации, и такое зачастую никак иначе их особо и не получить, кроме подобных "троянов"
используют ли они средства обхода блокировок, доступны ли им конкурирующие мессенджеры
И по чистой случайности, адреса этих самых средств обхода блокировок, а также адреса, для которых блокировки по каким-то причинам не работают, отправляются "куда следует". Хотя к бизнес-метрикам мессенджера они вообще никакого отношения не имеют.
адреса этих самых средств обхода блокировок
Посмотрите ещё раз алгоритм определения внешнего IP-адреса (он под спойлером, там всё подробно). Сколько IP-адресов формируется в JSON ответе с событием? Что там отправляться разобрались? А теперь снова свой комментарий прочитайте. Нет там достоверной информации по внешнему адресу.
Как раз такие данные имеют прямое отношение к тому, какова конверсия пользователей по перехожу с других мессенджеров и даёт понимание, кто пытается использовать ещё и другие мессенджеры, и кто не может их использовать, динамику всей этой картины.
Посмотрите ещё раз алгоритм определения внешнего IP-адреса (он под спойлером, там всё подробно). Сколько IP-адресов формируется в JSON ответе с событием? Что там отправляться разобрались? А теперь снова свой комментарий прочитайте.
В одном сообщении отправляется один IP адрес, но каждое новое сообщение отправляет IP адрес из нового источника. В итоге очень быстро на бекенд уходят все внешние IP адреса.
Причем как для российского, так и для зарубежного сегмента интернета.
Доступные хосты тестируются каждое сообщение.
Так что комментатор выше прав - это позволяет быстро узнать внешние (выходные) адреса средств обхода блокировок
В одном сообщении отправляется один IP адрес, но каждое новое сообщение отправляет IP адрес из нового источника. В итоге очень быстро на бекенд уходят все внешние IP адреса.
Ммм, тогда я понял ваше описание не так: подумал, что первый ответивший будет попадать в такой список, а сбор производится только при запуске приложения и пробуждения из фона. Спасибо за разъяснение.
Всё же, тогда уточняющий вопрос, в какой момент инициируется опрос сервисов для определения внешнего IP? Постоянно в фоне (раз в 3 секунды) или на каждое сообщение и/или при пробуждении / запуске в приложения?
В любом случае демаскировка внешнего IP будет только тогда, когда приложение MAX работает через VPN, что не понятно зачем делать. Какой смысл гонять трафик всех приложений через VPN включая MAX? Кто так не умеет настраивать в будущем научатся. ;)
Если подумать, то нормально так 50 млн. пользователей у этих сервисов появилось. Интересно посчитать какую они нагрузку создают.
Доступные хосты тестируются каждое сообщение.
"Доступные хосты" — это те что пингуются и TCP-коннект (WA/Telegtam/Госуслуги)? Т.е. не при пробуждении и входе в приложение? Прямо на каждое сообщение в фоне происходит определение доступности и потом отправка эвента?
Пользуясь случаем, можно ещё разъяснить, что означает: "есть задержка 3000 мс перед стартом проверки/репорта". Погружаться в полноценный анализ декомпилированного и обфусцированного кода, интересно, но не настолько.
И, что будет, если заблокировать хосты (например, в DNS) для определения внешних IP (они чётко перечислены), тем самым скрыть внешний адрес от сбора.
Факт отправки есть?
Вроде публика с претензией на интеллекткальность, а выдаёт на уровне ширнармасс: "нас вакцинируют для контроля".
Публичного правового основания
Oh my sweet summer child
Публичного правового основания не существует для вообще огромного количества дичи, происходящего в стране в последние годы аж на государственном уровне - и тем не менее, оно происходит.
Давайте не подменять одно другим. Одно дело — когда РКН действует волюнтаристски при настройке политик блокировок на ТСПУ. Там они теоретически могут не оглядываться на правовые нормы (есть карт-бланш). Совсем другое дело, пусть и госкомпании, приказать реализовать функциональность распределенного сетевого сканера в госмессенджере. Сбор телеметрии для бизнес-метрик куда логичнее, чем предположения, что это для слежки. А вот риски, что породил такой сбор метрик, уже другой вопрос.
Каким публичным обоснованием замедлен Youtube?
Сервера деградировали же - оно само замедлилося./s
Публичным правовым обоснованием замедления YouTube выступает статья 9 Федерального закона от 01.07.2021 № 236-ФЗ (закон о приземлении). В качестве одной из мер понуждения за нарушение законодательства РФ эта норма прямо предусматривает: "частичное ограничение доступа к информационному ресурсу иностранного лица", но нет соответствующей записи в "Перечне иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации", что вызывает только вопросы. Вообще по этой причине нет никого в перечне, хотя замедление применяется к различным ресурсам и легко диагностируется.
Натягиваете сову на глобус. Ни одно официальное лицо не говорило про это тоже.
Ютуб можно смотреть без всяких регистраций и хранения персональных данных.
Натягиваете сову на глобус. Ни одно официальное лицо не говорило про это тоже.
О чем не говорило?
Был вопрос о правовой основе, она есть, закон и причины указаны (не все, частично) в Перечне иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации, откройте его (перечень), посмотрите. То, что норма не корректно применена или не оформлены все детали, это другой вопрос, главное, что она в принципе есть.
Плюс, можно посмотреть решения судов по Youtube и поглядеть на цифру штарфов. Можно не соглашаться с этими решениями (логикой их вынесения), но то, что для них есть публичная правовая основа очевидно.
Ютуб можно смотреть без всяких регистраций и хранения персональных данных.
Да, можно смотреть без регистрации и СМС (не просто, но можно), но решения судов и причины в перечне совсем не про ПДн. Если говорить, про вопросы по ПДн к Google, то они опять же в рамках публичных правовых норм.
Что именно натягивается то? Что сова и что глобус? ) И главное для чего мне это нужно? Я просто ответил на вопрос, как я понимаю ситуацию.
Странно, "популярное и модное" нынче оправдание действий властей почему-то публикуется из-под консервы.
Можете пояснить, почему ваш "патриотизм" отдает гнилостным душком?
В чём именно вы увидели «оправдание властей» и тем более «патриотизм» с каким-то там «душком»? Мой первый комментарий — это сухой технический анализ, в котором нет ни капли политики.
Указывать на абсурдность вашей позиции приходится по нескольким причинам:
Не нужно смешивать корпорацию и власть. Доводить ситуацию до абсурда и считать любое действие фактически государственной ИТ-компании «коварным планом властей» — значит не понимать, как работают такие системы. В этих условиях работают обычные люди и инженеры — ничуть не хуже тех, кто сидит здесь в комментариях. И они решают вполне земные задачи бизнеса.
Вы смотрите не на те риски. Ключевая проблема сейчас кроется совершенно в другом. Настоящая угроза приватности — это не тот факт, что приложение узнает о включенном VPN и внешних IP-адресах, через которые идёт трафик. Реальная проблема лежит в плоскости требований законов к ОРИ и мессенджерам, которые де-факто предполагают тотальную слежку за всеми действиями и переписками пользователей, а также на уровне государства реализуют супер-апп, который может лишить вас всего, что вы достигли в этой жизни, и на основе его логов вы можете быть осуждены ни за что.
О фактах. Что касается «консервы»: я уже упоминал, что могу легко подтвердить регистрацию своего аккаунта в 2012 году исходным письмом с DKIM-подписью, как и почтового аккаунта. Выберите арбитра, и я это сделаю (покажу ему реальные данные). При желании выяснить, кто я, не сложно, данных достаточно.
Я не являюсь пользователем MAX и оцениваю ситуацию исключительно как специалист.
Если сообществу действительно интересен объективный разбор, а не просто поиск ведьм и навешивание ярлыков с «душком», я готов потратить свое время. Я могу сделать более глубокий реверс-инжиниринг протокола мессенджера и выпустить развернутую статью, которая покажет, в какой именно области лежат настоящие, а не притянутые за уши риски.
Прошу вас по возможности уважать чужое мнение и оценивать факты, а не собственные политизированные фантазии.
И последнее. Вы приходите в техническую ветку, не приводите ни одного довода по существу и с ходу пытаетесь перевести разговор на эмоции и оскорбления. Именно такое поведение (без капли конструктива) характерно для проплаченных троллей, чья задача состоит в том, чтобы увести дискуссию от фактов в банальный скандал и скрыть смысл. Подумайте об этом, прежде чем в следующий раз переходить на личности. Я вас не знаю и могу заблуждаться, но не думаю, что карма 2 позволяет вам вести беседы в таком тоне. Напишите что-то по существу, сделайте что-то полезное для этого мира и всех нас!
P.S. О, ещё быть отнесённым к действиям властей, даже косвенно, более чем лестно. ;)
Я могу сделать более глубокий реверс-инжиниринг протокола мессенджера и выпустить развернутую статью, которая покажет, в какой именно области лежат настоящие, а не притянутые за уши риски.
Лично я бы с интересом почитал.
В чём именно вы увидели «оправдание властей» и тем более «патриотизм» с каким-то там «душком»? Мой первый комментарий — это сухой технический анализ, в котором нет ни капли политики.
Ваш первый комментарий не технический, а, фактически, юридический анализ. Я не хочу углубляться в эту тему, так как такие сообщения несут свои риски, скажу лишь только то, что по моему мнению (и возможно не только моему) на законность и правовые основная все уже давно положили.
Не нужно смешивать корпорацию и власть.
Нужно понимать, что эта корпорация фактически и есть власть. Она управляется Владимиром Кириенко, сыном первого зама АП Сергея Кириенко, который является представителем высшего эшелона государственной власти. Так же через сложную систему юридических лиц государство имеет 57.3% голосующих акций. Так же публично известно, что VK является убыточной на сотни миллиардов рублей, так что банкет прямо или косвенно оплачивает государство РФ. Так что по итогу государство как управляет, так и финансирует корпорацию, нет ничего удивительного что VK решает задачи не коммерческие, а государственные.
Вы смотрите не на те риски. Ключевая проблема сейчас кроется совершенно в другом. Настоящая угроза приватности — это не тот факт, что приложение узнает о включенном VPN и внешних IP-адресах, через которые идёт трафик. Реальная проблема лежит в плоскости требований законов к ОРИ и мессенджерам, которые де-факто предполагают тотальную слежку за всеми действиями и переписками пользователей, а также на уровне государства реализуют супер-апп, который может лишить вас всего, что вы достигли в этой жизни, и на основе его логов вы можете быть осуждены ни за что.
Если сообществу действительно интересен объективный разбор, а не просто поиск ведьм и навешивание ярлыков с «душком», я готов потратить свое время. Я могу сделать более глубокий реверс-инжиниринг протокола мессенджера и выпустить развернутую статью, которая покажет, в какой именно области лежат настоящие, а не притянутые за уши риски.
Лично мне было бы очень интересно!
Ваш первый комментарий не технический, а, фактически, юридический анализ.
Вот, что там было написано: "Думаю, что сопоставление фактов использования VPN, доступности WhatsApp/Telegram и активности в MAX дает руководству платформы исчерпывающую аналитику о том, насколько успешно идет процесс миграции аудитории в условиях государственного регулирования интернета".
Какой же это юридический анализ?
Так что по итогу государство как управляет, так и финансирует корпорацию, нет ничего удивительного что VK решает задачи не коммерческие, а государственные.
Вы приводите абсолютно верные факты о структуре собственности, руководстве и финансировании корпорации. С этим никто не спорит. Но я имел в виду совершенно иное: разницу между стратегическим контролем и операционной, инженерной реальностью.
Давайте разделим эти понятия, чтобы не скатываться в конспирологию:
Как это видит конспирология: Высший эшелон власти спускает прямое указание ответственному за продукт: "Реализуй систему, которая будет выявлять обход блокировок, чтобы мы могли наказывать людей и блокировать доступ к таким средствам".
Как работают корпорации на самом деле: Государство ставит глобальную задачу: "Сделать MAX основным мессенджером в стране". Эта задача спускается на уровень топ-менеджмента, затем — продакт-менеджерам в виде KPI по аудитории и стабильности. Продакт-менеджер видит, что пользователи мигрируют неохотно или сидят через VPN (из-за чего ломается WebRTC или что-то ещё), и ставит задачу инженерам: "Сделайте сбор телеметрии, чтобы мы понимали, сколько людей сидит через VPN и доступны ли у них конкуренты". Инженеры просто закрывают тикет в Jira доступными им инструментами (используя готовые наработки, описанный модуль базируется на уже готовом протоколе, это не какая-то там секретная разработка).
Мой тезис о том, что "не нужно смешивать корпорацию и власть", касается именно процесса разработки. В госкомпаниях работают обычные IT-специалисты. Они не пишут "коварные планы", они пишут код для сбора метрик, пытаются улучшить коннект или собирают аналитику по миграции аудитории. Да, они работают в условиях государственного финансирования и глобальных политических задач, но их ежедневная рутина — это баги, фичи и метрики, а не слежка за конкретным Иваном Ивановичем.
Именно поэтому я настаиваю на холодном техническом анализе. Если мы будем видеть в каждом криво написанном модуле телеметрии прямой приказ сверху, мы упустим из виду настоящую, системную проблему. А она заключается не в том, что приложение узнало ваш IP-адрес прокси-сервера или выходного узла VPN. Она заключается в легализованной архитектуре ОРИ, которая обязывает сервисы хранить и передавать вообще все данные пользователей по запросу органов.
Государству не нужен кустарный модуль пинга в приложении, чтобы следить за гражданами — для этого уже выстроена законодательная и инфраструктурная база (те же ТСПУ и СОРМ). Я думаю, что то, что мы видим в коде MAX — это, с огромной долей вероятности, внутренняя корпоративная аналитика.
Лично мне было бы очень интересно!
Отлично, уже есть несколько человек, тогда на неделе накидаю. Может в выходные оформлю, если что-то не пойдёт не так. Придётся зарегаться в MAX. )))
Как это видит конспирология:
Как работают корпорации на самом деле:
Допустим, что вы правы, и это действительно сценарий "как корпорации работают на самом деле".
Вот только надо сделать следующий шаг. И что копрораты будут делать с полученной телеметрией для выполнения по аудитории и стабильности? Ведь принесут её государству, чтобы его руками на основании этих данных стимулировать не пользоваться продукцией конкурентов!
Ой... А это уже часть сценария "как это видит конспирология" - "чтобы мы могли наказывать людей и блокировать доступ к таким средствам".
То есть конспирологи в вашем сценарии просто перепутали, кто кем виляет - собака хвостом или хвост собакой.
Но если вспомнить тезис про сращивание бизнеса и государства - то есть что бизнес-интересы и государственные интересы становятся одним и тем же...
То оба сценария становятся полностью обоснованными и не противоречащими друг другу, ха-ха-ха. Потому что в обоих можно заменить корпорацию на государство и наоборот.
В конце концов вам еще и могут напомнить тезис о том, что государство - это аппарат насилия в руках господствующего класса, то есть в терминах современного языка - бизнеса. А что источником власти является народ и пр. соображения про то, что государство существует для общества - это, между прочим, тот самый ныне критикуемый некоторыми либерализм, закреплённый в своё время в нашей Конституции.
Так что всё как всегда: даже если у вас диагностирована паранойя, то это не значит, что за вами на самом деле не следят.
Вот только надо сделать следующий шаг. И что копрораты будут делать с полученной телеметрией для выполнения по аудитории и стабильности? Ведь принесут её государству, чтобы его руками на основании этих данных стимулировать не пользоваться продукцией конкурентов!
