BarredEwe 8 часов назад

Технический разбор Max: что внутри APK

Простой

2 мин

26K

Разработка мобильных приложений * Реверс-инжиниринг * Информационная безопасность *

Аналитика

Сейчас мессенджер Max «очень классно ловит даже на парковке» 🙃
Стало интересно: а что же за технологии стоят за этим чудом? Скачал APK (весит ~114 MB) и полез внутрь.

Как ковырял

Ничего сверхъестественного:

apktool для ресурсов
jadx для кода
grep по строкам в DEX

В динамику (Frida, MITM) пока не лез, ограничился статикой.

Очень подробный обзор можно глянуть здесь: https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger

Первые находки

Три DEX, куча нативных библиотек. Попадаются знакомые:

libjingle_peerconnection_so.so   ← WebRTC
libtensorflowlite.so             ← TensorFlow Lite
libjlottie.so                    ← анимации Lottie

То есть звонки есть, ML тоже, анимации нормальные — не на коленке.

Сеть и звонки

Внутри OkHttp3 + Okio, есть WebSocket.
Звонки сидят на WebRTC, в коде прям строки PeerConnection, ICE, SDP, Opus.
Нашёл даже отдельный URL: https://max.ru/joincall/.

Медиа

ExoPlayer 2 для видео
Поддержка WebP, GIF, image pipeline
Lottie для анимаций

Стек нормальный, без кустарщины.

ML

libtensorflowlite.so внутри. Вероятно, для модерации картинок/видео или UX-фич.
Удивило, что ML прямо в клиенте.

Домены и корни

Самое интересное: строки из DEX.

https://api.ok.ru
https://api.odnoklassniki.ru
https://mycdn.me
https://welcome.tamtam.chat

И пакеты:

ru/ok/tamtam/login
ru/ok/messages

👉 Это явно TamTam/Odnoklassniki (VK Group) под новым брендом.

Push и сервисы

Максимально дружит с Huawei Mobile Services: push, location, maps, analytics. В assets лежат .bks сертификаты и agconnect-core.properties.
Firebase SDK нет, но строки FCM встречаются - fallback под Google, похоже, самописный.

Разрешения

В манифесте есть:

READ_CONTACTS, WRITE_CONTACTS
CAMERA, RECORD_AUDIO
ACCESS_FINE_LOCATION, включая background
доступ к медиа

Это не все что там есть (выделил самые интересные), но вообще, довольно стандартный набор для мессенджера, так что можно сказать что один из главных набросов про собираемые данные не могу подтвердить.

Безопасность

E2EE (двухстороннее шифрование) не нашёл: Signal/Olm/Matrix отсутствуют. Значит, только TLS до сервера.
База данных - Room/SQLite без SQLCipher → скорее всего plaintext.
Есть защита от ковыряния: libxhook.so, libtrhook2.so (анти-рут/анти-инжект).

Итог

Max = TamTam/OK под новым именем
Современный стек: WebRTC, ExoPlayer, TFLite, OkHttp
Сквозного шифрования нет
База, скорее всего, лежит открыто
Huawei HMS-интеграция глубокая - явно нацелено на устройства без Google (Что логично, брал apk для AppGallery)

Лично я: в Max приватные переписки не понес бы, а вот типичный чат или как VoIP-клиент он вполне сгодится.

📢 Если было интересно — подписывайтесь на мой Telegram-канал Prefire.

🎥 Там же анонсы моих стримов на Twitch - смотрим код, разбираем технологии, иногда ковыряем такие вот APK.

Хабы: