Комментарии 289
Спасибо, за наконец-то нормальный анализ. А то из каждого утюга доносятся горе икспертов-блогеров о том, что у Макса просто биллион шпионских разрешений. Даже некоторые коллеги-программисты начинают впадать в паранойю. И конечно же, очень будет интересна статья, про сетевые запросы the мессенджера.
Спасибо Вам за обратную связь!
проблема, то не в разрешениях и их количестве, а в том как ими пользуются. тоже интересно посмотреть какие там сетевые запросы
И еще кто пользуется...
тоже интересно посмотреть какие там сетевые запросы
Основные вопросы у "икспертов-блогеров" именно к сетевым запросам, которые в статье не описаны. Но это ж неудобный факт, если его признать - то поорать "вы все врёти" не выйдет.
Так и сами запросы толком никто не описывает, в основном форсится "разбор" нейросеткой...
Если есть годная статья - поделитесь?
Ни разу не видел разбора сетевой активности Макса. Все как раз форсят тезис вида "Макс просит разрешение на микрофон, а значит может подслушивать" и "Макс просит очень много разрешений, значит он шпионская программа". Ну и пользовательское соглашение любят разбирать, типа "там написано, что данные могут передаваться партнёрам, а значит они их будут тебя подслушивать, а потом эту информацию продавать всем подряд"
"там написано, что данные могут передаваться партнёрам, а значит они их будут тебя подслушивать, а потом эту информацию продавать всем подряд" - это так про телегу и ватсап говорят. Про мах я только и слышу от окружающих людей, что он мол будет подслушивать в пользу товарища майора. И мне кажется именно это людей напрягает - они считают, что если мошенники или рекламные конторы получат их данные, особенно если они за рубежом, то это не так страшно, а вот отечественные спецслужбы их напрягают сильнее.
особенно если они за рубежом, то это не так страшно, а вот отечественные спецслужбы их напрягают сильнее.
ну логика здесь определенно есть) иностранному майору без разницы, что ты про войну плохо отзываешься в чатике или какие-нибудь вещества интересные обсуждаешь. а если и не без разницы, то иностранный майор явно меньше ущерба может нанести, чем отечественный. другой вопрос, что большинство из них при этом пользуется сервисами ВК и Яндекса и совершенно не переживает, что данные там также доступны отечественному майору. а вот переписки в мессенджере, который вероятно будет использоваться исключительно для общения с окологосударственными структурами, - это да, тут "очень важно" сохранить конфиденциальность
иностранный майор явно меньше ущерба может нанести, чем отечественный
Я бы не был так уверен.
Здравый смысл подсказывает, что правительству не выгодно кошмарить людей (своих) просто по приколу. Потому что люди нужны государству. Люди являются двигателем экономики, а экономика позволяет существовать государству и товарищу майору.
Отсюда (если выше верное утверждение) следует, что товарищ майор использует мои данные (и данные других людей) для предотвращения терактов и других противоправных действий.
Минусом могут служить ошибки, которые допустит товарищ майор, и схватит невиновного (например, меня). Но я, опять же, надеюсь, что товарищ майор заинтересован в том, чтобы на его территории было все спокойно, а эпоэтому я смогу доказать свою невыиновность (если я невиновен).
А вот со спецслужбами наших "западных и европейских партнеров" все немного иначе. Они заинтересованы в том, чтобы я (пока живу в своей стране) жил плохо, чтобы все свои деньги отдавал им и чтобы моя страна развалилась.
Теперь вопрос. Можно ли использовать данные (переписки, разговоры, используемые приложения, открываемые ссылки и тд) миллионов людей для того, чтобы осуществить все описанное выше? Думаю, да. Конечно, прослушивать терабайты информации в день никто не станет, но пропустив это через нейросетки, можно выделить тезисно: общие настроения людей, интересы, когнитивные искажения и многое другое. Далее, всем этим можно было бы управлять.
Например, жители курской области боятся прилетов дронов? Подстегнем их страх массовой рассылкой в ватсапе.
А может, попытаемся напугать сибиряков? А потом понаблюдаем, как это получилось. Какие сообщения были более пересылаемыми (то есть более успешными). Какие комментарии люди оставляли к этим пересылаемым сообщениям.
О, а вот якуты не очень жалуют президента. Давайте подстегнем их ненависть и завалим новостями обо всех возможных фэйлах правительства.
Я ничего этого не утверждаю. Я просто говорю о том, что это возможный вариант. Он основан на тезисах, что мое правительство хочет, чтобы у меня все было хорошо (потому что у нас с ним взаимозависимость). Правительства недружественных стран хотят, чтобы у меня все было плохо.
правительству не выгодно кошмарить людей (своих) просто по приколу
Во-первых, (субъективно) выгодно, если правительство считает, что в противном случае эти "свои люди" перестанут быть "своими" и, например, взбунтуются. Во-вторых, не уверен, что это достаточно сильный аргумент: условно говоря, где вы видели человека, который делает то, что ему выгодно, а не то, что ему хочется?
Они заинтересованы в том, чтобы я (пока живу в своей стране) жил плохо, чтобы все свои деньги отдавал им и чтобы моя страна развалилась.
Не факт. Партнёрство с распределением обязанностей выгоднее, чем "развалить остальных и делать всё самим". Другой вопрос, возможно ли оно. Теоретически - да, практически - зависит от конкретных принимающих решения.
Подстегнем их страх массовой рассылкой в ватсапе.
...от которой они не могут отписаться, потому что?..
попытаемся напугать сибиряков?
Непонятно как пропавшая связь в Томской области их при этом совсем не пугает, ага.
условно говоря, где вы видели человека, который делает то, что ему выгодно, а не то, что ему хочется?
А чё меня искать, ось туточки я!
Во-первых, (субъективно) выгодно, если правительство считает, что в противном случае эти "свои люди" перестанут быть "своими" и, например, взбунтуются.
Люди в современном цивилизованном мире никогда сами не взбунтуются. Только енсли их кто-то организует.
Предположим, вы решили вдруг устроить евромайдан на красной площади. Вам нужно будет быстро организовать нужных людей. Вам нужно действовать быстро. Если вы будете медлить, ваш план накроется. Если отправитек "приглашение" не тому, ваш план накроется. Как отправить приглашение "тому"? Ну, наверное, надор знать чем он занимается, что он читает (какие ресурсы), что думает (пишет в соцсетях).