Я с этим не спорил, зачем это всё? Вопрос был к автору статьи, где он утверждал, что это не просто потому, что так получилось, а целенаправленно созданный механизм.
Давайте разберём риски. Ну, принесут, дальше что? Допустим, сделают списки блокировки для выходных нод средств обхода блокировки, раскатают их на ТСПУ на какое-то время, ну какое-то время займёт перенастроить на другие IP. Это всё, что может произойти, наказания за это не будет, т.к. такие данные к делу не пришьёшь (всякое, конечно, бывает, но маловероятно), да и нет сейчас наказания за это.
Вопрос был к автору статьи, где он утверждал, что это не просто потому, что так получилось, а целенаправленно созданный механизм.
Ну так и создан он явно не случайно, типа AI нагаллюцинировал. А вполне целенаправленно. Можно разве что о цели поспорить...
Давайте разберём риски. Ну, принесут, дальше что? Допустим, сделают списки блокировки для выходных нод средств обхода блокировки, раскатают их на ТСПУ
Ну, если они смогут делать это достаточно быстро - то задолбаетесь перенастраиваться. Плюс "замедляют" уже достаточно давно не отдельными адресами, а целыми ASками (некоторых хостинг-провайдеров). Так что тут еще и перенастройка не всегда спасёт, если будут это расширять.
Это всё, что может произойти, наказания за это не будет, т.к. такие данные к делу не пришьёшь (всякое, конечно, бывает, но маловероятно), да и нет сейчас наказания за это.
Ст.13.53 КоАП РФ уже есть. Плюс оценив по телеметрии масштаб проблемы - законодательство можно и поправить, причём достаточно быстро.
Разбор было бы интересно...
Но...вот я вполне понимаю людей кто по конспирологии идет - доверия к MRG и так мягко говоря не особо а тут - никому из разработчиков не разрешили появится и объяснить что это просто мирная аналитика без цели шпионажа намеренного (ну или никто из них не захотел это писать). В то что никто из разработчиков не читал - не верю.
Для сравнения - вот вспоминаем историю с Russian Trusted CA и яндекс.браузером - яндекс - озаботился статьями (например https://habr.com/ru/companies/yandex/articles/655185/ ) где описано как это сделано у них и почему для MITM ИХ реализацию использовать не получится. Ну да - возможно они соврали. Возможно. Но блин они хотя бы попытались.
У меня как раз на роутере стоит утилита для маршрутизации трафика и можно смотреть куда ходят запросы. Так вот последняя версия из RuStore всегда обращается к mtalk.google.com и на один какой-нибудь сервис определения IP: ipify.org, ifconfig.me, checkip.amazon.com. А iOS только к mtalk.google.com, ipv4-internet.yandex.net.
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram. Вероятно билд подготовили после вчерашней статьи.
Но тем не менее из кода они не удалены, класс называется on7.
Модуль целиком отключен не был, в нет отключили только часть, отвечающую за Telegram и WhatsApp. Предыдущие версии будут отправлять эти запросы.
Так же актуальная версия ГОСТ с официального сайта так же содержит этот код.
Да, не заметил, что сегодня появилась новая версия. Получается, они сделали сбор IP-адресов из разных источников только в Android-версии. Для работы iOS-версии приложения достаточно обращения к ipv4-internet.yandex.net, тогда как Android версия даже после обновления обращается к иностранным сервисам определения IP. Похоже, что основной целью является именно сбор этих данных, а не работа WebRTC.
На самом деле для iOS тоже собирает, вот сегодняшняя проверка от Apple Insider.
Имейте в виду, что сейчас они активно могут работать над зачисткой хвостов.
С сегодняшним обновлением 26.7.1 (RuStore) в месседжере отключили отправку запросов к WhatsApp и Telegram.
«Не прокатило, вычёркиваем.» ©
Не «вычеркиваем», а «временно дисаблим». Эти вычеркивать не умеют.
в месседжере отключили отправку запросов к WhatsApp и Telegram
Вы до сих пор отклоняете сотрудничество? Обмен логами и т.д.
Вы до сих пор отклоняете сотрудничество?
«Папа, с кем это ты сейчас говорил?» ©
Вероятно, они хотят превратить миллионы устройств в сканеры успешности своих блокировок и поиска тех, кто их обходит.
Это видимо та ai система, о которой писали недавно. Она помогает более качественно блокировать vpn трафик.
класс называется
on7
JADX генерирует имена всегда одинаковые? У меня нет ни on7, ни vb7, ни zb7
APK скачан из download.max.ru
JADX показывает те классы, которые есть в сборке. Если у вас его нет, то это значит что apk пересобрали и при сборке сгенерировались новые имена.
Именно по этой причине к названию класса и ссылкам я всегда прикладываю точный номер версии и источник. В комментарии выше это RuStore.
Но найти этот класс достаточно тривиально для любой версии, ищите по коду вхождение строки GET_HOST_REACHABILITY, вы найдете один единственный класс. В этом классе, чуть ниже будет вызов функции, первым аргументом содержащий открытую строку "api.oneme.ru". 4 остальных аргумента будут обращены именно к этому классу.
Теперь жди вежливого письма от хабр и VK юридического конторы - придатка, с просьбой удалить статью так как они считают что это клевета, так случилось с моей статьей "разбираем телегу по винтикам"
Хабр не будет удалять пока не будет судебного постановления.
Но не становись мученником в этой войне.
Один тоже критиковал Макс и ВК, НЕОЖИДАННО уехал по статье Гос Измена.
НЕОЖИДАННО уехал
Это плохо? Ответственные сотрудники ответственно отработали.
А у персонажа вдруг(!!!) оказалось хобби написание статей ...
"разбираем телегу по винтикам" - Автор оказался не только глупым, но и не предусмотрительным. Он не подумал о своей безопасности. *Больного винтика в свой безопасности не заметил. (или алчный)
Сделал без сторонних приложений, штатными средствами Android на Tecno Camon 30. С Linux через ADB разбудил скрытую функцию управления пользователями которую прячет HiOS. Были небольшие танцы с бубнами по разрешениям профиля, но разобрался. Создал второй профиль — при создании через UI телефон сам предложил разрешить звонки/SMS (хотя можно и через ADB накидать). MAX теперь сидит изолированно во втором профиле, гугл аккаунт не активировал, свитч между профилями довольно шустрый через "шторочку".
А у вас осталась эта версия 26.7.1 из рустора? 4пда давно пляшет под дудки не только государства но и любого правообладателя, файл приложения там есть, но не скачивается.
Что у вас за роутер и какая утилита стоит для мониторинга?
сделал скрипт который парит все это чудо раз в сутки. в релизах будут новые домены если авось появятся
https://github.com/fatyzzz/max-list
Спасибо. А в саму репу не релизом не хотите файлы положить?
Либо наоборот, в новых релизах все уберут на какое-то время, чтобы говорить «мы никаких запросов не отправляем», а потом, когда шум уляжется, по-тихому вернут обратно в каком-нибудь измененном и более скрытном виде.
Спасибо
Какой у вас прекрасный дисклеймер там, можно еще дописать "колебался вместе с генеральной линией партии" (шутка, если что).
https://ru.wikipedia.org/wiki/Свидетельство_канарейки добавьте ещё.
В исходном коде есть закоменченный модуль амины с потенциалом для удалённого включения после его доработки бтв. Так что всё будет ещё веселее.
Пруфов не будет, пояснений тоже
Это ещё даже не цветочки, а только росточки. Ягодки Тоталитаризма и Автократии - впереди.
С сегодняшним обновлением 26.7.1 (RuStore) в мессенджере отключили отправку запросов к WhatsApp и Telegram
Пройдет неделя-другая и снова включат по-тихому.
А почему не сделать многоходовочку и не выпустить 2 госмессенджера? Один захейтить специально ,вызвать бурление. Заодно посмотреть реакции. И потом второй, даже на иностранную компанию зарегистрировать. Дать звонки, сообщения. Не блокировать под разными предлогами. Народ сам в него набежит. Потом сыграть спектакль по переносу серверов и регистрации в России. Profit!!!
А почему не сделать многоходовочку и не выпустить 2 госмессенджера? Один захейтить специально ,вызвать бурление. Заодно посмотреть реакции. И потом заранее второй, даже на иностранную компанию зарегистрировать. Дать звонки, сообщения. Не старательно, но безуспешно блокировать под разными предлогами. Народ сам в него набежит. Потом набутылить владельца в Париже сыграть спектакль по переносу серверов и регистрации в России. Profit!!!
Он окружен людской молвой,
Он не игрушка- он живой!
В его руках от счастья ключ,
И потому он так везуч,
Все песенки о нем поют,
Скажите, как его зовут?
Да потому что хейт тут рушит доверие к системе, причём необратимо.
Уже, на подходе мессенджер Молния.
Если у вас IOS или совсем не хотите риска
А в чём риск? Кроме как "приложение выполняет ping и проверку удалённых tcp:443" больше ничего нет, это вроде как стандартное поведение, которое принимается паттерном "доверенного" приложения. А если брать мои личные данные, фото, контакты, файлы, то МАХ не имеет к ним доступа.. например, в отличие от телеграмма..
А вы точно статью читали, или сразу принялись писать «риска нет»? Существенный риск в том, что подобный сбор данных (пробирование заблокированных ресурсов, плюс определение IP и с использованием внешних, не-российских сервисов в расчете на то, что подключения пойдут по разным маршрутам split tunnelingа по geoip) ведут к обнаружению факта использования прокси/vpn и во многих случаях - непосредственно адреса самого прокси/vpn сервера, с перспективой его последующей блокировки Роскомнадзором.
И что, заблочат очередной vpn иии?
Конец света произойдет?
У меня вот вообще ничего не измениться.
С блокировкой whatsapp биомусор всякий перестал звонить,
Вам звонит сбербанк через вотсап, охренеть как рад что этот говномеседжер сдохнет в РФ
в телеге биомусор чуть ли не каждый день писал, хотя за последний год стало гораздо получше.
Сочувствую, выздоравливайте.
А, ну да, раз вам все это не нужно, то, конечно, никому не нужно.
У меня вот вообще ничего не измениться.
Тогда для вас никаких рисков нет.
У меня вот вообще ничего не измениться.
Держите нас в курсе
"У меня вот вообще ничего не измениться. "
Вы за всех то не говорите. Если вам инет нужен только для обновления странички в вк или одноклассниках, то да, вам можно не париться вообще.
Представьте себе, если лично Вам не нравится какой-то сервис, то можно не терпеть, а просто перестать им пользоваться! И для этого даже не обязательно ждать массовых блокировок! Не благодарите за подсказку.
Ну а аргумент "надо запретить, потому что им пользуются мошенники" так вообще мой любимый. Давайте по такой логике алфавит запретим, им ведь тоже пользуются мошенники для своих тёмных дел.
Только один вопрос: вы всё верно написали, хотя с выводом я, как и многие тут, с вами не согласен. Но вопрос или скорее недоумение - почему нужно писать столько воды, призывать "удалить, не устанавливать" и т.п. вместо 4 строчек фактов, которые вы написали? Выглядит как очередной "прогрев", "вброс",.. в необразованные массы, как и позавчерашняя тема https://habr.com/ru/news/1007216/ . Ведь все эти публикации, их массовость вызывают лишь отторжение у образованных пользователей, как будто очутился в мире "Идиократии".
Так это не вода. Это именно что подробное техническое изложение фактов.
Реверс-инжиниринг мобильного приложения нельзя уместить в 4 строчки. Если расписать недостаточно подробно, то читатели спросят «откуда ты вот это и это взял».
Описание найденной в результате реверс-инжиниринга проблемы тоже не уместить в 4 строчки - если расписать недостаточно подробно, то широкий круг читателей, не являющихся специалистами, просто не поймут, а у чем же проблема и чем она им грозит.
А про «не устанавливайте» - это только в самом конце статьи, где приведен список мер, как защитить себя. «Не устанавливать» - это самая надежная и действенная из них.
Ну и насчет «как и многие тут» не льстите себе - «образованные люди» в итоге все прекрасно поняли и подавляющее большинство с выводами согласилось, несогласными оказались только некоторые мутные анонимные юзеры, внезапно ожившие после долгой спячки, при этом никто из них не смог предоставить каких-либо вменяемых контр-аргументов в поддержку своего несогласия кроме «мне так кажется» и «я ниче не понял», а если и приводили, то они не выдерживали никакой критики.
А что до той следущей статьи - не удивлюсь, если ее как раз пресс-служба Макса вбросила, возможно даже это была давно готовая заготовка. Когда тебя поймали за руку за грязными делами с неопровержимыми фактами, вполне ожидаемо сделать вброс с громким заголовком, но пустым содержанием - именно для того, чтобы перебить инфоповод, добавить бесполезного шума, а потом утверждать что «все эти новости и исследования брехня», хотя на самом деле новости новости рознь.
подавляющее большинство с выводами согласилось, несогласными оказались только некоторые мутные анонимные юзеры, внезапно ожившие после долгой спячки, при этом никто из них не смог предоставить каких-либо вменяемых контр-аргументов в поддержку своего несогласия кроме «мне так кажется» и «я ниче не понял», а если и приводили, то они не выдерживали никакой критики.
Вот я приводил гипотезу - https://habr.com/ru/articles/1006666/comments/#comment_29623448
Как по мне, все уцепились за одно единственное предположение, не удосужившись поперебирать другие возможные варианты.
Все почему-то забывают, что до недавнего времени Макс был просто мессенджером компании ВК. Это потом, когда владельцы ВК подсуетились, его назначили госмессенджером. Но он при этом как был сайд-проектом ВК, так и остался. И разработчики там все те же самые, а не какие-то мнимые программисты в погонах.
Версия автора вполне может быть правдой. Но пока остальные версии не проанализированы, нельзя утверждать, что это объяснение единственно верное.
Вам там на вашу гипотезу уже ответили целой веткой комментариев :) и в итоге складывается что для вашей гипотезы имеет место быть, но вероятность небольшая. Как минимум потому что даже в официальном ответе от пресс-службы эта гипотеза никак не подтверждена вообще, они тупо ушли в несознанку и вранье, хотя если бы дело было так как предполагаете вы, они бы могли прямо так и ответить, не пришлось бы врать и выдумывать, и этот ответ был бы гораздо лучше того что выдали они. И не забываем, что при оценке тех или иных гипотез ещё большое значение играет репутация актора. А у Макса, как и у в целом у органов его проталкивающих, репутация уже и так ниже плинтуса.
Просто представьте, что если это была инициатива именно какого-то тимлида или рядового мидла. Как им это объяснять руководству? За такое по шапке надают, потому что вон аж пресс-службе отдуваться приходится. Так что с точки зрения рядовых разрабов проще просто по-тихому удалить этот функционал и сделать вид, что его и не было. Всё равно пресс-служба это никак проверить не сможет.