То есть сами вы такое никогда не организуете. Организуются беспорядки внутри всегда снаружи.
условно говоря, где вы видели человека, который делает то, что ему выгодно, а не то, что ему хочется?
Многие люди, зачастую, не понимают, что для них выгодно. Поэтому, ими легко управлять (с любой стороны). Важно, какую сторону они займут.
Партнёрство с распределением обязанностей выгоднее, чем "развалить остальных и делать всё самим"
Именно поэтому крупные компании занимаются поглощением :)
...от которой они не могут отписаться, потому что?..
А как отписаться от родственников? :D
Непонятно как пропавшая связь в Томской области их при этом совсем не пугает, ага.
Немного пугает, да. В начале пугала. Но потом, сложив 2 и 2 все поняли, что грузовик с дронами задержали. А на случай появления еще одного, связь не работает, значит дроны неуправляемые (ну или с совсем маленького расстояния, на это никто не пойдет).
И, кстати, правительство и местная власть молчат как рыба об лед. Зато вовсю рассылаются всякие "листовки", типа "мля, бегите, все пропало, спасайте детей, спасайте имущество, сейчас город взлетит на воздух". И ведь находятся те, кто в это верят и рассылают окружению.
Там get и post в основном
И правильно делают что впадают в параною, ибо главное не то что творится на клиенте, а то, что происходит на сервере.
И если на сервере все Ваши переписки анализируются в реальном времени и за фамилию Навальный Вас поставят на карандаш автоматом, то меньшее о чём Вы будете думать - это о количестве разрешений в клиентском софте.
И если WhatsApp/Telegram из коробки заявляют что "мы ничего не читаем и не можем видеть в личных переписках пользователей" и это подтверждено судами, то подобных заявлений от разработчика Max'а не то чтобы нет, а даже не ожидаются.
Я вообще не понял, откуда эта шумиха про клиент.
Вся цель - централизованно контролировать общение и иметь лёгкий и полный доступ к истории общения нужным майорам, это в СКАМе достигается из коробки. Клиент и будет чистейший, тут не нужны бекдоры какие-то.
Вот именно, основное это доступ к серверной части. А тотальная слежка в клиенте, с тайным постоянным включенем микрофона, камеры, геолокации и т.п. это просто никому не нужно, поскольку это уже действительно только против настоящих шпионов и диверсантов (а они на заведомый "жучок" вряд ли купятся). Да и батарейку тотальная слежка будет жрать как не в себя. Но вот тотальный слив переписки и звонков, вероятно с последующим автоматическим анализом, это очень печально. Причем независимо от политики. Даже на совершенно аполитичного человека может собраться куча приватной информации, которая потом, как у нас часто бывает, будет слита наружу.
Да и как реализовать тайное включение микрофона, камеры, геолокации.
Дык отечественная охранка просто перенимает передовой опыт. Контора палантир уже даже специальную нейросетей сделала, которая будет переписки анализировать и помечать неблагонадежных.
А все кто сейчас хочет сказать "тамошним майора до меня дела нет", хочу напомнить что начальство может и помириться и снова как раньше данными обмениваться. Плюс ваши данные передаются в кибер командование для аналитики и проведения псиопс разного рода (от информационных выбросов до слива мошенникам в днепровский офис). Вся эта тотальная слежка кем бы не проводилась ничего хорошего вам не сулит
Товарищьмайор это одно, но с учетом регуляторных инициатив, все это будет продаваться официально и не очень всем подряд. Уверен владельцы "колл-центров" уже в очереди стоят, в ожидании "слива".
Опять же пиар не такой... ввести статью за дискредитацию скрепного мессенджера и еще одну за неустановку, ну и третью за умышленное владение кнопочным телефоном с невозможностью установки онного поделия и всё наладится...
Не понял, если они сегодня не анализируют и это заявляют, то что им помешает включить этот анализ завтра и главное, если он проходит на сервере, то клиенты смогут про это узнать только при сливе. А так то переписки у тг например хранятся на серверах и есть приценденты выдачи органам.
Имхо, тг для развлечений и гражданской переписки, скелетные данные через секрнтный чат, но лучше через что-то более безопасное
подтверждено судами
Устрой фейковый суд и все поверят, что ты трушный. Иногда до смешного доходит как легко обвести вокруг пальца псевдогиков. ТВ у них зомби ящик, а анонимно подписанная научная статья - тру трушное.
Устрой фейковый суд и все поверят, что ты трушны
Устрой нефейковый, в чем проблема-то?
ТВ у них зомби ящик, а анонимно подписанная научная статья - тру трушное.
Доверие примерно одинаковое, как и в ТВ, так и в интернетах балаболить никто не запрещает. Только с разницей что в ТВ тебя минусами не закидают, так что на ТВ врать можно без остановки, с уверенным лицом и за это получать большие деньги.
Так-то Telegram могут читать личные переписки, они же не серверах дешифруются. А вот WhatsApp не могут читать личные переписки
Откуда такая информация?
Вероятно потому что Whatsapp хранит переписки в облаке пользователя (Google Drive/iCloud), в отличие от Telegram, например
Бред. Как по твоему реализована синхронизация чатов на телефоне и на пк ? Все твои сообщения есть на серверах вацапа, и как только ты включаешь связанное с вацапом устройство - ПК, то за мгновение ока все чаты оказываются на ПК. Такое можно реализовать только если твои переписки копируются на сервер.
WhatsApp позволяет сделать бэкап в облако. Оригинал остаётся у них.
Скажем так, вотсап утверждает, что не может читать личные переписки. Что там на самом деле хз, клиент то не опенсорсный, что он там шифрует и как никто не знает.
Для того, что бы WhatsApp не мог читать личные переписки, вы должны сообщения шифровать/дешифровать ВНЕ приложения WhatsApp, закрытым ключом, который вы сгенерировали ВНЕ приложения WhatsApp.
Если ключи шифрования созданы внутри приложения и вы не контролируете где и как они хранятся, и шифрование само по себе выполняется внутри приложения, как вы можете утверждать, что никто не может читать переписку?
Ну хочется же верить в человечество и что хоть где-то можно спрятаться от всего этого)
По поводу WhatsApp не знаю, а по поводу телеги, то если нет доверия стандартному клиенту с секретными чатами, то можно использовать свой клиент со своим шифрованием.
На моей памяти, только Фейсбук запрещал использовать собственное шифрование в чатах.