Вам там на вашу гипотезу уже ответили целой веткой комментариев
Про то, что ватсап и телега были заблокированы ещё до выхода макса :)
все прекрасно поняли и подавляющее большинство с выводами согласилось
С чем? Возьмите среднего российского пользователя, и посмотрите куда уходят соединения при включении компьютера(виндовс, драйвера, популярные программы), возьмите популярные смартфоны.. - да никого это почему-то не волнует. То что МАХ работает в рамках "предоставить доступ к Интернету", нет ничего страшного. Страшно - это когда вы покупаете кнопочный телефон, а он куда-то в фоне отправляет смс, https://habr.com/ru/articles/575626/ . Почему вы основываясь на вашем личном мнении, что "непозволительно МАХ собирать маршрутизацию" пытаетесь убедить и побудить к действию в этом остальных? Если взять RIPE Atlas то для региона RU постоянно(running) насчитывается почти полмиллиона различных измерений, почему вас не волнует эта деятельность Голландцев? Я не отрицаю факта, что информация может быть использована во вред, но уровень угрозы, истерики, и глупости несоизмерим фактам.
Если взять RIPE Atlas то для региона RU постоянно(running) насчитывается почти полмиллиона различных измерений, почему вас не волнует эта деятельность Голландцев?
Потому что от того, что данные о доступности заблокированных ресурсов и о внешних IP юзеров собирают голландцы и виндовс, мне и вообще любому среднестатистическому россиянину никакой опасности нет. Более того, те же голландцы наоборот полезное дело делают - они в том числе составляют картину цензуры интернета российскими властями.
А вот от того что эти данные собирает какой-нибудь российский софт (Макса тут просто первого за руку поймали), причем именно с намеренным расчетом на детектирование split tunnelling до прокси/vpn (чего пока ни за Windows, ни за WhatsApp, ни за Telegram замечено не было) и слива адресов этих самых proxy/VPN - опасность есть самая прямая.
Потому что RIPE Atlas Probe можно НЕ использовать. Можно самому запускать замеры если credits есть (за наличие Probe например дают). Потому что можно посмотреть что делает "твой" Probe.
Потому что есть пример очень скажем так адекватного поведения RIPE например в 2022 и после (а потом выяснилось что и с Ираном тоже) (я например как про то что "да да мы конечно же поддерживаем политику ЕС но никаких нафиг светлых идей с отозвать диапазоны у наглых агрессоров - поддерживать не будет, а ситуацию с невозможностей платежей взносов из России будут решать адекватно" и объяснили почему это не очень хорошая идея независимо от политики так и про функцию блокировки изменения данных с таймаутом если нужно + сообщение что проверять смену владельца будут ОЧЕНЬ тщательно когда фронт все же немного поехал на запад и возникла угроза что будут и провайдеров цап-царап и IP-диапазоны/ASN)). Они - за нормальную работу сети. Для всех.
Я добавлю еще больше. Мало того, что RIPE зонды ставят у себя гики добровольцы явно понимая что и зачем они делают, так зонд RIPE еще и не позволяет проверять DPI блокировки, так как в нем явно запрещено делать HTTP(S) запросы на случайные ресурсы. Такое измерение возможно сделать только в сторону специальных якорей, единственная роль которых и есть принимать запросы от зондов.
Доступность whatsapp зондом ripe измерить не получится.
Я сильно удивлю если скажу что у меня есть возможность возможность скажем так контролировать онлайн как минимум одного такого зонда (методом отключения связности с интернетом и/или электросетью) и доступ в админку? :)
(такая замысловатая формулировка по не-техническим причинам)
я помню какой то проект "по свободе интернета в россии" предлагал их software appliance ставить но на предложение мое не ответили
GPT говорит:
Почему это опасно суммарно
- Чувствительный признак VPN → прямой маркер “обхода/приватности”.
- Избыточность: для звонков/пушей не нужно знать доступность Telegram/WhatsApp/Госуслуг и не нужно делать это на каждом foreground.
- Необратимые последствия: даже если “сейчас только диагностика”, завтра тот же пакет легко превращается в механизм санкций/дискриминации.
- Риск утечек: такой набор данных в руках злоумышленника — почти готовый профиль человека и его сетевого поведения.
"Телекран работал на прием и на передачу. Он ловил каждое слово, если его произносили не слишком тихим шепотом; мало того, покуда Уинстон оставался в поле зрения мутной пластины, он был не только слышен, но и виден. Конечно, никто не знал, наблюдают за ним в данную минуту или нет. Часто ли и по какому расписанию подключается к твоему кабелю полиция мыслей - об этом можно было только гадать. Не исключено, что следили за каждым - и круглые сутки. Во всяком случае, подключиться могли когда угодно. Приходилось жить - и ты жил, по привычке, которая превратилась в инстинкт, - с сознанием того, что каждое твое слово подслушивают и каждое твое движение, пока не погас свет, наблюдают. "
Джордж Оруэлл "1984"
Автор а где разбор как следят за пользователями мессенджер whatsapp, телеграмм, инстаграмм и др?
Они то давно вышли, особенно связанные с утечками спецслужб и скнандами с ними связанные
Или проплатили только реверс инжиниринг мессенджера макс?
По мне так все кто желчью брызжут по поводу макса, не должны пользоваться whatsapp, телеграмм, инстаграмм...
Если это не так, то явно у этих людей отставание в умственном развитии..
Наткнулся на хороший комментарий у Алексея Гладкова
Немножко поговорим про цифровую грамотность
Тут недавно залетела статья про "нежно любимый мной" мессенджер (https://habr.com/ru/articles/1006666/) MAX (я буду наставить что правильно не Макс, а Мах, потому что с 1 марта Макс запрещен законом). Так вот хочу буквально в двух словах про статью, потому что защищать то, что косвенно блокирует мне мой интернет нет никакого желания, и потом в целом про цифровую гигиену и грамотность
Я прочитал статью, была проделана большая работа, чтобы выяснить просто ШОКИРУЮЩИЙ ФАКТ. ПРИЛОЖЕНИЯ ЧЕКАЮТ VPN. Прикиньте? Вот это да. Можно было не вскрывать для этого исходники, а, например, ну не знаю даже, просто увидеть плашку на каждом втором приложении в России, что c VPN приложение может работать нестабильно (мы в Леруа тоже такое делали). Вот это да, вау, шок сенсация. На этом, в принципе, со статьей можно и заканчивать
Но меня интересует какая шизофрения творится у некоторых малолетних дебилов (с) в голове. То есть, я правильно понимаю логику
а) Люди готовы ставить openclaw и давать ему доступ к медицинским данным/банковским счетам/доступам к дому
б) Люди готовы запускать домой иностранные робопсины чистящие с камерой и микрофоном, которые ездят по дому и тд
в) Люди фоткаются сидя на унитазе в приложение ТБанк (недавно новость была, где просили так не делать ибо отбивает аппетит и менеджеров)
г) Люди смотрят порно с телефона у которых камера на фронталке может буквально увидеть спираль у вас в матке (такое у нее хорошее разрешение)
д) Люди готовы ставить себе какие угодно VPN сделанные буквально Васяном на коленке, за просмотр 10 рекламы казино и не думать, а откуда берется профит у создателя
НО Б***Ь ОНИ С**А ПЕРЕЖИВАЮТ ЧТО КТО-ТО Б***Ь ПРОЧИТАЛ ИХ ПЕРЕПИСКИ?
Так да это работает? Я хз, я уже много писал про технологическую сингулярность, но еще больше меня пугает наложение технологической сингулярности и какой-то беспросветной тупости и безграмотности
Уровень развития среднего гомосапиенса в цифровой среде - что-то типа безграмотного румына в ауле, который даже говорить не умеет. Вот это реально вызывает беспокойство
Вы зачем сюда этот кал принесли? Автор сего опуса даже не разобрался в чем дело-то вообще, он натурально сравнивает детектирование split tunnelling’а с выявлением адресов прокси что проворачивает Макс с безобидными плашками про VPN в приложениях которые используют системный API Android и позволяют узнать только что в системе есть какой-то TUN-интерфейс. И при этом ещё мнит себя «экспертом» и оскорбляет окружающих.
А еще он огульно утверждает что все делают а) б) в) г) д) из его списка, хотя по факту большинство здесь присутствующих это не делают. И это вообще смешно. Читать таких «икспердов» - себя не уважать.
Ну откуда Вы знаете что он знает что не знает? По мне это или определение vpn через системную функцию андройд, или выявление адресов прокси похожи, просто второй вариант позволяет выявлением адресов прокси
Вангую остальные месседжеры +/- также себя ведут, но это Вас конечно но же не парит))
А еще он огульно утверждает что все делают а) б) в) г) д) из его списка,
Я могу называть Вас п***болом?
Потому что он этого не говорил
хотя по факту большинство здесь присутствующих это не делают
Вот насчет этого у меня сомнения, вы слишком хорошего мнения о людях на хабре, такие статьи с плашкой простой и домохозяйки читают
Ну откуда Вы знаете что он знает что не знает?
Из того что он сам же и пишет, если бы он знал - чушь бы не писал
определение vpn через системную функцию андройд, или выявление адресов прокси похожи
Вообще ничего общего ни в механизме работы, ни в том к чему такой сбор данных может привести.
Вангую остальные месседжеры +/- также себя ведут
Проведите разбор и докажите. У клиента той же Телеги открытый код и есть reproduceable builds, и там такой херни не нашлось. А то что WhatsApp такое вдруг зачем-то может делать - без разницы, ибо в отличие от Макса он крайне маловероятно сливает данные в РКн, а *комнадзорам других стран эти данные бесполезны.
Потому что он этого не говорил
Читайте внимательнее и между строк
|| вы слишком хорошего мнения о людях на хабре
так вы это мнение и портите
ШОКИРУЮЩИЙ ФАКТ. ПРИЛОЖЕНИЯ ЧЕКАЮТ VPN.
Нет, не просто чекают впн. Просто чекать впн - это системная функция андроида. А вот чекать какой конкретно впн используется, успешно ли используется, обходятся ли блокировки - это как раз интересное поведение, позволяющее выявлять все эти обходные пути. Зачем? Нууу... Мало ли, потом пригодится...
НО Б***Ь ОНИ С**А ПЕРЕЖИВАЮТ ЧТО КТО-ТО Б***Ь ПРОЧИТАЛ ИХ ПЕРЕПИСКИ?
В данной статье нет ни слова про чтение переписок. Возможно, Алексею Гладкову стоит внимательнее и до конца прочитать статью.
Нет, не просто чекают впн. Просто чекать впн - это системная функция андроида. А вот чекать какой конкретно впн используется, успешно ли используется, обходятся ли блокировки - это как раз интересное поведение, позволяющее выявлять все эти обходные пути. Зачем? Нууу... Мало ли, потом пригодится...
Через макс люди на госуслуги заходят, там должна быть безопасность на уровне банковских приложений и выше. И да чтобы всякое говно не лезло нужно точно знать откуда оно лезет, поэтому да правильно делают.
Я помню как через другие мессенджеры всякий мусор звонил + миллион спама приходило, в т.ч. через телеграмм
В данной статье нет ни слова про чтение переписок. Возможно, Алексею Гладкову стоит внимательнее и до конца прочитать статью.
Согласен, но просто вначале появления макс 99 всего хейта было в том что теперь не госдеп и масад будет читать твою переписку, а фсб.
+ его сообщение не относиться исключительно к этой статье
Через макс люди на госуслуги заходят, там должна быть безопасность на уровне банковских приложений
Вообще-то это всё можно (и нужно) делать на сервере услуг (пардон за масло масляное).
Я помню как через другие мессенджеры всякий мусор звонил
Мне в некоторые дни по мобильному телефону звонят по 8 раз. Что с этим будем делать? Запретим мобильные звонки? Или рано еще?
Чтобы не быть голословным
Запретим мобильные звонки? Или рано еще?
Это на Новый Год.
Кстати, в МСК протестировали вчера местами.
Все верно!
Пока блочить симки миллионами на стали так и было!
Я со столькими полковниками, банками общался что сбился со счету.
За последние полгода вообще никто из мошенников не звонил, даже успел соскучиться =)))
Особенно почему то их много было с особым южным акцентом))
Сейчас только назойливый спам остался, и то не так часто как раньше, особенно после закона о маркировки звонков.
Я понимаю вопросов ко мне очень много ребята, будте терпеливее, цензура habr-а благодаря вам, не позволяет писать мне больше =)
Ждите с вожделением кому я напишу следующему )))
Через макс люди на госуслуги заходят, там должна быть безопасность на уровне банковских приложений и выше. И да чтобы всякое говно не лезло нужно точно знать откуда оно лезет, поэтому да правильно делают.
Ну, да, вместо того, чтобы сделать свое туннелирование, шифрование, протокол, давайте просто другие запретим!
Я помню как через другие мессенджеры всякий мусор звонил + миллион спама приходило, в т.ч. через телеграмм
Сейчас уже в новостях описаны случаи того же мошенничества через мах. Когда будем мах блокировать?
"Однажды инженер Чжа Вынь обратился к Учителю:
- Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание полиции. Учитель, что вы об этом думаете?
Инь Фу Во ответил:
- Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими его тела принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Поэтому «честному человеку» есть, что скрывать. "
Браво, товарищ!
Заплюсовал бы, да вот рейтинг мой был опущен за подобный комментарий.
Люди стали жертвой дизнифорционной компании и своей глупости.
Системная информация андроид о включённом впн не надежна, поскольку впн может быть включён, например, на роутере.
Кроме того улыбнула догадка в статье про "может быть добавлен код выполнения удалённых команд". Очень "обоснованная" догадка.
Про этот автор - истинный борец за свободу, гитхаб репозиторий с список статей которого содержит лишь способы обойти блокировки. Совсем не подозрительный персонаж. Ведь люди так и начинают заниматься IT. И занимаются только одной ультраспецифичной темой.
Системная информация андроид о включённом впн не надежна, поскольку впн может быть включён, например, на роутере.
В этой статье написано, что цель этого модуля не выяснить включен ли впн. Цель - выяснить какой именно впн включен. И впн на роутере он тоже обнаружит.
Кроме того улыбнула догадка в статье про "может быть добавлен код выполнения удалённых команд". Очень "обоснованная" догадка.
Вы лжете, в статье этого нет. В статье говорится о возможности легко сделать получение хостов для тестирования с сервера. Ни о каких удаленных командах речи нет и не шло.
Про этот автор - истинный борец за свободу, гитхаб репозиторий с список статей которого содержит лишь способы обойти блокировки. Совсем не подозрительный персонаж. Ведь люди так и начинают заниматься IT. И занимаются только одной ультраспецифичной темой.
Представьте себе, когда подобная деятельность пусть формально и законна, но с большой вероятностью может привести к репрессиям со стороны государства, то не хочется публиковать подобное под своим именем?
В целом ваши комментарии говорят о том, что вы даже статью не читали.
Про этот автор - истинный борец за свободу, гитхаб репозиторий с список статей которого содержит лишь способы обойти блокировки.
Зато ваш список статей не содержит ровным счётом ничего)
Системная информация андроид о включённом впн не надежна, поскольку впн может быть включён, например, на роутере.
А вы точно-точно статью читали? Про походы на хосты вотсаппа и телеграма пропустили?
Совсем не подозрительный персонаж.
Даже если подозрительный) Какая разница?
Абсолютно любой человек читающий эту статью и эти комментарии может просто взять тот же самый пакетик, точно так же отревёрсить его и убедиться, есть там код или нет.
Или поснифать трафик и убедиться, есть ли походы в телеграм и вотсапп, или нет.
Этого достаточно для того, чтобы факт наличия кода/походов опровергнуть, вне зависимости от любого количества аргументов, риторики, обвинений, слов.
Или полностью подтвердить, вне зависимости от любого количества обвинений, риторики, аргументов, слов.