одно дело когда читают где то там за океаном, а другое тут
одно дело когда читают где то там за океаном, а другое тут
Не волнуйтесь — если мы тут прочитаем что-то заслуживающее внимания, мы с Вами обязательно свяжемся.
Интересно, если ТГ и ВА такие "чистые, белые и пушистые", как в Шарике поднимают переписку прилетающих туда соседей из 404-й? ))
Ааа, ну раз заявляяяют! То точно ничего не читают. Особенно whatsapp! Верим на слово.
Интересно, какими судами это подтверждено?
Спасибо Вам за обратную связь, товарищ майор.
Ну на самом деле в этом вопросе, как и во многих других, 2 лагеря:
- Макс шпион (режим паранойи)
- Макс - отечественный продукт, надежный как швейцарский нож (в основном слышу от пропагандистов)
По факту, вызывают сомнения e2e-шифрование, а главное и страшное решение - это интеграция этог мессенджера с госуслугами...
а главное и страшное решение - это интеграция этог мессенджера с госуслугами...
Которое, впрочем, вполне объяснимо. Какой-то способ госсвязи так или иначе появиться должен был, т.к. телефония показала что с подтверждением личности собеседника там просто никак и ей стремительно верить перестают. А связь организация(не только государственная) <-> гражданин иметь хочется.
Можно было бы сделать электронную почту (со всеми подписями и шифрованием вроде могло получиться), но от нее успешно все отвыкли. Вот и остается месседжер.
Другое дело, что было бы лучше сделать приложение, которое именно для общениями с организациями, без возможности личного общения и всего того, что в месседжерах сейчас ожидается.
без возможности личного общения
А цель у такого ограничения какая?
А цель у такого ограничения какая?
Разделение областей, откуда тащатся желания 'оно должно это делать'.
Если только для общения с организациями - можно делать эквивалент официальной переписки 'печать, дата, подпись, номер входящего, ответственный работник' и так далее, что требуется, чтобы это было официальной перепиской и принималось, например, судами.
И отшибается желание(возможно, принудительное, штрафами) всякую рекламу и стикеры вкручивать.
А месседжер для чатов 'группа товарищей на пикник собралась' со все что там в современных месседжерах есть - это не сюда. Это какой-нибудь другой используйте.
Потому что в том виде, котором это пытаются делать (уже интеграцию с Госключем вкрутили, что для 'позвонить бабушке' нужно приблизительно никак) - явно будет конфликт интересов по направлениям разработки и ее тщательности.
Или, например, если это у нас официальная переписка с организациями(да еще государственными) - то то же End-to-End шифрование уже обладает сомнительной полезностью. А создание архивов, наоборот, сильно нужнее.
Авторизация и создание учетки, опять же. Официальное общение - логинится через Госуслуги совершенно нормально. Если для повседневного - ну мы видим, как к таким предложениям относятся.
Как я понимаю, мы равняемся на стратегических союзников - Китай. Max - последователь WeChat, а РКН усиленно стремится создать подобие золотого щита. Теперь ждём введения социального рейтинга (хотя, думаю, он уже вычисляется, но информация из него доступна только для определенных служб).
Ну и что-то от других стратегических союзников - КНДР - тоже есть, наверно. Вот только что там у них реально творится - информации мало, так что параллели провести сложнее.
Вообще, кмк, по "стратегическим союзникам" можно понять к каким путям развития стремится страна. Хотя это и так было давно понятно.
Подобная статья была опубликована ранее (правда без сравнения с Telegram и WhatsApp). Доступна по вот этой ссылке: https://habr.com/ru/articles/938518
Исходная ссылка на разбор зависимостей из приведённой статьи теперь ведёт не туда, куда нужно (репозиторий кто-то удалил). В комментариях нашёл другую ссылку: https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
Думаю, будет полезно к ознакомлению.
Да, спасибо. Я их уже читал ранее.
(репозиторий кто-то удалил). В комментариях нашёл другую ссылку: https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
И правильно сделал(и). Уж на что я презираю такое поведение, но об...хаяли его предостаточно в issues и pull requests. Но за дело. Мало того, что там чел буквально уровня скрипт-кидди (+ забавляется black hat !"№ей. Бывает, но это индикатор), так там весь этот "глубокий анализ" -- это скопированный ответ нейросети, никем не проверенный. Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах, а не нести на публику под видом проведенного тех. анализа!
Уж на что я презираю такое поведение, но об...хаяли его предостаточно в issues и pull requests
Скриншоты этих issues и pull requests будут? Или дальше ничем не аргументированного личного субъективного мнения это утверждение не идёт?
Мало того, что там чел буквально уровня скрипт-кидди
Вы обладаете достаточной экспертизой для оценки навыков анализа ПО рандомного "чела" в Интернете? Если нет - это уже субъективное мнение, с которым можно и поспорить.
так там весь этот "глубокий анализ" -- это скопированный ответ нейросети, никем не проверенный
Да-да-да, скоро будет целое множество людей, для которых всё, что публикуется в Интернете и не согласуется с личным мнением "сгенерировано нейросетью". К слову не всё, что сгенерировано нейросетью шлак. Типичные LLM-модели уже обладают большей экспертизой, чем среднестатистический человек (причём в разных областях, не говоря уже о междисциплинарных областях).
Да и... где гарантии, что Ваш комментарий не сгенерирован нейросетью?
Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах, а не нести на публику под видом проведенного тех. анализа!
Я согласен с тем, что полноценным глубоким техническим анализом это не назовёшь, однако некоторые компоненты там разобраны по верхам и можно наметить хотя бы какой-то план для более достоверного технического анализа. Какую-то информацию из этого анализа использовать можно, а какую-то - нет.
Да и не AndroidManifest'ом едины. По уму здесь нужно запускать приложение и мониторинг системных вызовов проводить: какие дескрипторы приложение использует, куда данные записывает, в каком количестве, какие драйверы использует, факты патчинга ядра нужно детектировать и много других деталей, которые выходят за рамки AndroidManifest'a, ведь и его можно обойти (при определённых условиях).
Скриншоты этих issues и pull requests будут? Или дальше ничем не аргументированного личного субъективного мнения это утверждение не идёт?
Эх, потрачу время. Но буквально ткну носом, что это вы могли бы проделать и сами. А поскольку кэш не вечен, то увековечу копипастом оставшийся кэш Яндекса здесь.
10, 11, 14 - pull requests и/или не осели в кэше.
Нет ли доступа к буферу обмена #1 - От 11 августа 2025 15:50:02 GMT
almirus: Нет ли доступа к буферу обмена
NTeditor: Для доступа к буферу обмену не нужно разрешение.
Есть ли xml файлы верстки? #2 - От 18 августа 2025 16:08:51 GMT
by NTeditor, no message
всё фуфло #3 -- От 18 августа 2025 13:37:48 GMT
webzavoda (4 👍): предполагается, что это всё и так есть у любого мессенджера.
поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
DrZoidberg813 (5 👍):
предполагается, что это всё и так есть у любого мессенджера. поэтому неплохо бы сравнить это и такой же список из другого мессенджера какого-нибудь.
Тоже решил пройтись и посмотреть схожести и отличия, по крайней мере в рамках permissions приложения.
Есть отчеты по Telegram и Whatsapp.
Я нашел отличия лишь в том, что MAX запрашивает DOWNLOAD_WITHOUT_NOTIFICATION, а в другом всё то же самое. Тут уже всё зависит от того, как именно приложение использует данные ему разрешения. И как описал автор, значительная часть кода обфусцирована, так что придется ждать, что кто-то захочет провести деобфускацию кода.
Мод на обход телеметрии. #4 - От 20 августа 2025 17:44:15 GMT
klementii229 (2 <3): Если кто знает ссылку на такой, дайте пожалуйста, не могу найти в интернете.
MadTooth (1 👍): Если тебе так нужен мод на этот гавно.апк, тот 4pda (что-бы скачивать = регистрация), напишешь мудоделам что-бы "актуалочку" модифицировали, может сделают 😁
Бред #5 - От 20 августа 2025 15:51:52 GMT
Qweasd123tg (6 👍 12 😄): А если бы разрабы макса переименовали функцию getAge на getUserMoney автор бы подумал что макс ворует деньги со Сбера или Тбанка? Причём даже сомневаюсь что он сам все эти писал просто скинул код нейронке на разбор. Короче слишком жирно)
Chi-Firka (3👍 7👎): а, да, разрабы белые и пушистые и эта инфа ГОСУДАРСТВЕННОГО вируса точно не будет использоваться для чего-то большего, чем обмен мемасиками :clueless:
кто-то явно недооценивает нынешний уровень 1984
выбирай:
сливать инфу в загнивающую европу без риска присесть
или
пользоваться СВОИМ, ДОМАШНИМ, НАШИМ 💪🏻 малварем, но одним днем уехать за решеточку за просмотр фоточки фембоя с косметичкой, который напоминает пресвятого царя и бога всея руси и мира
Qweasd123tg (4 👍 3👎 1😄): (полная цитата комментария выше)
просто для справки изучи что такое вирус также что такое малварь, прочитай книгу 1984, и вообще изучи как работают те или иные приложения особенно серверная часть , можешь в целом как автор репо??? закинуть код в нейронку и постепенно разобрать его с вопросами двух категорий 'что тут хорошо' 'что тут плохо' для объективности, данные действия будут очень полезны для твоего саморазвития и в целом расширения кругозора
Chi-Firka (6 👍 4👎): и ни одного слова по делу
Chi-Firka (3 👍 5👎): ну правильно, когда нечего возразить - остается только обвинять собеседника в его некомпетентности. увы, зря надеялся на аргументированный ответ
Chi-Firka (3 👍 4👎): защитники чебурнета они такие защитники...
Chi-Firka (3 👍 5👎): основная позиция - текст написан нейронкой. ого, спасибо, без тебя бы не разобрался никто, кеп ну да, как я мог не догадаться, что это вашингтоноботы пришли испортить репутацию НАШЕГО, СВОЕГО, РЕВОЛЮЦИОННОГО, ПРОГРЕССИВНОГО вредоносного ПО(носа). вот только мне чет плевать абсолютно кем там этот текст написан, я между строк читаю, а не таращусь на буковки и думаю на каком это там языке написано и чтаэтазначит
Chi-Firka (3 👍 4👎): многабукаф, надеюсь, осилишь
Chi-Firka (3 👍 4👎)(отредактирован): ладно, извини
я подстрекал тебя на мыслепреступление
это тяжело, я знаю
nersind (1😄): я вчера написал в максе что я хочу взорвать кремель и меня ещё никто не скрутил
Qweasd123tg (2👎): Chi-Firka
и ни одного слова по делу
я бы честно ответил по делу, но опыт показывает, что отвечать по делу когда изначальная мысль(репо) сама не особо дельная???, смысла нет. в целом и распинаться изначально смысла не было ибо те кто шарят игнорируют подобный интернет кринж или же им тупо лень ибо других дел хватает, а те кто не понимают не поймут наших объяснений и тупо проигнорят, не факт что даже до гитхаба дойдут и в целом даже новость полностью не прочитают, им хватает заголовка для построения полной картины
c4llv07e: (полная цитата второго + прошлого комментария)
А у тебя как-будто бы есть? Тут даже не проблема в каких-то взглядах, просто макс - это прям генерик дефолтный мессенджер, который как будто бы создан по рандомным гайдам из интернета, и декомпиляция кода это и показывает.
Если хочешь, я тебе могу за любую претензию пояснить в репе, кроме сервера. Ибо на счёт сервера надо лишь понимать, что тут никак не проверишь приватность общения (ну, кроме сквозного шифрования, которого тут нет), а следовательно надо предполагать, что любое твое сообщение будет просматриваться третьими лицами, и поэтому там не надо писать ничего такого. Просто репа приравнивает Макс чуть ли не к пегасасу, что явно не так.
Chi-Firka (2 👍 2👎): (цитата прошлого)
Так мне не так интересны технические подробности, которые, как ты и говоришь, ничего из себя не представляют. Я поболтал с защитничками и понял, что они просто не могут догнать, какую ошибку они совершают. Там чел напрямую написал, что статус "официального государственного приложения" (держим в уме какой именно страны и чем она "славится") это достоинство. Ну, что ж... Я ожидал просто клуелесс человечков, но здесь фанатичное убеждение, а это не лечится в интернете
c4llv07e: (цитата прошлого)
Статус "официального государственного приложения" - это про ФСТЭК что ли? Ну, типа, он должен быть у каждого ру продукта, который работает с конфиденциальными данными. ТГ тоже в реестре ФСТЭКа есть, в этом ничего такого.