---
Как будто опять обсуждаем замедление ютуба или попытку замедления твиттера ещё в 2019-ом.
С одной стороны - команда в терминале с объяснением как она работает, по которой абсолютно каждый человек может на 100% убедиться, есть замедление или нет, и на чьей стороне.
С другой стороны куча слобоблудия - "а почему вы верите? А вот вот эти сказали, что они не замедляют! А вот про замедление ещё вот этот человек написал, а он плохой, а вы что ему верите?"
Ей богу, как будто бы не технари собрались здесь,
В РФ реверс официально законен. Можно завести Гидру, зареверсить и показать доказательства. Кажется сейчас уже есть ИИ-средства для реверса, которые сильно ускоряют процесс.
А что можно предъявить этому МАху? Что он шпионит? Так наверняка в соглашении прописано разрешение. Что использует трафик и ресурсы устройства пользователя в своих целях? Так тоже наверное прописано. Нечего предъявить, кроме разве что того, что на нас клали большой металлический болт.
Господа, есть какой то список российских приложений для андроида? Чтобы в sing-box через правила всё это сразу пускать прямо без дальнейшей обработки?
У sing-box для этого есть правило package_name, занести туда com.octopod.russianpost.client.android com.wildberries.ru ru.yandex.yandexmaps и тд.
И чтобы прям всё чему точно не нужен vpn, приложения банков, сервисы вк, сервисы яндекс, почта, гос услуги, маркетплейсы и тд.
Было бы хорошо получить полный список а то у меня ни макса ни вк не стоит.
В теории для того же sing-box можно сразу на гитхабе создать репозиторий и отдавать готовый srs файл.
Как будто бы VPN обычно не влияет на reachability сайтов...
Теперь ради поиска истины нужен такой же разбор любого приложения меты. Хоть вотсап, хоть инста.
Вы заранее уверены, что оно будет ходить на сервера условного ВК или TikTok?
Можно, а зачем? (c) В какой школе или каком госучереждении насильно заставляют ставить вотсап или инсту, а аналоги блокируют под предлогом защиты детей от мошенников? Остальные мессенджеры - свободный выбор взрослого человека кому ты хочешь сливать данные, а кому - нет. А эта балалайка - уже во многих местах требование, в тех же госуслугах вход по ватсапу или по максу?
то что какой-нибудь WhatsApp такое вдруг зачем-то может делать - без разницы, ибо в отличие от Макса он крайне маловероятно сливает списки адресов прокси и доступность заблокированных ресурсов в РКН, а *комнадзорам других стран эти данные бесполезны.
Ну так уж и быть, разрешаю вам этот разбор сделать. Делайте. Сейчас жду от вас озвученные сроки, когда он от вас будет.
есть ли опасность, если поставить хам на отдельный старый прибор с iOS?
Андроид телефоны за пять тысяч предоставляют не меньшую опасность в плане блотвара
Спасибо за исследование, производит впечатление. Однако шок-контент не кажется таким уж шок-контентом. Точнее, шок не в этом. Поясню.
Если все это сделано ради того, чтобы просто проверить, используется ли на устройстве ВПН, то совершенно не обязательно быть мессенжером МАКС (с 1 марта запрещены названия на иностранных языках). Абсолютно любой сайт интернета (и мой, и vk.com) может в фоне скриптом попытаться скачать любую картинку (favicon.ico) с любого блокированного в России сервиса (facebook.com) и по результатам сделать вывод, работает у этого пользователя сейчас блокировка или нет. А государственный сайт вообще имеет возможность даже не гонять устройство пользователя за картинкой на Фейсбук (вдруг Фейсбук заметит и отрубит незнакомую активность?), а завести свой собственный подставной сервер abcd123test-vk-max.com и "разместить" его у Роскомнадзора в списке запретных, чтобы вообще вопросов у хакеров не возникало, куда он там стучится. На свой и стучится, имеет право.
Иными словами, проблема слежки с помощью мессенджера Макс конечно заслуживает исследования. Но по сравнению с возможностями всех прочих обычных сайтов Макс ничем не выделяется - они могут делать ровно то же самое, имея идентификацию пользователя и информацию о его возможности обходить блокировку.
Я уже не говорю о том, что факт включенного ВПН видит любой сервер просто по наличию иностранного IP у российского пользователя. Если ты ходишь в тот же vk или Яндекс трижды в день попеременно то из Чертаново, то из Амстердама, то серверу все про твой именной аккаунт понятно без всяких "шпионских приложений" и сложных проверок. Извините за правду. Сам в шоке :)
Если ты ходишь в тот же vk или Яндекс трижды в день попеременно то из Чертаново, то из Амстердама, то серверу все про твой именной аккаунт понятно
Именно поэтому делают раздельное туннелирование, когда впн используется для зарубежных сервисов, а на те же вк и яндекс заходят напрямую, без впн.
А разве какой-либо отечественный крупный сайт не может просто поставить на странице (или встроить в условный блок adsense) запрос к какому-либо зарубежному чекеру ip (может быть даже ими контролируемому), и затем отправлять эти данные куда им надо? При условии, что большинство людей не пользуются блокировщиками скриптов.
Интересно как это все будет работать, если использовать сплит туннелирование по приложению
Это если клиент на смарфоне. А если интерфейс поднят на роутере - сплмт тунеллирование сложно настроить на андроиде, но можно на винде))) Через QoS и DSCP, к примеру. а dscp выхватывать на роутере и по ним заворачивать
Это будет правильно работать. Не нужно весь трафик гнать через прокси. По хорошему все ru (особенно госы) должны идти на прямую. Ну или вариант со списками, тоже не должно направлять трафик куда не нужно но это скорее на компе, где сложнее с per-app.
Как раз их методика, описанная в статье, помогает детектировать использование впн даже для умной маршрутизации. Спасет только per-app туннелирование.
С чего это? У вас на VPN клиенте в туннель будет только трафик для доменов из списка идти, остальное на прямую. Не ну если у вас 1 правило, что все что не ru -> туннель, тогда да.
Для этого используется 6 внешних сервисов для проверки ip адреса, 3 российских и 3 зарубежных.
Вы же не можете в правила поместить все заблокированные на территории РФ ресурсы как минимум из-за:
Не существует публичного полного списка всех ресурсов, к которым применяется ограничения.
Этот список столь велик, что едва ли нормально поместится в оперативную память мобильных устройств, тем более на iOS
Так что вы вынуждены либо туннелировать крупными категориями, вроде "весь зарубежный трафик", либо каждый нужный вам ресурс вбивать в список вручную, что не реально из-за того, что так или иначе ограничивается доступ к сотням миллионов адресов, включая все самые крупные CDN (так называемая 16КБ блокировка).
Ну есть списки заблокированных и openwrt их как то переваривает. Понятно, что там не все. Остальное добавлять отдельно. Но опять же это больше вариант для ПК. Для мобильного клиента это просто не удобно.
Мне кажется РКН сам может насоздавать липовых заблокированных доменов, на которых будет ловить такие впн. И этот список может быть динамическим. Пока что вижу спасение в per-app тунелировании.
И опять же. Если исходить из выводов статьи, то сплит по доменам не сработает.
Хз, много у кого работает) Я просто вбиваю в микроте в dns static нужный домен и ставлю галку "с субдоменами", действие - FWD, в адрес-лист. И в фаерволе при обращении устройства к любому субдомену он добавляется в динамический список на время ttl записи. А траффик на этот dst-address-list уже либо в мангле кидается в mark-routing с дефолтным маршрутом до vps, либо в NAT на socksify - новая фича, появилась с 7.21. Удобно, работает прозрачно для всей локалки)))
DNS же берется из DoH.
Но бывают приложения типа ютуба, которые вообще по-своему как-то стучатся, то ли через свой DoH, то ли хз что еще туда прикрутили,там оно не работает. И тогда либо app-based tunneling, либо, к примеру, на смарт тв ваще весь траффик с телека окромя локального сую в квн, ибо там только ютуб с зелеными кинотеатрами и крутятся)))
Вот только не пойму как на андроиде траффик приложения отправлять в туннель через роутер, в славные времена 4-5 версий были доступны iptables и ккча приложений, которые с ними работали, сейчас гугл сам андроид в концлагерь превратил и все позакрывал к чертям. В винде я это через костыль в QoS делаю.
Как раз их методика, описанная в статье, помогает детектировать использование впн даже для умной маршрутизации.
Да, в смартфоне логично использовать App-based Split Tunneling. Зачем делать что-то ещё? Ну, можно сделать ещё Site-based Split Tunneling для каких-то сайтов в браузере (хотя проще иметь отдельный браузер и первый механизм).
Я правильно понял, что умная маршрутизация — это список на роутере с ресурсами для обхода блокировок + средство обхода блокировок?
Описанный в статье механизм для выявления средств обхода блокировок (точнее, внешних IP-адресов, через которые такие средства обхода блокировок получают доступ к заблокированным ресурсам, потенциальный механизм, для чего он может использоваться, прямых доказательств, что используется, у нас пока нет) работает более-менее корректно только для случая постоянного включенного средства обхода блокировок. С небольшой натяжкой — для случая списков на роутере (если в такие списки попадает хотя бы один из 5-ти сервисов для определения внешнего IP, IPv6 — особый случай, вообще не ясно, как там корреляция проводится, как трафик пошёл, через IPv4 или IPv6).
Для справки, я проанализировал такие списки (несколько вариантов с разных сервисов, с разной степенью агрегации), только один зарубежный в некоторые попал, в те, что используются на практике, не попал ни один.
Получается, что этот механизм крайне ненадёжный. Это сделано или специально, чтобы его таким образом можно было замаскировать, например, под механизм бизнес-метрик, или это плохо сделанная работа (слабая постановка). Считать это реальным механизмом для выявления средств обхода блокировок на полном серьёзе в таком контексте недостаточно обоснованно (то, что на основании таких данных можно в какой-то степени решить эту задачу понятно). Можно было взять 100% заблокированные хосты, а не мерить деградацию Telegram / WhatsApp. На мой взгляд, тут второе.
Да, в смартфоне логично использовать App-based Split Tunneling. Зачем делать что-то ещё?
Затем что в iOS например вообще нет app-based split tunneling доступного обычному пользователю.
Да и на Android в прокси-клиентах 99% пользователей использует geoip/geosite-based split tunneling, потому что оно в популярных клиентах работает из коробки по умолчанию без дополнительных настроек.
Именно поэтому описанный в статье механизм как раз-таки затрагивает подавляющее большинство пользователей.
Именно поэтому описанный в статье механизм как раз-таки затрагивает подавляющее большинство пользователей.
Не согласен с ваше оценкой, то, что это создаёт риски для определённой группы пользователей очевидно, именно об этом стоило рассказать в рекомендациях статьи, подчеркнуть проблемы для пользователи iPhone. Но ваши выводы мне не понятны, в цифрах это сколько? Давайте вместе посчитаем.
Есть простой вопрос: " Можно было взять 100% заблокированные хосты, а не мерить деградацию Telegram / WhatsApp. На мой взгляд, тут второе." Почему это не сделано? Очевидно, что выявление КВН это вторичный фактор или хитрая игра, что сложно и маловероятно.
Прямо краудсорс блокировок, даже если почти все будем такими умными с шелтерами и изоляцией каналов, даже 9 из 10, то достаточно и одного, чтобы спалить целый квн ресурс и всех на нём. Сделано подло, до гениальности.
Фух. Какое же счастье что этого нет в других продуктах ВК.
Таких как основное приложение VK, VK Музыка, VK Видео...
И очень рад что также это отсутствует в Госуслугах, приложениях банков, телефонных операторов и в электронных дневниках...
Я бы ни за что не потерпел слежки за моим VPN через который я смотрю на ютубе что за ошибка на стиральной машинке вылезла.
Провел эксперимент на Pixel.
На смартфоне КВН включен и Ютуб работает.
В частном пространстве доступа к Ютуб нет. Получается что частное пространство использует свое подключение.
они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление*
Куда им с голыми пятками, да против шашки-то))) Взял, удалил, и более никогда не стааишь этот хлам на основной смартфон. По ходу, этот мусор можно ставить только на второй смарт с LineageOS под контролем, доступ в интернет ему давать исключительно с симки. И отключить наглухо все остальные радиомодули ему, включая GPS.
а реверс телеграмма и других мессенджеров выкатишь или "там-то у них вообще все секурно"?
Их даже реверсить не надо - у клиента ТГ в отличие от Макса открытый код и даже есть reproduceable builds. Их код натурально уже тысячи человек глазами и нейросетями просмотрели и ничего подобного не нашли.
И уж тем более они своих конкурентов на государственном уровне не блокируют и на свои продукты административными методами население не загоняют.
На телеграм не пересаживают из под палки. Хочешь - пользуйся, не хочешь - не пользуйся.
А есть ли готовый образ VM с андроидом для запуска в KVM\ProxMox чтобы в нём можно было запустить маха (ну и подсунуть данные оператора, гео и тд)
Мессенджер собирает данные о сети — ну пусть собирает. Зачем удалять?
Вся суть в том что и как он собирает. Тем более зачем он собирает эти данные о блокируемых/ограниченных ресурсов на территории РФ?
Мессенджер собирает данные, которые ему не нужны для нормальной работы, но будут использованы для выявления и блокировки частных vpn/прокси серверов. Поэтому надо не только «удалять», а еще и настоятельно уговаривать окружающих удалить его.
А что за агрессивные воинствующие призывы удалять, уговаривать удалять? Чтобы что?
Чтобы не общаться с родственниками и коллегами/друзьями по бесплатной голосовой связи, что пока безальтернативно в масштабе страны?
что пока безальтернативно в масштабе страны
Официально не менее 40 миллионов граждан РФ пользуются VPN сервисами, так что про альтернативы вы загнули
У вас такая статистика откуда? Как и основания ей доверять. От ВК?
Чем вызвана вообще необходимость использовать VPN?
Я бы вот задумался ходить сторонними путями, если бы например researchgate заблочили бы в рф или еще что-то важное или полезное. Но ради социалок… бред какой-то.
Но зачем сейчас пользователям удалять этот мессенджер, чтобы что? Это фактически единственное решение связи без заморочек с впн, тем более на телефоне, не гонять трафик с огромным пингом за бугор и обратно.
Никто из тут присутствующих, активноплюсующих друг друга, не смог влияние на пользователей обосновать, как и на другие «некомфортные» вопросы ответить.
Все какие-то вбросы с эмоциональным окрасом, хотя статья претендуя на техническую, собственно технический импакт не раскрывает.
У вас такая статистика откуда? Как и основания ей доверять. От ВК?
Так как я не могу дать вам актуальный социологическое исследование от организации-иноагента, то мне придется показать вам информацию от государства, которая была собрана ДО начала самых жестких блокировок вроде ютуба, дискорда, whatsapp и тд https://tass.ru/obschestvo/21026913
Чем вызвана вообще необходимость использовать VPN?
Видите, у десятков миллионов человек чем-то вызвана.
Все какие-то вбросы с эмоциональным окрасом, хотя статья претендуя на техническую, собственно технический импакт не раскрывает.
Технический импакт раскрыт прямо в этой статье.
Извините, но я не очень горю желанием вести с вами диалог далее. Я подозреваю, что вы консерва, которую вскрыли чтобы защитить такой популярный и любимый всеми мессенджер Max.