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Qweasd123tg: (полная цитата первого комментария c4llv07e)
Вопрос, а что там должно быть не дефолтного зачем изобретать велосипед? ну типо нам нужен мессенджер с доступом к нему правоохранительным органам примерно как тг сливает некоторых юзеров органам из франции)
делать полное прям шифрование везде смысла нет
а так сверху народ уже разобрал репо и ничего особенного естественно нет
Chi-Firka (3👎):
Статус "официального государственного приложения" - это про ФСТЭК что ли?
Понятия не имею про ФСТЭКи. Скорее всего все проще - челу понравилось, что государство что-то сделало. Эм... Вот в самом репо этом была попытка в обратную инженерию. Так вот я не хочу реверсить просроченную вчерашним днём логику того чела и пытаться понять, что же ему так гордость защемило в том факте, что это гос. проект. Видимо, сидит в своем виртуальном окружении и просто ничего дальше пальца в своем носу не видит. Увы, в школах не учат критическому мышлению
Моя главная проблема в том, что из очередного никому не нужного импортозамещённого продукта раздувают масштабный вирус, который может чуть ли не мысли читать. Я не знаю, зачем вообще им пользоваться и зачем на него обращать внимание. Это не первый и не последний "НАШ" месенджер.
Да. С одной стороны - возможность похайпить. С другой - новый способ опознать вату или просто малоразвитых, которые не могут два плюс два сложить
Я в тебе вижу адекватного собеседника, поэтому не поленюсь достойно объяснить свою логику и почему я считаю, что этот высер не достоин называться чем-то большим, чем вирус
Что мы имеем: агрессивный маркетинг, закупки популярных личностей (не просто популярных, а именно среди молодежи, т.е. тех, кто в большинстве своем не делает контент, для понимания которого нужно думать, ТО ЕСТЬ стратегия пропаганды), растущее количество запретов с каждым месяцем (мне кажется, или раньше счёт шел хотя бы на годы) и тут я остановлюсь, этого достаточно
В медиа продавливают предустановку недософта на все смартфоны, а также добровольно-принудительную установку в учреждениях образования
Так для чего же это все? НЕ троян стал бы так себя вести? Достойное приложение нуждалось бы в такой рекламе? Отсюда вывод, что это ни что иное, как вирус
Знаешь, у меня уже очень давно нет вирусов на ПК. Секрет в том, что я научился думать. Не бездумно качать все что попало. Анализировать. Это и есть суть
-- оставшиеся 4 комментария в кэше отсутствуют, динамическая прогрузка --
Сравнение с WA/TG? #6 -- От 19 августа 2025 20:03:55 GMT
hololoev (6👍): Звучит ужасно, но что в сравнении с другими мессенджарами? Подозреваю 2/3 всех этих же разрешений они запрашивают тоже
Defowl01: Даже больше чем 2/3, там разница в 1-3 разрешениях.
plazmer (1👍): Facebook
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission-group.LOCATION
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission-group.CONTACTS
android.permission.GET_ACCOUNTS
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission-group.SMS
android.permission.CAMERA
android.permission-group.CAMERA
android.permission-group.MICROPHONE
android.permission.RECORD_AUDIO
android.permission-group.SENSORS
android.permission.BODY_SENSORS
android.permission.CALL_PHONE
android.permission-group.PHONE
android.permission.READ_CALL_LOG
android.permission.WRITE_CALL_LOG
android.permission.PROCESS_OUTGOING_CALLS
android.permission-group.CALENDAR
android.permission.READ_CALENDAR
android.permission.WRITE_CALENDAR
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission-group.STORAGE
android.permission.DUMP
WA, что-то мало. видать остальное лучше спрятано [прим. VADemon: не спрятано, а не всё в пространстве android.permission определено, но спасибо автору, хотя бы видно из-за чего у него недосчёт]
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_NETWORK_STATE
android.permission.CAMERA
android.permission.GET_ACCOUNTS
android.permission.INTERNET
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_PHONE_STATE
android.permission.RECORD_AUDIO
android_permissions
android.permission.UPDATE_DEVICE_STATS
android.permission.WAKE_LOCK
android.permission.WRITE_EXTERNAL_STORAGE
track:
_limit_ad_tracking
trackAnalytics
advertiser_tracking_enabled
application_tracking_enabled
Как повторить? (apt install binutils - чтобы strings получить)
unzip any.apk
cat *.dex | strings | sort | uniq | grep "android.perm"
Это просто «байт» для журналистов. #7 -- От 20 августа 2025 15:41:23 GMT
romanesko (16👍 2👎):
Со стороны может показаться насколько всё ужасно, но любому специалисту ясно, что любое приложение, где есть форма ввода «введите своё имя» занимается передачей личных данных на сервера и позволяет вести слежку сколько Олегов зарегистрировалось в системе.
Ну к-мон, это просто левый вброс, написанный нейросетью.
Дорогие журналисты, прежде чем постить в новостях — обратитесь к специалисту за консультацией.
Chi-Firka (4👍 15👎): разница в том, кто увидит твою инфу
какой-нибудь далекий гУгОл, которому ты нахрен не сдался и который хочет лишь продать тебя поскорее или же...
умничка, дальше сам догадаешься
Остаток приложения после удаления #8 - От 20 августа 2025 17:46:01 GMT
demargorn: Скажите, после удаления сего "мессенджера", остаются ли какие-то следы этого приложения на устройстве? Не останется ли слежки за устройством после удаления приложения?
Pan4ur (7👍 1👎 8😄): Добрый день! После просмотра интерфейса приложения MAX, в голове меняются нейронные связи и мозг начинает слать сигналы на МКС (Это из декриптованных архивов Кремля). Чтобы это предотвратить - воспользуйтесь инструкцией на картинке.
IMAGE
бред от чата гпт #9 -- От 18 августа 2025 15:47:11 GMT
pablushaa (1👍 1👎): с первых же строк можно понять, что аффтар сия поноса тупо прогнал весь код приложения через чат гпт (причем, походу, не только через чат жпт, но и через другие ии), чтобы срубить много упоминаний и классов. никакой реальной аналитики сделано не было. чисто байт для журналюг, профит от исследования нулевой
ИИ-слоп от человека, который даже не знает, что такое реверс #12 -- От 20 августа 2025 15:32:52 GMT
Прим.: сравнивать, видимо, надо со скриншотами из репы. Сопоставить ссылки не смогу.
https://github.com/KARENKING112/max-deep-analysis-of-the-messenger
LSD00 (23👍 3😄):
Я в своем сообщении лишь разберу скришоты.