Вы как и @MiracleUsr как ребята на пэйролле старательно избегаете выхода на метакоммуникацию, уклоняетесь от открытых вопросов, что намекает...
Энивэй, больше действительно нет смысла в диалоге.
Эти данные используются для блокировки VPN сервисов.
с телека, видимо, vk video надо тоже снести
Пока моя статья на модерации я просто хочу оставить это здесь: https://vestivlg.ru/news/society/utechka-v-messendzhere-max-lichnye-foto-polzovatelej-okazalis-v-otkrytom-dostupe.html
Трекает статистику, не совсем красиво, конечно.
Но если отринуть все «системоборствующие» и «rеволюционные» нарративы - какой негативный импакт на конечного юзеров то?
Вместо того, чтобы сразу комментировать, прочитайте для начала саму статью, там есть ответы на ваш вопрос.
Ну в статье импакт на конечного юзера не раскрыт, критического мышления у автора не наблюдается, только односторонний «оппозиционный» аспект в статье. Фактически сбор статистики по доступности сторонних ресурсов для аналитики разрабами мессенджера представлен как «шпионская» функциональность.
Стремно, что Хабр стал таким.(
Проблема в том, что если на смартфоне не настроено раздельное туннелирование для этого приложения, то оно может выявлять айпишники средств обхода блокировок.
Стремно, что Хабр стал таким.(
Забавно, очередной аккаунт после пятилетней спячки проснулся именно в этой теме. Как вишенка на торте - сожаления о том, как раньше было круто на хабре
Восстановить пароль и выйти из рид-онли, чтобы реалити-чек сделать по текущей повестке.
Просто вот видя кучу акков хайпующих якобы «беда-беда, забирают свободу сидеть в %забугорный_ресурс_нейм%» и намеренно на эмоциях нагнетают тут негативный нарратив в сторону каких-то системных/государственных телодвижений цензуры и механизмов - тут невольно складывается ощущение - либо намеренный хайп, либо массы как всегда ищут конспираси в собственном государстве и всё это на поверхностном анализе поведения приклада, когда гораздо больше телеметрии сливается забугорными прикладами и встроенным ware забугорных же гаджетов…
Ну тут явно или засилье оппозиционеров, либо намереннный проплаченный хайп, либо движение масс, которые, как известно,«не могут ошибаться».
Фактически сбор статистики по доступности сторонних ресурсов для аналитики разрабами мессенджера представлен как «шпионская» функциональность.
А про то, что мессенджер ещё намеренно пытается детектировать наличие geoip split tunneling’а и в случае успеха сливает IP-адрес приватного иностранного прокси/vpn (чего не нужно ни для аналитики, ни для функционала мессенджера) вы почему-то в своем сообщении решили позорно умолчать.
Либо вы невнимательно читаете, но сразу же бросаетесь писать о том как все неправы, либо проблемы с критическим мышлением, а не у автора.
там трекается статус подключения (vpn=yes/no) и айпишки. Это норм даже в контексте безопасности внутренней требуемой теми же фстэк/фсб, по аналогии с отправкой той же даты прикладами Меты в nsa и прочие ведомства за бугром, только на стороне сервака.
В чем импакт юзеру то? Что его VPN хост прикроют по маске /8 или по AS и под раздачу попадут куча других таких же ребят?
В чем импакт юзеру то? Что его VPN хост прикроют по маске /8 или по AS и под раздачу попадут куча других таких же ребят?
Да. Ну и плюс можно на карандаш ставить умников, которые свои VPS-ки держат. С другой стороны, они и так все сидят на Хабре, который является ОРИ, сливающим куда надо всё по запросу.
Ну и плюс можно на карандаш ставить умников, которые свои VPS-ки держат.
Вы реально думаете, что сложно определить тех кто использует средства обхода блокировки? Что для этого нужно встраивать в мессенджер MAX всё, что описал автор?
На ТСПУ есть статистические методы, которые выявляют аномалии в трафике как по входящему трафику так и по исходящему (в рамках сессий), плюс глубокая инспекция пакетов, которая определяет некоторые протоколы средств обхода блокировок, в т.ч. туннелирование протоколов (например, TLS внутри TLS). Если будет поставлена задача вычислить такие хосты, они будут выявлены без MAX. Плюс сейчас AI и ML к классификации трафика подключают, новое поколение ТСПУ не за горами.
Сейчас нет наказания за использование средств обхода блокировок поэтому боятся в целом нечего. Вот появится, тогда нужно будет думать. Блокировать выходные хосты средств обхода блокировок только на основании данных телеметрии MAX вряд ли кто будет, брать на карандаш тем более. Кому конкретно и для чего это нужно то? Все наказания в стране работают по палочной системе: нет графы (куда нужно занести нужное количество плюсиков), не будет и инициативы.
Описанные вами методы и сейчас применяются на ТСПУ. Однако такими методами выявить цели гораздо сложнее, чем с помощью ПО на смартфоне.
Однако такими методами выявить цели гораздо сложнее, чем с помощью ПО на смартфоне.
Через ПО на смартфоне, о котором ведёт речь автор, в общем случае мало, что можно выявить. В норме на смартфоне включен App-based Split Tunneling, где ожидаемо мессенджер MAX отсутствует.
Если тот, кто настроил свой сервер для обхода блокировок, это смог сделать (даже по гайду, не сильно или вообще не разбираясь в деталях), то это он точно тоже сделает и уже сделал (это в рекомендациях по настройке тоже есть).
Поэтому то, что описано в статье, работает неэффективно, выявляет только тех, кто криво настроил средства обхода блокировок и пускает трафик мессенджера MAX через него.
Да, эти данные можно использовать в целях, что озвучил автор. Но кому это нужно?
Давайте представим, что есть отчёт, который из структур, сопровождающих мессенджер MAX поступает в РКН/ГРЧЦ (что само по себе возможно только на уровне служб безопасности, на уровне устных договорённостей, т. к. никто иной такую коммуникацию без бумажки не выстроит). Там его анализируют и дальше что? Сейчас для таких случаев РКН должен выяснить, кто владелец такого средства обхода блокировки, направить ему запрос на соблюдения законодательства как владельцу таких средств (там целая процедура). Кому-то из физлиц вообще такие запросы приходили (тем, кто не ведёт бизнес, оказывая услуги)?
Если приходили, то это тревожный знак. Если не приходили, то для чего тогда собирают эти данные? Для блокировки? На каком основании? Только не нужно говорить, что без основания всё происходит (в реестре где что-то блокируется, есть четкое основание, по всем заблокированным (не замедленным) сервисам такое есть). Если что-то делается, для этого есть какая-то система в госмашине, которая требует, чтобы это делалось, кому-то докладывают об этих показателях.
Кому это нужно, сходу мне в голову не приходит. Определим, тогда подтвердим опасения автора статьи.
Только не нужно говорить, что без основания всё происходит (в реестре где что-то блокируется, есть четкое основание, по всем заблокированным (не замедленным) сервисам такое есть). Если что-то делается, для этого есть какая-то система в госмашине, которая требует, чтобы это делалось, кому-то докладывают об этих показателях.
Вот недавно была статья на эту тему - https://habr.com/ru/articles/993220/
Там РКН просто втихую заблокировал VPN. Без внесения в реестр, без направления каких-либо запросов владельцу и т. д. Просто автоматика блокирует.
Это похоже на блокировку по протоколу, некоторые VPN протоколы заблокированы (конкретно Cisco AnyConnect раньше не блокировался, но возможно сейчас уже включили такую блокировку), такие протоколы работают только по белым спискам. Косвенно такое объяснение подтверждается тем, что проблем с доступом по SSH не было и IMAP тоже работал. Не выглядит так, что блокировали именно его ресурсы. Возможен, ещё вариант блокировки по имени (который озвучил автор), но думаю он маловероятен.
На ТСПУ есть статистические методы, которые выявляют аномалии в трафике как по входящему трафику так и по исходящему (в рамках сессий)
Я позволю себе поставить это под сомнение. Это в целом не тривиально, не дает хоть какую-то уверенность (может вы видео качаете или игру обновляете). Так же современные методы туннелирования и маскировки нивелируют это.
плюс глубокая инспекция пакетов, которая определяет некоторые протоколы средств обхода блокировок, в т.ч. туннелирование протоколов (например, TLS внутри TLS)
Именно поэтому современные средства маскировки не содержат TLS внутри TLS. К слову, детектор tls-in-tls пытались сделать в Китае (с бюджетом в около 100 раз больше на эту тему) и не смогли.
Если будет поставлена задача вычислить такие хосты, они будут выявлены без MAX. Плюс сейчас AI и ML к классификации трафика подключают, новое поколение ТСПУ не за горами.
Вместо приведения множества аргументов, хотите я вам скину научную работу на эту тему от ученых из ИТМО? Ее уровень столь низок, что даже грустно как-то становится.
В этой же статье они между строк признаются, что у ТСПУ не хватает ресурсов даже на обычную инспекцию пакетов, не говоря уже о запуске ML моделей. Не говоря о том, что реально работающих моделей, вероятно, просто не существует и их не очень дешево сделать, особенно в условиях, когда множество ML специалистов покинули страну (по множеству разных причин).
По поводу архитектуры ТСПУ были сливы, сами найдете, если захотите.
А вот лично мой комментарий к этой их работе:
Они взяли самую наивную конфигурацию xray без мультиплексирования, мусора и паддингов. В этом туннеле был только один поток данных - VoIP звонок с аудио кодеком G.711. И даже в таких стерильных условиях их модель показывает вероятность в 76.7%. Это на самом деле очень низкий процент срабатывания, учитывая что транспортный поток вероятно полностью повторяет набор данных, на котором модель обучалась.
Фактически видно, что они подгоняли окружение под результат.
Если блокировать сессии, в которых модель показывает 76%, то вместе с этим будет заблокировано очень много легитимных соединений, вероятность ложноположительного срабатывания тут огромна. А вот xray они так не заблокируют, так как демонстрируемая ситуация почти невозможна в реальных условиях.
Если плохо настроить xray кто-то и может, то вот VoIP звонок с кодеком G.711 это очень редко встречающаяся ситуация, тем более одинокий voip звонок без дополнительных данных. Если вам кажется, что это тоже самое, что звонок в whatsapp/telegram/google meet, то нет. Сейчас все звонилки используют WebRTC, что означает что там будет не RTP пакеты, а SRTP. Кодек там будет не G.711, а Opus, сверху этого может еще передаваться видео в том же канале, а если нет, то хотя бы управляющие команды в webrtc datachannel.
И модель, которая стабильно и безошибочно будет определять такой трафик внутри правильно настроенного xray туннеля либо нереальна, либо потребует таких ресурсов на исследования, которых у них нет и никогда не будет. В итоге их максимум это “запретим скачивать больше 16-32кб в одной сессии с половины интернета”, то есть опять ковровые бомбардировки по площадям без реального результата.
Что касается ML моделей, то ими давным давно промышляют в Китае, к примеру, на сколько я знаю, у них плохо получалось детектировать TLS-in-TLS. Насколько мы все знаем, xray прекрасно работает в Китае, даже при том что там на это тратятся куда большие бюджеты и имеется гораздо лучшая научная школа в этом направлении.
Что касается фразы “между строк”, то имелось в виду, что на данный момент ТСПУ, если конкретнее его модуль EcoFilter не имеет достаточно вычислительных ресурсов для запуска ML моделей, тем более на все TLS сессии. У них даже разрешенный QUIC нужно забивать в отдельный лист для анализа и все остальное откидывается. Главная причина этому - недостаток вычислительных ресурсов.
Отличный комментарий, не увидел его сразу, немного в другом ключе бы свой прошлый ответ построил. В целом согласен с его выводами, но ...
Для определения средств обхода блокировки на базе различных КВН достаточно статистических методов (как к слову и для других методов, что используют, к примеру, фрагментацию пакетов и иные техники затрудняющие анализ). Если с конкретного IP днями идёт трафик на конкретные хосты и приходит также с конкретных хостов, то это явная аномалия, дальше она анализируется DPI более подробно (ML моделями для определения протокола), после чего обрабатывается статистическими методами и попадает в список DPI блокировки или на стол тем кто принимает решение, что с этим делать дальше. Это относительно простая не ресурсоёмкая задача. Блокировать всё мгновенно тут задачи не стоит. Сейчас стоит задача выявлять тех кто нарушает КоАП 13.52.
Если с конкретного IP днями идёт трафик на конкретные хосты и приходит также с конкретных хостов, то это явная аномалия
Это опасно с той точки зрения, что так можно заблокировать какой-то CDN или стриминговый сервис. Кстати, обходы через CDN тоже популярны.
Если вы проанализируете свой трафик, то выясните что это не так уж и странно, особенно если вы не завернули в впн вообще весь свой трафик, а оставили к примеру ру сегмент напрямую.
Это опасно с той точки зрения, что так можно заблокировать какой-то CDN или стриминговый сервис
Думаю, что не опасно, потому как там анализируются пары: каике-то внешние IP (где вхолдящий/исходящий трафик на сервер КВН), и IP конечных устройств (конкретные сессии для случая провайдерского NAT). Такие аномалии относительно просто выявляются статистическими методами.
Если вы проанализируете свой трафик, то выясните что это не так уж и странно
Не совсем понял. Что не странно? ;) К примеру, трафик Youtube, он идёт через КВН, это более чем видно на ТСПУ в общем трафике типового домохозяйства. Эта аномалия легко выявляется и верифицируется, потом блокируется, если требуется.
(следует читать вместе с комментарием в ветке ниже)
Обратите внимание, что ваша мысль построена на том, что аномалию определить легко статистически, но это не так, иначе всех уже поблокировали бы.
Вы сами скидывали выжимку и обращали внимание а пункт 23, там написано буквально следующее:
Простая (например, XOR) - Фильтр может «развернуть» обфускацию и распознать протокол
Протокол притворяется другим - Распознавание возможно, но требует разработки новых сигнатур и методик
Качественная имитация другого протокола - Распознать невозможно без разработки принципиально нового подхода
Текущие средства маскировки это пункт 3, хотя они даже пункт 2 пока что не смогли осилить (и 1, в общем то). Это подтверждается тем, что все еще работает OpenVPN с тривиальным XOR патчем.
См. 5.1.4:
Анализ выполняется не над отдельным пакетом, а над сессией в целом — движок накапливает информацию о нескольких пакетах в рамках одного соединения и на основе совокупности признаков определяет тип трафика. Для шифрованного трафика (например, VPN-протоколы, мессенджеры) прямое определение по заголовкам невозможно, поэтому используются косвенные признаки: характерные размеры пакетов, частотные паттерны, статистические аномалии.
Я думаю, что всё ещё впереди. Пока нет явной воли прямо всем заблокировать, очень много завязано на внешние сервисы, которые нужны. К примеру, AI инструменты, внутренние пока ещё не готовы явно конкурировать с внешними.
Я позволю себе поставить это под сомнение. Это в целом не тривиально, не дает хоть какую-то уверенность (может вы видео качаете или игру обновляете). Так же современные методы туннелирования и маскировки нивелируют это.
Конечно, приятно удивлён конструктивной дискуссии, но я всё же задам вопрос: это просто ваше экспертное мнение или вы разрабатывали такие средства, эксплуатировали их, знакомы с функциональностью, например, по открытым источникам?
Можем вместе почитать, что умеют ТСПУ: https://github.com/DanielLavrushin/tspu-docs (см. раздел 23).
Конечно, есть проблемы и это не тривиально, но подходы есть, он внедряются, качество растёт, бюджеты осваиваются.
Именно поэтому современные средства маскировки не содержат TLS внутри TLS. К слову, детектор tls-in-tls пытались сделать в Китае (с бюджетом в около 100 раз больше на эту тему) и не смогли.
Ммм, ну, ок. Что именно это должно было объяснить? Я не увидел тут каких-то возражений. ;) В ТСПУ есть двухступенчатая обработка трафика, сначала там выявляются аномалии, затем они направляются на статистический и AI анализ и далее уже делаются специальные DPI списки, которые работают быстро.
В этой же статье они между строк признаются, что у ТСПУ не хватает ресурсов даже на обычную инспекцию пакетов
Ну, не между строк, а прямо они говорят. Но это масштабируется, ставится новое оборудование, оно модернизируется, бюджеты выделяются, мощности растут, плюс изменяются подходы к анализу и блокировкам.
Я правильно понимаю, что вы считаете, что раз ТСПУ не справляется, то логично детект средств обхода блокировки встроить в мессенджер MAX? Для меня это слабый аргумент: думаю, что нет такой задачи сейчас. Была бы, уже в КоАП мы наблюдали соответствующую статью про запрет использования средств обхода блокировок.
не говоря уже о запуске ML моделей.
Раздел 23.1.4 доки выше.
Не говоря о том, что реально работающих моделей, вероятно, просто не существует и их не очень дешево сделать, особенно в условиях, когда множество ML специалистов покинули страну (по множеству разных причин).
Как там в "песне": за деньги, да!
По поводу архитектуры ТСПУ были сливы, сами найдете, если захотите.
Это сфера моих профессиональных интересов, но немного в другом поле, слежу, знаком.
P.S. Рад, что вы открыто ведёте дискуссию, спасибо!
Можем вместе почитать, что умеют ТСПУ: https://github.com/DanielLavrushin/tspu-docs (см. раздел 23).
Конечно, есть проблемы и это не тривиально, но подходы есть, он внедряются, качество растёт, бюджеты осваиваются.
Да, я читал, но я изучал это не в нейроадаптации, а в первоисточнике слива.
Ммм, ну, ок. Что именно это должно было объяснить? Я не увидел тут каких-то возражений. ;) В ТСПУ есть двухступенчатая обработка трафика, сначала там выявляются аномалии, затем они направляются на статистический и AI анализ и далее уже делаются специальные DPI списки, которые работают быстро.
Возражение в том, что этого нет даже у флагманов этой области, не то что РКН с их скромным бюджетом
Ну, не между строк, а прямо они говорят. Но это масштабируется, ставится новое оборудование, оно модернизируется, бюджеты выделяются, мощности растут, плюс изменяются подходы к анализу и блокировкам.
Как там в "песне": за деньги, да!
Я врятли ошибусь, если оценю запуск ML моделей потребует в сотни раз больше ресурсов, чем статический анализ на ПЛИС. В итоге, вместе с разработкой качественных моделей, бюджет на такой проект очень заметно бы превысил годовой бюджет РФ
Я правильно понимаю, что вы считаете, что раз ТСПУ не справляется, то логично детект средств обхода блокировки встроить в мессенджер MAX? Для меня это слабый аргумент: думаю, что нет такой задачи сейчас.
Почему нет? Это очень дешевый и эффективный способ точечно находить и блокировать частные VPN сервера. Экономия, вероятно, сотен миллиардов долларов
Была бы, уже в КоАП мы наблюдали соответствующую статью про запрет использования средств обхода блокировок.
В КоАП уже все есть. Обратите внимание, что ввиду того, что впн сервисы хостятся на зарубежных серверах, не сотрудничают с правительством РФ, а так же то, что вычислить конкретного владельца или оператора конкретного сервиса почти невозможно, то в соотвествии с ФЗ "О связи" РКН уже наделен правом внесудебно блокировать такие сервисы.
Находить и наказывать кого-то сложно и токсично с точки зрения повестки, а вот блокировать - к этому все более менее привыкли.
Помните, что КоАП это административный кодекс, действующий на территории РФ. Зарубежный компании и зарубежные впн сервисы ему не подчиняются по определению. Так что РКН действует исходя из своих прав внесудебно ограничивать доступ к таким ресурсам, как единственный реальный механизм для них.
Кроме упомянутого 126-ФЗ (О связи), обратите так же внимание на:
149-ФЗ, статью 15.8 (Требование об ограничении доступа к запрещенной информации)
90-ФЗ (Закон о суверенном рунете)
Внесудебные блокировки разрешены в том числе на основании постановления правительства № 1279
Зарубежный компании и зарубежные впн сервисы ему не подчиняются по определению. Так что РКН действует исходя из своих прав внесудебно ограничивать доступ к таким ресурсам, как единственный реальный механизм для них.
Верно, но мы говорим о людях, кто для себя поставил КВН сервер, чаще всего они используют хостинги (там часто паспортные данные нужно), платят за них со своих банковских карт, всё это устанавливается почти без проблем (кроме тех, кто дал о себе ложную инфу и платит через криптокарты).
К ним могут прийти даже с КоАП (пока такой практики не наблюдалось, но притянуть за уши там можно).
К остальным, да, вот это:
Внесудебные блокировки разрешены в том числе на основании постановления правительства № 1279
ПП №127? Да, это основной механизм. Но сейчас это уже ПП №1667 действует.
Верно, но мы говорим о людях, кто для себя поставил КВН сервер, чаще всего они используют хостинги (там часто паспортные данные нужно), платят за них со своих банковских карт, всё это устанавливается почти без проблем (кроме тех, кто дал о себе ложную инфу и платит через криптокарты).
платят за них со своих банковских карт, всё это устанавливается почти без проблем
Ответ стоит разделить на 2 части:
Ни один европейский хостер не попросил у меня паспортные данные, у меня есть опыт сотрудничества с десятками крупных. Карты ладно, но многие платят картами других стран (коих у граждан РФ сейчас миллионы). И биллинг адрес указывают тоже в соседней страны.
Ну, очевидно что заграничный хостер имеет какие-то мои данные. Как вы вообще себе представляете ситуацию, где они их выдадут? Они если что-то и будут выдавать, то только по линии интерпола. Удачи через интерпол запросить данные владельца впн сервера.
Если посмотрите гайды, где про КВН (просто погуглив), очень много хостинговых и облачных компаний там не зарубежные, которые в таких гайдах прямо или скрыто рекламируются. Считать, что люди в основном поступают, как описали вы не очень верно, я думаю, что многие просто делают по гайдам (берут рекомендованные хостинги). Возможно я неверно оценил, но не вижу тут места для дискуссии. Я просто озвучил возможные риски в части КоАП для таких людей.
Как раз по моим наблюдениям большинство хостеров, даже те, что принимают оплату картами РФ имеют юрлица за границей. С их точки зрения это более, чем логично - законодательство РФ касательно хостеров сейчас исполнять сложно и опасно с точки зрения дальнейших рисков закручивания гаек.
Вот, к примеру, лично я хотел зарегистрировать свою AS и выяснил, что это несет такое дикое количество требований, ограничений и потенциальных трат в РФ (в худшем случае десятки миллионов рублей), что быстро отказался от такой идеи. К слову вне рф регистрация AS никак государства не касается, это простейшая процедура.
Как раз по моим наблюдениям большинство хостеров, даже те, что принимают оплату картами РФ имеют юрлица за границей.
Честно, в этом моменте потерял нить нашей дискуссии, точнее не совсем понимаю вашу аргументацию. Я указал, на то, что часто в гайдах (в сопутствующей рекламе) есть хостеры/облачные сервисы, которые деанонимизируют перед системой обывателей. Это очевидно.
Вы приводите в пример, что конкретно вы в безопасности не видите в этом проблемы и приводите частный случай как пример. Вы молодец, но все остальные, которые пошли по гайду и заказали свою виртуалку у провайдера такой услуги, который юрлицо в РФ и берёт у них данные, и точно их сдаст при запросе, сейчас в зоне риска. Соответственно нужно было бы навести страху, несколько бы показательных административных дел решили бы этот вопрос или бы ввели более строгие законодательные нормы за такие дейтсвия.
Также я высказал мнение, что если стояла бы задача именно массово выявлять такие средства обхода блокировок, она бы решалась (и решается, насколько мне известно) на системе ТСПУ.
Вы нашли в мессенджере MAX сбор метрик, которые могут использоваться не по назначению (для выявления средств обхода блокировок для ряда случаев). Я позволил себе не согласится с вашим тезисом, что такие данные используются именно так и именно для этого были предназначены. То, что они могут так использоваться неоспоримо, но я считаю, что это не главная задача, как вы преподнесли, только и всего. Насколько реален этот риск, нужно подумать оценить, я не пытаюсь его скрыть или оправдать.
В любом случае спасибо, статья отличная, дискуссия также не пустая.
Пресс службе МАХ верить нельзя. Она не заслуживает доверия
РКН по своему похоже видит ИИ для блокировки впн.
Если посмотреть на сухие факты из написанного, мы имеем подозрительные (не факт, что плохие, а именно подозрительные) запросы от мессенджера.
Далее, с моей точки зрения, чтобы добавить к статье немного научности, можно провести сравнение аналогичной информации с другими приложениями, как то: упомянутые телеграм и вотсап, инстаграм, тик ток и тд и тп (хотя бы с несколькими для репрезентативной выборки). Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
Правильным действием было отправить об этом вопрос команде Max, а вот оставлять его без комментариев нехорошо, он как то влияет на Ваши выводы и рекомендации, например, по удалению и призывам к этому?
И последнее, по поводу совета удалить Max после проведенного реверс инжиниринга: если окажется, что другие мессенджеры или приложения делают похожее, автор обязуется призывать всех знакомых удалить их тоже?
Далее, с моей точки зрения, чтобы добавить к статье немного научности, можно провести сравнение аналогичной информации с другими приложениями, как то: упомянутые телеграм и вотсап, инстаграм, тик ток и тд и тп (хотя бы с несколькими для репрезентативной выборки). Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
Ачтонасчетизм? Ни один из этих продуктов не является ни государственным, ни окологосударственным и уж тем более никем не навязывается. И да, глупо думать, что такие исследования не проводились, учитывая открытость исходного кода клиента Телеграм, к примеру.
Правильным действием было отправить об этом вопрос команде Max, а вот оставлять его без комментариев нехорошо, он как то влияет на Ваши выводы и рекомендации, например, по удалению и призывам к этому?
Правильным действием было бы сначала прочитать статью, а потом ее комментировать. В конце статьи буквально есть ссылка на ответ команды Max.
автор обязуется призывать всех знакомых удалить их тоже
Да, сразу же, как только кто-то начнет обязывать их ставить и это сможет оказать влияние на мою или их жизни.
А вообще - провокация достаточно дешевая.
Если посмотреть на сухие факты из написанного, мы имеем подозрительные (не факт, что плохие, а именно подозрительные) запросы от мессенджера.
"...опять эта проклятая неопределенность" (с)
Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
проверяет ли вацап доступность серверов скама для америанского ркн? могу попробовать угадать ответ с трёх попыток.
Они посылают похожие запросы? Если нет, то какие то выводы можно сделать.
Телеграм и Ватсап такие запросы не посылают
если окажется, что другие мессенджеры или приложения делают похожее, автор обязуется призывать всех знакомых удалить их тоже?
Если эти приложения подконтрольны или имеют отношения к структурам государства, резидентом которого является конкретный человек - то безусловно да. Поэтому у если условный Ватсап будет делать прям вот такое, то россиянам его удалять нет особой нужды, а американцам уже стоит.
..
есть признаки того, что планируется приделать к нему полноценный модуль выполнения команд с сервера.
..
Т.е. если этот функционал допилят (а скорее он уже готов), то приложение превратится в удаленный терминал. Это значит, что сервер сможет динамически отправить команду телефону сделать практически всё все что угодно (например, записать аудио или сделать фото), а не только собирать статистику автоматически.
Автор молодец. Я видел логи МАХа месячной давности там народ мониторил через прокси куда этот троян обращается. И там все эти подключений к телеге и ватсапу было очень много и активно. Там не было разбора трафика - только IP адреса. Еще заметил код приложения причесали спрятав все компрометирующее. Пару недель назад решил посмотреть изменения по сравнению со старыми версиями и оно значительное.
Я бы даже не спорила, шпионский это модуль или очень умная диагностика. Сам факт, что приложение собирает vpn-флаг и ходит проверять телегу с вотсапом, уже ломает доверие в ноль. У мессенджера и так куча доступа - контакты, уведомления, сеть, фон. Если туда еще добавляется удаленно включаемый сбор сетевой картины, то это просто другой класс софта
Приложения в shelter/knox/двойном профиле в случае vpn в котором нет раздельного туннелирования или оно выключено работают точно так же как и приложения просто установленные на телефон.
А если ваш vpn умеет раздельное туннелирование, то можно просто для СКАМ отключить хождение через vpn.
А какой список адресов минимально необходимых для работы Скама и только российских. Задача для Скама на выделенном телефоне. В роутере разрешаем только Скамовые адреса . Все остальное для данного телефона , устройства со Скамом в блок.
Я не осилил все комментарии, так что извините, если кто-то уже предложил подобное.
Я немного отстал от жизни, но раньше, ЕМНИП, можно было разобрать APK, подправить там что-то и собрать, при необходимости подписав другим ключом. И оно работало, только обновления не ставились из-за конфликта подписей. При чём пропатчить APK можно было прямо на устройстве (при наличии рута, естественно).
Я к чему - что, если разобрать MAX условным apktool'ом до .smali, найти этот самый модуль. И "испортить" строки команд. То есть, например, вместо команды GET_HOST_REACHABILITY он отправит команду GET_H0ST_REACHABILITY или вообще BLAH-BLAH-BLAH? Сервер же не сможет правильно обработать результат, я верно мыслю?
И когда софтина принимает команды от сервера, она же точно так по захардкоженым строкам определяет, что от неё сервер хочет. Может, испортить эту строку, чтобы шпиёнский модуль не запускался? Сделать эти строки такой же длины, как оригинальные, пересобрать, и вуаля!
Или модифицировать пакеты с помощью того же mitmproxy (если он умеет) или чего похожего - фильтровать или просто портить.
Другой момент, что с сентября Гугл запретит установку пакетов, подписанных неизвестными ключами, но наверняка и тут что-то можно будет сделать, особенно на рутованом телефоне.
Вы еще посмотрите что в Windows версии MAX. 26.7.0 web.whatsapp.com
Лет 20 назад на десктопах под Windows была популярна такая штука, как Outpost Firewall. В режиме обучения оно показывало окошки, в которых была информация о том, какое приложение на какой адрес пытается подключиться, и были кнопки «Блокировать» и «Разрешить». Сейчас было бы очень полезно такое на смартфонах. По сути, любое приложение может быть задействовано в сливе информации о вашем реальном IP, IP вашего КВН, и о вашем провайдере.
А еще был бы очень востребован альтернативный клиент Макса, из которого было бы всё это вырезано.
А еще был бы очень востребован альтернативный клиент Макса, из которого было бы всё это вырезано.
Наблюдается активное противодействие это от разработчиков Max. Они постоянно рассылают требования и абузы на любые попытки такое сделать.