IMAGE
Автор их никак не комментирует, поэтому это сделаю я. Скриншот, указанный ниже, показывает DLL библиотеки, половина из официальные либы от самих Microsoft, а другая половина - библиотеки Qt6, что автор увидел в этом зловредного - одному богу известно
Автор не указывает название вызова метода/класс, поэтому тут спешу сделать предположение, что это https://dreamswork.github.io/qt4/classQNetworkAccessManager.html - класс QNetworkAccessManager из Qt, который из описания позволяет приложению отправлять сетевые запросы и получать ответы, что автор увидел в этом плохо - тоже лишь одному богу известно
IMAGE
Здесь лишь подтверждается мое мнение, не более, смешит лишь невежество автора данной репы, ибо он не смог самостояльно нагуглить пример работы функции и попросил сделать это нейронку))
IMAGE
Здесь опять скришот без каких либо комментариев, поэтому это сделаю опять я, https://doc.qt.io/qt-6/qabstractsocket.html - класс из того же Qt, который дает базовый функционал для всех известных типов сокетов. Что же тут плохого - автор также не поясняет, видать автор не любит Qt Framework
IMAGE
Здесь автор, решил похвастаться, что нашел путь на с компа на котором происходила компиляция программы(скорее всего CI/CD ибо Jenkins)
IMAGE
Здесь же полнейшая шизофрения, ибо QFontMetrics (https://doc.qt.io/qt-6/qfontmetrics.html) - класс для работы со шрифтами, т.е единственная возможная опасность - уебанский выбор шрифта, от которого у дизайнера случится инсульт
IMAGE
Резюмируя хочу сказать, что автор не разбирается в реверсе от слова совсем и решил, что стандартные классы/методы Qt - что-то опасное, надеюсь, что читающий это сообщение уже понял, с каким уровнем аналитики мне пришлось столкнуться. Про текст, написанной нейронкой и автором, который имеет ровно 0 знаний в IT я даже говорить не буду, это сделали до меня.
kiber-io (7👍 2😄): автор ничего не реверсил 99%, это реально просто высер нейронки)
Что-то пошло не так #13 -- От 20 августа 2025 17:45:57 GMT
jecustoms (6👍 3🚀):
Где всё ок/типично для любого крупного мессенджера
myTracker. Перечень событий (trackPurchaseEvent, trackLaunchManually, кастомные параметры и т. д.) действительно есть в SDK и выглядит обычно для аналитики/атрибуции. Это стандартный SDK VK (myTracker), и его API открыто документирован;
Перехват HTTP/HTTPS и кастомных ссылок. LinkInterceptorActivity с intent-filters под http/https — это просто App Links/Deeplinks, стандартный механизм, а не «шпионаж за веб-трафиком».
Foreground-сервисы и типы (microphone|camera|location|…) — нормальная история для звонков/уведомлений/медиа; с Android 14 это вообще обязательная декларация;
Плейсинговая информация. Пакет ru.oneme.app — да, это MAX в Google Play.
Где автор перегибает или смешивает старьё с актуальным
Громоздкий список разрешений. Многое из перечисленного либо устарело/сигнатурное и обычному приложению недоступно (например, DOWNLOAD_WITHOUT_NOTIFICATION), либо больше не даёт прямого доступа на новых SDK (storage теперь через scoped storage + отдельные READ_MEDIA_*). Сам факт «упоминания» не значит, что приложение реально может это делать на Android 12–14;
DISABLE_KEYGUARD. Механизм работы с экраном блокировки через KeyguardLock уже давно deprecated; современные приложения используют window flags. Если это где-то всплыло — вероятнее следы старого кода/аналитики, чем реальная активность на новых версиях;
MediaProjectionService ⇒ «захват экрана». Само наличие сервиса не даёт прав: захват экрана возможен только после системного диалога-согласия пользователя каждый раз. То есть это не «скрытый скринрекордер», а инфраструктура под функции типа демонстрации экрана/видео-звонков. (Это следует из стандартной модели MediaProjection в Android).
Стоит держать в голове
Масштаб трекинга. myTracker действительно умеет собирать много параметров (возраст/пол, кастомные ID, deeplink-атрибуция, события покупок, время в приложении и т. п.). Это типично для больших приложений, но это реально «богатый» сбор — зависит от того, что именно разработчики включили в конфиг;
Интеграция экосистемы VK. MAX — продукт из экосистемы VK; логично видеть их SDK/сервисы внутри.
T-Maxxx:
Я тоже орнул с ОНЭМЕ.
С замечаниями согласен.
Телеметрию нашли? Нашли. Библиотеку сбора нашли? Нашли (MyTracker). Конфиги не нашли, метрики не нашли, синки (noop, в логи (файлы), в сеть) не нашли. Доказательств отправки собранных данных не нашли (возможность нашли). Ну... Ладно.
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
Отдельно орнул с методов get/set возраста имейла и т.д. Ну да, ну да, нам же не надо это, полученное от бэка, рисовать в UI. Не исключаю и классическое "ну напишем, пусть будет, потом придумаем, куда приткнуть, когда дизайн будет". Юзедж методов/полей "последнего ввода" нам, конечно же, никто не покажет. Ведь если там ничего интересного, то придётся их выкидывать из абсолютно непредвзятого, сука, не просто отчёта, а, блядь, полноценного аналитического документа.
Qweasd123tg (1👍):
На мой вкус, доступ к геолокации для мессенджера выглядит странно, всё остальное реально похоже на обычную звонилку. С другой стороны, ну а кто сейчас не собирает геолокацию?
доступ к геолокации нужен как минимум для функции "поделиться геолокацией"
как максимум задел на будущее для интеграции тех или иных функций
и в целом как то беспокоиться об этом смысла нет ибо ты можешь напрямую в системе отрезать доступ к гео определенному приложению или вовсе отрубить гео и разраб приложения с этим ничего не сделает
tanelxen: У меня есть кейс, когда отдел маркетинга просил добавить в одно e-commerce приложение трекинг геолокации, чтобы слать пуш-уведомления с рекламой магазинов, когда пользователь оказывается рядом с ними.