Это в принципе (сделать полностью альтернативный клиент, не сборку) невозможно в силу требований, накладываемых интеграцией c Госуслугами и прочими системами. В теории можно, но это будет не бесплатно. И открыть код тоже, не всех модулей можно.
Блокировка сторонних сборок понятна, т.к. под их видом могут распространятся подготовленные злоумышленниками сборки с закладками. Это прямые риски.
Я не хочу интеграцию c Госуслугами и прочими системами, мне подойдет простой мессенджер который не следит за мной и не сливает данные кому надо. Телеграмм например имеет открытые исходные коды для клинтской части мессенджера и они по этому поводу не парятся. Если не хотят выкладывать исходникик Max то там в них скорее всего жуть полная, слежка на слежке и дырой в безопасности погоняет.
Частота сообщений от этого фаевола была местами раздражающей даже тогда. Сейчас на рабочем столе голой Виндоус, небось, замучаешься :)
У меня телефон уведомляет, если приложение из встроенной песочницы пытается в фон выпрыгнуть. Так я удалил рустор. Попытки были столь частыми, что невозможно было смартфоном пользоваться из-за этих уведомлений. Хотя, возможно, я сам какие-то разрешения ему недоотключил. Тем не менее.
Сейчас использую Windows Firewall Control от Malwarebytes. Тоже есть режим обучения, где тебя на каждый чих в сеть спрашивают разрешение на подключение. По началу раздражает, но затем через некоторое время накопления правил уже работает нормально. Кроме того, там вроде есть автоматический режим обучения, который не спрашивает разрешения для подписанного софта.
Номер статьи хороший, вы специально подбирали? )
А как на айфоне можно заблокировать полностью работу любого мессенджера либо его выход в интернет (полностью, на 100%)?
Если заблокировать выход в интернет тогда это будет не мессенджер, а записная книжка, сообщение не будут ходить вообще никуда. Там нужна выборочная блокировка и для iPhone это очень сложно сделать.
ну имеется ввиду что я могу оперативно заблокировать и разблокировать мессенджер. На айфоне есть возможность полностью заблокировать конкретному приложению доступ к сотовому интернету. но не к вай фай .
И вроде как есть возможность заблокировать не выход в инет (вайфайный), а саму деятельность приложения через экранное время (лимит вроде называется). Насколько это надежно?
То-то у меня вдруг стали пробиваться не с того ни сего сообщения в Whatsapp. Очень необычно, он вроде бы заблокирован, а сообщения без всякого впн приходить стали.
А веб версия макса так же пакостит? Если я с браузера отдельно запушу, так что будет щупать трафик как с телефона(андроид) так и пк(винда)?
Ни фига себе, статья уже попала в топ-5 Хабра за все его существование)
Запускать Firefox портативный в томе VeraCrypt — как думаете, вариант? Поработал и размонтировал.
Раз портативный, то (по идее) в системные папки не должен чего-то важное писать. Как на практике я хз. Портативная телега кэширует в \Downloads\Telegram Desktop, к слову.
Теперь, вы сами видите товарищи кто такие вредители и враги народа...
Ребятушки, а если же мы знаем куда он запросы делает, может можно как то его лодной инфой тогда накормить? К примеру настроить свой ДНС, и в роутере редиректить с него к примеру ИП из пула РКН... чтоб они сами себя заблокировали) Или я не прав?
Там протокол без защиты от навязывания ложной информации (нужен только идентификатор сессии, возможно без него не будет работать), можно вообще наспамить кучу всего (т.е. простым скриптом лить такие сообщения бесконечно). Но я вам об этом не говорил. На всякий случай, предупреждаю, что формально такие игры (включая ваши предложения) могут трактоваться как преступление (УК РФ 272, 273, 274.1).
формально такие игры (включая ваши предложения) могут трактоваться как преступление (УК РФ 272, 273, 274.1).
Какая радость, что УК РФ не действует на территории других стран!
Для граждан РФ на территории других стран - действует.
Если у вас Android, можно установить приложение в отдельное, изолированное рабочее пространство. Обычно такое пространство не наследует VPN соединение основного профиля.
Поясните на пальцах, если можно. Вот Android, max установлен в рабочий профиль. Стоит VPN-клиент в основном профиле, запущен. Туннель работает для всех приложений. Траффик идет через условный европейский сервер, заблокированные ресурсы доступны. Получит ли max возможность проверить их доступность из рабочего профиля?
Хорошо было бы перевести эту статью на английский и послать в службу поддержи Apple Store, чтобы забанили MAX там. Тут описания достаточно, для того чтобы считать MAX spyware. И за меньшее там банили.
Ну никогда такого не было и вот опять, ну надо же хD
А вообще мда конечно
И это называется реверс инжениринг?! Упоминание каких-то классов, которые как-то из APKшки андроидной дезассемблировались в Smali или во что он там дезассемблируется с помощью JADX как вы упомянули, причем без логики?!
Причем этих классов, самих, их нет вообще в статье, просто упоминание🤦♂️...
Признаю, я не компетентный, тем более за разработку мобильных приложений и веба вообще.
Но технически, если автор, действительно, компетентен статья только показывает, что есть запросы к Telegram, Whatsapp (с чем, действительно, Max приврал, да и то не совсем) и адреса пользователей, которые VPNом пользуются и более ничего. Зато вывод в следующем, не хочешь лишаться бытового комфорта, который макс тебе в принципе не нарушает => удаляй Макс, а если более компетентный ставь его во всякие эмуляторы, блокируй адреса и прочее. Ну ок, хорошо, я делать это не буду вообще.
Если вы такой компетентный, на ГХ выложили бы всё, чтобы просто ./AnalisysMax.sh /путь_до_APK_макса.apk, или вообще, чтобы он скачал его с RuStore или сайта макса(как он уже в комментах прирепленных и написал), сделали бы такой скрипт, который всё скачает да покажет - что да как. Но нет, автор, вы просто сделали САМИ, а теперь верьте вам, специалисту. Ещё в добавок его с 4pda качать, да, класс...
Чтение этой статьи вызывает нужные эмоции, под которыми человек двигает эту статью вперёд, только у максофобов, коих сейчас большинство.
(Далее это я не для автора, а для читающих этот коммент пишу, хотя и автору тоже)
И просто тупо прослеживается какой-то явно скрытый(ладно не скрытый) нарратив, что Макс следит именно с какими-то черными мыслями(да автор явно не говорите с какими, просто констактирует, что следят и всё). А может телеграмм тоже это делает? Может и это автор проверит, тот же Whatsapp, а может быть гляните ещё SnapChat, Viber да и WeChat и что там будет? Да такая же картина, с высокой вероятность, а может ещё хуже - и ещё больше мониторинга. Только если автор это проверит, и если это, конечно, так, и выложит сегодняшнему Максофобному сообществу, оно к этому будет относиться нейтрально и вообще никак, но зато к Максу претензий вагон и мелкая тележка.
Если мобильный или веб клиент макса просто обращается к Telegram и Whatsapp, и ещё пакеты сетевые с информацией об использовании VPN отправляет => из этого точно нельзя сделать вывод , что там на серверной стороне, узнав, что вы пользуетесь ВПН-ом, с вами интересное и черное что-то там такое сделают, автор сам ведь написал:
Вероятно, они хотят превратить миллионы устройств в сканеры успешности своих блокировок и поиска тех, кто их обходит.
И что это прям так страшно звучит? И из этого следует, что с теми, кто обходит, будет что-то плохое?!
Покажите прям логику методов этих классов, да вы писали, что реверс этого приложения затруднён, но если уж реверс, то полнее его хотя бы сделали, а не просто какие-то непонятные от слова совсем "заметки" под спойлером в статье, которым я, читатель обычный, верить должен, да ещё и проверять с помощью 5-ти программ. Мне честно лень это делать.
Автор показал, как парсит сетевой пакет с помощью аддона, написанного на Python, молодец, а вот в "заметках" спойлерных просто таблица с классами, где выявление пользователей с VPN происходит)
Это точно не реверс-инжиниринг. Автор только перехватил трафик и всё.
И, естественно, ответившие на этот коммент имеют меня права заткнуть за некомпетентность. Но статья автора вообще не вызывает доверия абсолютно.
Ещё больше всего вызывают улыбку люди, цитирующие 1984, как видимо, только это в голову приходит и только на это хватило терпения на прочтение, да и то как-то поверхностно.
Уинстоны мы уже все живём в ingsoc, и не только наша страна, думаю вы и так это прекрасно и без меня понимаете, и пора смириться, чтобы избежать лишнюю и необоснованную трату времени и нервных клеток. Наша реальность в отличие от Оруэла не такая уж и страшная, пока что, и да сегодня не так и просто жить, но жить всё таки можно, и никто в вашу прям частную жизнь не вторгнется, если вы серьезно не накосячите.
Так что забейте уже на этот Макс и живите счастливо =)
Выше человек писал, что напишет статью про более глубокий реверс-инжиниринг с реальными рисками, а не притянутыми за уши, интересно будет почитать.
И это называется реверс инжениринг?! Упоминание каких-то классов, которые как-то из APKшки андроидной дезассемблировались в Smali или во что он там дезассемблируется с помощью JADX как вы упомянули, причем без логики?!
Причем этих классов, самих, их нет вообще в статье, просто упоминание🤦♂️...
Признаю, я не компетентный, тем более за разработку мобильных приложений и веба вообще.
Это очень дешевая и глупая провокация, достойная защитников Max.
Я думаю почти всем здесь кажется очевидным почему тут нет контента этих классов. Если вы делаете вид, что вам нет, то я вам разжую - это сделано намеренно чтобы лишить VK возможности наехать на статью с точки зрения авторских прав. Опубликовать пусть и дизасемблированную версию было бы незаконно, что дало бы им отличный повод потребовать удаления статьи.
Если вы такой компетентный, на ГХ выложили бы всё, чтобы просто ./AnalisysMax.sh /путь_до_APK_макса.apk, или вообще, чтобы он скачал его с RuStore или сайта макса(как он уже в комментах прирепленных и написал), сделали бы такой скрипт, который всё скачает да покажет - что да как. Но нет, автор, вы просто сделали САМИ, а теперь верьте вам, специалисту.
Это тоже к вашей некомпетентности относится. Эти классы со странными именами появляются на этапе сборки APK, так что кто угодно открыв именно ту версию, на которую я указывал с помощью JADX увидит именно то, что я пишу (как раз для этого я и прикладываю ОЧЕНЬ подробные ссылки).
Ещё в добавок его с 4pda качать, да, класс...
Вы же прекрасно понимаете, что это просто референс, на который я указываю и который не подконтролен Max'у. Допустим вы не заметили что я писал, что происследовал штук 10 разных версий из rustore за последние 3 месяца, но в закрепленном комментарии независимый человек подтверждает, что в ГОСТ версии с сайта Max тоже самое.
И конечно же вы как-то игнорируете тот факт, что независимые издания (вроде AppleInsider) проверили это на iOS и подтверждают такое же поведение.
из этого точно нельзя сделать вывод , что там на серверной стороне, узнав, что вы пользуетесь ВПН-ом, с вами интересное и черное что-то там такое сделают, автор сам ведь написал:
Опять эта проклятая неопределенность ©
Это точно не реверс-инжиниринг. Автор только перехватил трафик и всё.
а вот в "заметках" спойлерных просто таблица с классами, где выявление пользователей с VPN происходит
Там не просто классы, там буквально указаны строки кода на который я ссылаюсь
На самом деле - вы просто не понимаете о чем вы говорите. Не понимаете ни в разработке, ни в реверс инжиниринге, вероятно вы даже не способны полностью понять что написано в статье. Но тем не менее решили прийти сюда и написать свой первый комментарий в защиту мессенджера Max. Ну как смогли, по крайней мере.
Мой основной посыл в том, чтобы перестали мусировать тему Макса, холивары и прочее, которые только приводят к ещё большему бесполезному обсуждению этой темы. Вот такими вот статьями происходит отсрочивание неизбежного и Макс не лезет в частную жизнь обычных людей, даже если знает кто где находится в сети или даже физически. Он реализует всякие законодательные требования не более, но выходит как выходит.
Это очень дешевая и глупая провокация, достойная защитников Max.
Искренне прошу прощения за это, особенно если это вызвало неприятные эмоции, далее в нейтральном тоне всё будет. И я не являюсь защитником Макса, но и страха, боязни, дискомфорта и другие неприятные эпитеты, которые можно использовать, чтобы описать отношение к этому мессенджеру, я не испытываю. Я просто человек, который им пользуется и никакого дискомфорта бытового не испытывает. И другие удобные привычные вещи тоже использую, Telegram пока что живой +-, YouTube, но только он уже через запрет даже не работает ни через одну стратегию, Discord и другие вещи.
Сама идея СуперАппа, национального мессенджера, единного центра платежей не так плоха ведь, если бы перенести всё в него, госуслуги, платежи, которые там будут доступны и прочие плюшки.
Я думаю почти всем здесь кажется очевидным почему тут нет контента этих классов. Если вы делаете вид, что вам нет, то я вам разжую - это сделано намеренно чтобы лишить VK возможности наехать на статью с точки зрения авторских прав. Опубликовать пусть и версию было бы незаконно, что дало бы им отличный повод потребовать удаления статьи.
Я не знал, мне не было очевидно, вы вникаете в юридические тонкости, чтобы себя защитить, что сейчас понимаю прекрасно, написали бы явно, что кода не будет в связи с этим, хотя, наверное, и к такому упоминанию прицепится VK как-то можно. Но при этом, вы там упоминали сигнатуры методов, которые перевелись обратно в Java, интересно а за такую ерунду прицепиться VK с отсылкой на нарушения авторских прав можно? Методы в Java, описали бы их на каком-нибудь другом языке, C#, например, но хотя ладно, есть описание словесное, но, блин, его же беглым чтением точно с налёту не поймешь.
И конечно же вы как-то игнорируете тот факт, что независимые издания (вроде AppleInsider) проверили это на iOS и подтверждают такое же поведение.
Я не отрицал это поведение. В чём опасность того, что Max просто узнает, что пользователь VPN использует, может это совершенно обычное поведение для Max-а? И не только для Max, но и других мессенджеров, особенно отечественных мессенджеров других стран, для которых вполне, на мой субъективный взгляд, нормально контролировать людей в стране. Ну нет явных доказательств, что вот эта слежка лишает бытового комфорта, как вы выразились, это приносит только мысленный дискомфорт людям, которые боятся этот Max или просто ненавидят это приложение по всяким поводам и ищут любые якобы веские поводы его удалить. Ваша статья даёт ещё один лишний повод это сделать. У меня только претензии к словам:
Ну и конечно - рассказать друзьям. Помните, даже если вам нечего скрывать, то это может лишить самого обычного бытового комфорта и доступа в большую часть интернета.
Ну зачем? Ну не лезет Макс в частную жизнь обычных людей. Это инструмент, который просто используют, как я понял из вашей статьи, при блокировке ресурсов и не более, потому что он оказался удобен для этого.
Вы же прекрасно понимаете, что это просто референс, на который я указываю и который не подконтролен Max'у. Допустим вы не заметили что я писал, что происследовал штук 10 разных версий из rustore за последние 3 месяца, но в закрепленном комментарии независимый человек подтверждает, что в ГОСТ версии с сайта Max тоже самое.
Ну ладно, понял.
На самом деле - вы просто не понимаете о чем вы говорите. Не понимаете ни в разработке, ни в реверс инжиниринге, вероятно вы даже не способны полностью понять что написано в статье. Но тем не менее решили прийти сюда и написать свой первый комментарий в защиту мессенджера Max. Ну как смогли, по крайней мере.
В разработке немного, но понимаю, в реверс инжиниринге нет, я никогда им не занимался. Тем более дампить пакеты из сети, хотелось бы попробовать так-то.
Статью в чисто техническом плане - да, не всё понимаю, я всё знать не могу. Но суть ухватить можно всё равно. Вы доказали, только две вещи:
1) max обращается к Telegram и WhatsApp;
2) он отправляет данные о том, что конкретный пользователь вот с таким ip пользуется VPN-ом.
Но выводы то какие в итоге в статье - пользователей VPN можно выследить в сети, ну и физически, да согласен, но только с целью проверить. Нельзя сделать вывод, что это второжение в личную жизнь. Да и то как-то следят неявно, а используют как датчики для проверки заблокированости ресурсов, и опять же не вмешиваясь:
Это точно получилось не случайно. Они любят рассказывать о opensource модулях аналитики, но это не тот случай. Очевидно этот модуль был разработан внутри VK и наличие заблокированных и ограниченных ресурсов говорит нам о том, что они и являются целью проверки
ну если уж на то дело и пошло, проверять заблокированные сервисы, вполне себе рационально проверять относительно того устройства для которого и блокируются определенные ресурсы, хотя неприятно когда тебе ресурс блокируют, так ещё и через тебя и проверяют его заблокированость, тут вред только в том, что помогаем отследить блокировку, но на приватность пользователя это никак не влияет, если уж захотят что-то замедлить и заблокировать, то рано или поздно найдутся способы, как это сделать и без пользователей Макса, если все начнут Макс удалять;
Эти данные отправляются не на отдельный аналитический домен, а смешиваются с основным трафиком мессенджера так, чтобы заблокировать эту аналитику не заблокировав мессенджер было невозможно. Отдельным бонусом идет то, что их протокол не декодируется автоматическими инструментами
я правильно, понимаю, что там они используют самописный протокол, пакет которого вы распарсили с помощью питон-аддона, и всё это шлётся на отдельный домен и ещё всё мешается в одном сетевом потоке со всем остальным чем обычно орудует сетевой поток Макса, чтобы это всё скрыть или что-то там сделать? Или я опять не понимаю статью. Поясните подробнее, если не лень, мне интересно.
Методика проверки (ping + tcp:443) это прямая проверка успешности блокировки ресурса на ТСПУ. ТСПУ не режет пинги, но ограничивает доступ к конкретным портам/протоколам.
Очевидно, что выбор источников получения IP не случаен, это 50/50 российские и зарубежные сервисы. Зачем? Чтобы ловить умников, которые настроили маршрутизацию трафика и не заворачивают в туннель местный трафик.
Ок, что-то техничное и уже с сетями связанное, и я это не понимаю на данный момент, пора походу читать Олиферов и хоть сколько-то глубже разбираться в сетях, а не только знать модель OSI, на каком уровне кадры и на каком пакеты. И опять тут акцент на проверке успешности блокировки, но не слежки и вторжения в личную жизнь.
Текущие функции удаленного управления и кажущаяся неизбежность их совершенствования превращает национальный мессенджер в государственный шпионский инструмент (spyware)
ну spyware мне в унике объясняли что это такое на дисциплине по ИБ, хотя информационная и кибербезопасность не моя предметная область. Но то что этим государство может вертеть, почему не должно давать покоя обычному человеку то? И точно ли вертит этим государство?! Но то, что на какое-то устройство присылается сигнал включения и выключения этого упомянутого модуля уже делает его шпионским? -> Это просто ваша интерпретация.
Этот подход очень хорош для отлавливания и блокировки личных (приватных) ВПН серверов, у которых обычно одинаковый входной и выходной ip.
Хороший способ.
Возможность включать эту функцию таргетно для отдельных людей или групп очень настораживает.
А ну вот, даже такие тупые олигофрены как я поймут, что тут уже что-то на пользователя нацелено.
Отправка PLMN кода оператора будет являться неплохим маркером того, что пользователь скорее всего в РФ. При этом, в отличии от геолокации, запретить собирать информацию о мобильном операторе не получится.
Почитал про PLMN, ну да, правильно понимаю, что судя по вот этим идентификаторам, грубо говоря симка может указать в какой соте сотовой связи находится пользователь Макса? То есть уже местоположение приблизительно можно определить?
Итого - следят за местоположением, следят в сети.
На самом деле - вы просто не понимаете о чем вы говорите. Не понимаете ни в разработке, ни в реверс инжиниринге, вероятно вы даже не способны полностью понять что написано в статье. Но тем не менее решили прийти сюда и написать свой первый комментарий в защиту мессенджера Max. Ну как смогли, по крайней мере.
Ну да, как смог так смог. Всё равно, это только вопрос времени, когда на него всех перетащат, год, два, три, десять лет. А если всё таки реализуют этот суперАпп с интеграциями банковскими, госуслуги туда прикрутят, человеку, у которого нет Макса, ради своей приватности придётся терпеть отсутствие удобств. Да и с Максом как ни странно вероятность Крокусов будет хотя бы чуток но меньше.
Технически его доработают в любом случае.
Мой основной посыл в том, чтобы перестали мусировать тему Макса, холивары и прочее, которые только приводят к ещё большему бесполезному обсуждению этой темы.
Я вас правильно понимаю?
Вы буквально зарегистрировались на сайте для того и только для того, чтобы мусировать эту тему.
И при этом вы крайне недовольны людьми, мусирующими эту тему (то есть, в первую очередь, лично самим собой).
С вами всё в порядке?
---
Почему лично вас вообще волнует, что кто-то где-то обсуждает что-то? Прямо сейчас миллиард-другой людей во всём мире - кто-то в публичном пространстве, а кто-то прямо на своих кухнях обсуждает темы, неприятные вам.
И будут обсуждать.
Ну так просто слейся с этой темы и не флуди, не мусируй, не мандражируй, данный мессенджер если бы продвигался другими путями, то и вопросов бы не возникало, но его тупо продвигают лоббисты, которые явно закинули в акции вк денег и насильными методами выдавливают нормальные ресурсы с пространства, в замен предлагая совершенно сырой и выполненный криворукими людьми продукт. Купите себе ладу весту и живите счастливо, не забудьте перейти на отечественный телефон.
Сама идея СуперАппа, национального мессенджера, единного центра платежей не так плоха ведь, если бы перенести всё в него, госуслуги, платежи, которые там будут доступны и прочие плюшки.
Нет, это плохая идея. Условному либераxе-нацптеродактилю для получения к доступа к вашему полному досье достаточно будет ломануть одну точку ответственности. "Many such cases", как они говорят в своих Америках
Такой бред,
Мне было достаточно понять, что некоторые техничекие высказывания, что "макс не плохой": про пинги, про отслеживание пользовалей vpn, не выдерживают никакой критики, уводят в сторону от реальной проблемы с max, чтобы "отменить" весь ваш месседж, как нежелательный к усваиванию.
Заметил странность, очень часто в комментах пишут что то типа "ты для этого зарегистрировался пару дней назад\сегодня, что бы оставить тут комментарий".
Начинаю проверять, а профиль к которому адресован данный коммент зареган то в 22 то в 19 итд (давно в общем).
Причем пишут это, скажем так, обе стороны баррикад.
Разве статья 137 УКРФ не подходит сюда? Слишком мало собирают?
Даже приложение карточки "Магнита" говорит отключить vpn...
Это гениально, детектишь вкючён ли VPN и установлен ли телеграм - рапартуешь СОРМ, посылаешь пакет на сервер телеграм - смотришь куда ушёл пакет на уровне СОРМ провайдера - банишь этот IP для всех подрят - профит.
Меня, кстати, что беспокоить-то начинает
МАХ шпионит. И это однозначно факт. Даже если пока прикрыли - они все равно будут пытаться выискивать VPN. Причем им же абсолютно пофигу, рабочий ли это канал, или что-то еще.
Недавно сильные земли нашей (разве что не головой =) провели встречу с крупнейшими площадками (Озоны всякие, Яндексы и прочие), чтобы те не пускали со включенным КВН к себе (да и хрен с ним), а заодно стучали РКН.
Следовательно, рождается предположение, что раз прям публично и не стесняясь склоняют компании стучать хотя бы стороны веб-сайтов - любому приложению российских сервисов вообще нельзя доверять, и придется действовать по отношению к ним, так сказать, с политики zero trust by default. Ибо шпионить и выстукивать ping-traceroute до запрещенки может начать (если какие-то уже не начали) любое приложение: госуслуги всех видов и прочие приложухи госслужб, приложения крупных банков, операторов связи, маркетплейсов (ОЗОН, ВБ), любое приложение Яндекса и так далее, тысячи их. Кто-то нативно, кто-то по принуждению, но вот складывается ощущение, что к этому идут. Потому что фактически эффективность ТСПУ как стратегии пока ну прям весьма далека от идеала.
Так что, чую, пора действительно обзаводиться вторым смартфоном, ставить на него LineageOS, ставить на него отдельную симку, вырубать с корнями ему WiFi\GPS\Bluetooth и прочие виды связи кроме мобильного интернета, и пусть весь этот наш отечественный аналоговнетный хлам в своем родненьком чебурнете и крутится.
Офигеваю, насколько мало того что чиновникам похрену на свою репутацию и репутацию государства - они готовы ею "засифачить" еще и всех, до кого дотронутся или с кем пообщаются. Впрочем, репутация у них и без того никогда не была выше плинтуса, так что, видимо, раз нечего терять - решили пуститься во все тяжкие.
Ладно смартфоны, а что делать с ПК? Заходя на сайт какого-нибудь Озона, у вас выполняется сотня JavaScript, каждый из которых может отправлять тестовые запросы к любому зарубежному серверу. И если у вас настроено раздельное туннелирование, то всё будет спалено. Единственный способ не спалиться - это отказаться от раздельного туннелирования в принципе, и использовать по-старинке, т. е. надо - включил, не надо - выключил.
Интересная задачка, у меня туннель по whitelist приложений, вроде не должно палить, проверить не могу, так как решил вопрос давно и кардинально.
Нуу... на микротиках эта проблема решаема, правда, в несколько инструментов и не совсем изящно, но работает))) Можно роутером отправить в туннель траффик конкретного приложения. Если душнятина по душе, то:
Скрытый текст
Но сначала отступлюсь. У меня лично траффик на роутере отправляется в туннель так:
В разделе DNS/Static для каждого ресурса задается правило для домена 1 уровня (например, yandex.ru) с галкой Match subdomain, действие - Forward в адрес-лист (к примеру, blabla). В итоге когда от любого клиента в сети прилетает любой DNS-запрос на какой-нибудь 12345.abcde (или любой другой субдомен) .yandex.ru - адрес резолвится, а в файрволе в Аddress List автоматом прилетает динамическая запись "address-list" blabla для отрезолвленного айпишника на время TTL, которое получено от вышестоящего DNS-сервера. Но это не работает если у браузера включено использование собственных DoH серверов.
Далее в Mangle настроено правило, которое маркирует весь траффик на dst-address-list=blabla меткой (routing-mark) с именем kvn, к примеру. Создается таблица маршрутизации "kvn".
В маршрутах для таблицы маршрутизации kvn шлюз по умолчанию - адрес туннеля.
В итоге для раскидывания траффика автоматом мне достаточно в DNS-Static вбить правило для нужного ресурса.
На первый взгляд муторно, но DNS-правил надо не так уж и много, для того же ютуба достаточно вбить буквально 10 доменов. Для телег-воцапов вообще по паре основных доменов. А субдомены будут сами отправляться в список, дальше работает автоматика)))
Так вот, о чем это я, как на ПК?
В винде "нативно" нету инструментов для отправки траффика приложений по конкретному маршруту. Но можно в групповых политиках в разделе QoS задать назначение DSCP метки траффику от приложения с конкретным именем исполняхи (firefox.exe, к примеру, или telegram.exe). То есть можно поставить второй браузер для запрещенки (или наоборот для российских сайтов) и создать для него QoS политику, чтобы траффик помечался DSCP меткой (63, к примеру).
На микротике в Mangle можно задать правило для траффика c DSCP меткой 63, чтобы он помещался в mark-routing по аналогии с dst-address-list в начале комментария. В итоге с компа на винде весь траффик приложений с меткой будет стучаться в туннель, а не выборочно по доменам.
Либо наоборот, если браузер чисто для российских сервисов - можно в Mangle в правиле про dst-address-list дополнительно указать DSCP метку и поставить напротив этого пункта восклицательный знак, чтобы Микротик никакой траффик с этого браузера не совал в туннель))) Даже если он стучится на DNS из списка))) Тогда никакой сайт никаким скриптом не сможет палить траффик.
Поступать так же, как и со смартфоном: запускать вируталку, и траффик с нее выводить в сеть провайдера напрямую, без всяких проксей и туннелей.
Правильно ли я понимаю, что с учётом вскрывшихся фактов, сплит-туннелирование по geoip на VPN-клиенте — плохо, а по приложениям, наоборот, хорошо и может помочь защититься? Грубо говоря, если я добавлю только Телеграм в список приложений, которые работают через VPN, то запросы к заблокированным ресурсам, инициированные Max, пойдут либо через само приложение Max, либо через какие-то системные API (которые он дёргает). Соответственно, никаких результатов для анализа им это не даст, так как в этом случае с моего устройства ни один запрошенный заблокированный ресурс не откроется, а ip-адрес все API-шки покажут одинаковый. Верно?
Max не юзаю, но спрашиваю на будущее, так как сегодня это реализовано только в нём, завтра уже в каком-нибудь Сбере, а послезавтра — на Госуслугах. Хотелось бы примерно понять, есть ли какие-то шансы не спалиться для обычного Андроид-юзера без root-прав.
Всё верно. В режиме per-app маршрутизации трафика в впн всё о чём сможет узнать Мах(или любой другой зонд с аналогичными наклонностями, как того "просит" минцифра от отечественных маркетплейсов и т.д.) это сам факт активации ВПН. По крайней мере если "впн-клиент" работает через интерфейс, а не создаёт открытый прокси на локалхосте(вроде в соседних темах подобные продукты упоминались).
В комментах в теме рядом https://habr.com/ru/news/1021908/ пишут, что приложение может получить инфу о всех устройствах/интерфейсах и попробовать через них пингануть ТГ/ва
Всю пачку комментариев пока не осилил, но есть то что сказано тут
https://habr.com/ru/news/1021908/comments/#comment_29814748
Не панацея. Любое приложение из любого пространства может насильно выполнить запрос через tun0-интерфейс, игнорируя настройки per app routing. Это серьезная дыра в Андроид. По-хорошему, там должен быть iptables и закрывать доступ в зависимости от правил split tunneling, но такого нет, только с рутом можно реализовать. Вроде в 17м Андроиде что-то такое сделали.
верно(не знаком с внутренностями Андроид), тогда не знаю что можно сделать кроме отдельного смартфона для российского софта.
P.S. Напрашивается так же файрвол, правда не уверен есть ли нормальное решение для нерутованного андроида. Беглый поиск подсказывает связку netwall+shizuku, но сам не пробовал. Может кто-то отпишется по этой связке - практичность, функциональность, стабильность.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Месседжер MAX следит за пользователями VPN? Реверс инжиниринг говорит — да (добавлено обновление)