Можно такое же ревью для Telegram или WhatsApp написать? #15 -- От 20 августа 2025 15:35:27 GMT
nimda2k: С такими же выводами о собираемых данных и интрузивности.
NTeditor: https://github.com/DrKLO/Telegram
nimda2k:
https://github.com/DrKLO/Telegram
Спасибо, конечно, но с
выводами о собираемых данных и интрузивности.
там туговато.
mitsukuri: (цитата issue) whataboutism - ваше всё
nimda2k: (цитата ответа) Это работает в обе стороны.
[troll] Чей Киев? #16 - От 19 августа 2025 19:58:24 GMT
vladimir-vladimirovich-putin: без описания
Гриш, зае**л, хватит позориться #17 - От 20 августа 2025 08:21:51 GMT
FurrDev-Alt (2👍 1👎):
Ну я понимаю ты себя крутым хакером возомнил, но зачем в анализ лезть если не разбираешься?
Иди лучше дальше взламывай ботов для сноса акков в тг :)
А если вот это прадва:
для структурирования и удаления ошибок тк над разбором работало 3 человека
,то это реально кринж.
MadTooth (1👍): Чё за тёрки ?, даже если автор(ы) репозитория законченные денераты либерлы лгбткхуй++, это всё равно не меняет того, что макс хуйня и точка, будет по заводу в прошивки сидеть, это только начало, очевидно что пользователя eboot в zопу, агрессивно навязывая этот мусор лохам под предлогам "наше", "ради вашей беzопасности", "чесная калкуренция", "сосите чмошники))", ну ты понял ?
[troll] Zаписьки польzоватиль максимки #1 #18 - От 20 августа 2025 08:59:27 GMT
MadTooth: (загрузил какое-то видео, но 404) ШТОТО ГЛУПЧИТ МАКСИСЯ БЛЕИН, ПАДСКАЖЫТЫ ЕСЛИ ПА 100500 РАЗИКОВ ПЕРЕУСРАНОВИТ ЕТОТ "ТОПЧИК" ПРИЛОЖУХА ДЕЛЯ КРУТИХ ПИСЮНООФФФ ТО НОРМ??? БУИТ РАБОТА?????, А ТО МНЕ ХАВОРЯТ ЩТЮ ЕТА ШПИОН В ТИЛИФОНИ, ОХ ОХ ПУК, ФИКСИКИ ПЖ НЕ ЛАМАЙЬЕ МАЯ ТИЛЕФОЧНИК МЯМА ПАРУХАИТ 😭😭😭
(И еще одно загруженное видео)
Остатком: This repository was archived by the owner on Aug 20, 2025. It is now read-only.
Так вот. После просмотра PR (таких же стебущихся) и особенно issue 12, я полез посмотреть на автора https://github.com/ZolManStaff aka Rigolit aka https://t[.]me/Rigolit22. Что я там увидел (а он уже спрятал репозитории + спасибо человеку, кто в WayBack Machine закинул):
BOFAMET_STEALER: BOFAMET stealer is a comprehensive solution for collecting data from target systems, consisting of a collector module (stealer) and a centralized command and control (C2) server
Теги: python windows golang web-server malware electron-app c2
Более-менее свежий форк виден здесь:https://github[.]com/Xcertik-Realist/BOFAMET_STEALERMAX-deep-analysis-of-the-messenger - виновник торжества
DeathCore: Project: DeathCore - Advanced System Disruption Framework
Теги: windows golang malware uac-bypass wiper windows-malware
BOTcontroller: теги: python windows linux telegram telegram-bot telegram-api tui
DISqRD: теги: python discord-bot hacking-tool hacker-tools discord-token
Что до моего высказывания об уровне компетенций автора, после именно issue 12, мне хватило увидеть, кхм, вот эту "эвристику" по краже сессионных данных Steam:
Отрывок кода, проходящийся вслепую по дискам B:-F: в Windows
def copy_steam_config():
user_home = os.path.expanduser("~")
destination_path = create_clients_folder()
steam_paths = [
r"B:\Program Files (x86)\Steam\config",
r"C:\Program Files (x86)\Steam\config",
r"D:\Program Files (x86)\Steam\config",
r"E:\Program Files (x86)\Steam\config",
r"F:\Program Files (x86)\Steam\config",
r"C:\Program Files\Steam\config",
r"D:\Program Files\Steam\config",
r"B:\Program Files\Steam\config",
r"E:\Program Files\Steam\config",
r"F:\Program Files\Steam\config",
r"D:\Steam\config",
r"E:\Steam\config",
r"F:\Steam\config",
r"C:\Steam\config",
r"B:\Steam\config",
]
config_copied = False
for steam_config_path in steam_paths:
if os.path.exists(steam_config_path):
shutil.copytree(steam_config_path, os.path.join(destination_path, "config"), dirs_exist_ok=True)
print(f"") # No output here, seems intentional
config_copied = True
break
if not config_copied:
print("") # No output here, seems intentional
Идем дальше по прошлому автора. Публикуется в сообществах мамкиных хацкеров и занимается очень даже вредительской деятельностью. Вот здесь релиз со скачиванием предлагается: blog.thread-community[.]net /z8hyoC1Qp3K , 23 июня "BOFAMET STEALER | Credit: Rigolit" "Пароли от архивов: @thread_invite". Ссылка на архив через посреднического ТГ-бота и Github автора.
Бот-посредник -- это новведение времен наших. Потому что серверы, например в Discord, за нарушения удаляются, а бот нет, то после удаления сервера можно всем пользователям бота разослать инвайт. Такая схема.
Про его деятельность могу отозваться лишь статьей "УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ".
Пусть я в целом и сторонник открытого кода и инструментария (метафора про кухонный нож). Думается, после вышеприведенного заявление писать можно. Есть шанс, что Гитхаб выдаст. Кто бы только занялся? Коммитит он из часового пояса +0500 (коммит восьмого мая 2025 и другой 12 окт 2024 г.). Гитом он пользоваться не умеет, потому что каждый коммит - либо через редактор веб-интерфейса, либо загрузка файлов через веб-интерфейс. Уж очень сомневаюсь, что это у него opsec такой продвинутый.
Вы обладаете достаточной экспертизой для оценки навыков анализа ПО рандомного "чела" в Интернете? Если нет - это уже субъективное мнение, с которым можно и поспорить.
Давайте спорить на основе issue 12 (остальные с негативом: 5, 7, 9, 13, и 17 - а это уже личное), отдельно сейчас более времени тратить не буду. После вас.
К слову не всё, что сгенерировано нейросетью шлак.
> Его максимум можно использовать для того, чтобы сходу заострить внимание на нужных компонентах
Да и... где гарантии, что Ваш комментарий не сгенерирован нейросетью?
для которых всё, что публикуется в Интернете и не согласуется с личным мнением "сгенерировано нейросетью".
:)
Давайте спорить на основе issue 12
Пожалуй, смысла с вами спорить нет (как и с этим issue), поскольку в тексте "авторского исследования" (из изначального репозитория) прямых указаний на связь между README.md файлом и изображениями нет (либо я плохо прочитал, либо связь никак не обозначена). Изображения там действительно странные, вопросов нет, но и связи этих изображений с README.md тоже нет.
Я не считаю, что к такому исследованию нужно относится как к истине в последней инстанции (ещё раз это подчёркиваю, видимо из предыдущего комментария моего это не было понятно). К этому "исследованию" нужно относится просто внимательно, оно не идеально, разумеется и имеет свои недостатки. Своим комментарием вы просто показали другую сторону этого "исследования". Надеюсь в будущем будут появляться новые подобные работы, с более серьёзной аргументацией и фактами.
"Детективное расследование" не выкупил, смотрится скорее смешно и нелепо, чем серьёзно. Человек может просто изучал искусство написание вредоносного кода чтобы потом работать "белым хакером" или ИБ'шником в какой-нибудь конторе (причём уровень этого спеца, судя по программному коду (а пишу я его каждый день много и часто) скорее всего Junior). Вы же не знаете, где именно он этот код использует? Вот и нет смысла рассуждать о его "вредоносной деятельности", просто "предполагая".
По сути большая часть этих issues - чушь, бредятина и хрень какая-то, которая не имеет никакого отношения к изначальному "исследованию" размещённому в README.md. Есть даже политические issues, которые тут вообще не к месту (хотя, судя по всему, вас они очень даже интересуют, раз вы их сюда разместили, но это не удивительно).
Вы же не знаете, где именно он этот код использует? Вот и нет смысла рассуждать о его "вредоносной деятельности", просто "предполагая".
Можете снести все эти мои предположения не очередным набросом отвергая очевидное, а пройтись вслед за сообществом, где он тусуется.
Есть даже политические issues, которые тут вообще не к месту (хотя, судя по всему, вас они очень даже интересуют, раз вы их сюда разместили, но это не удивительно).
Разместил всё, до чего добрался, потому что это всё вымоется скоро из кэша. См. начало комментария. У американцев есть очень меткая поговорка про assume. Nice try.
не очередным набросом отвергая очевидное
Где вы увидели, что я отвергаю какие-то "очевидные вещи"? Я сторонник сбалансированного отношения к любой информации, которая есть на просторах Интернета. Нельзя на 100% чему-то доверять.
а пройтись вслед за сообществом, где он тусуется.
Ну да, это ведь является определяющим (нет). Если человек состоит в каком-нибудь сообществе это ещё не означает, что он поддерживает всё, что в этом сообществе происходит. Это даже выглядит глупо. Если ты живёшь в какой-либо стране мира, значит ли это, что ты полностью и беспрекословно поддерживаешь всё, что делают власти в этих странах? А если нет, как так, ведь ты состоишь в сообществе этих стран под названием "граждане такой то страны"? Так что ле? Да не работает так и это прекрасно, что так это не работает. Иначе "зомбированных пропагандой людей" было бы в разы больше. С малыми сообществами из Telegram или Discord всё обстоит точно также. Человек может и не всё поддерживать что делает это сообщество, но из-за необходимости ощущать причастность к чему-то большему, "крутому" или "интересному" идёт туда.
Это банальная логика и ничего больше. Тут нет неочевидного или очевидного, просто нужно подумать (на худой конец спросите DeepSeek или ChatGPT - с ними в этом плане определённо есть о чём поговорить). У любого человека есть разные причины почему он находится в том или ином сообществе. Кто-то там не по своей воле, но чтобы это понять, нужно логически подумать и обладать определённой остротой ума.
Абсолютно верно, те кто орет во все дыры "сгенерировано нейросетью!!!" сами особо не отличают текст нейронки от текста человека, и естественно текущие нейронки умнее таких людей в любой экспертизе.
Отсутствие внятной структуры в том документе и повторения дважды пункта 4 про AndroidManifest один раз с кратким описанием, а другой раз списком -- я даже не знаю, чем иным назвать бы было в прошлые времена?
Но хорошо, вы-то мне скажете, каким образом разрешения на стоковом Android допускают получение root (!!!) доступа?
На основе анализа AndroidManifest.xml, прямых разрешений, указывающих на возможность патчинга системных файлов, получения root-доступа [...] не обнаружено. Также отсутствуют явные упоминания о рутинге или эксплойтах в самом манифесте.
Я вам скажу больше, ошибки в логических умозаключениях или выдача недостоверных фактов за достоверные существовали намного раньше, чем появились нейросети, а нейросети обучались на том контенте, который создавали люди. Бред пишут не только нейронки, последние версии нейронок несут меньше бреда, чем большинство людей и если вы знаете какую-то узкую специализацию лучше нейросети, то в другой специализации нейросеть будет получше вас - значит ли это, что в другой специализации я должен назвать ваши знания генерацией нейронок и орать как вы меня задолбали?
А насчет МАКСА - бреда, который о нем несут люди, в среднем намного больше, чем бреда от генерации нейросетей.
1). У меня нет ничего из этой тройки, да и врядли будет. А кроме разрешений, они все еще и деанонят пользователя при создании аккаунта. Это ответ на вопрос почему "врядли будет". Есть куда более этичные месседжеры.
2). Во всей истории с критикой Макса, как нетрудно заметить, что за те, мягко скажем, "неодназначные свойства", которые в избытке имеються у всей упомятой в посте троицы критикуют ТОЛЬКО Макс, а у двух других этого же упорно НЕ замечают.
1) А у меня теперь есть все трое, потому что вацап и телега являются популярным средством связи у тех, с кем я общаюсь по работе и вне её, Макс же поставил вынужденно, потому что мне каждый день нужны видеозвонки, а их этим двум обрубили; как по мне, "одно кольцо, чтоб править всеми" для меня просто очень давняя мечта, и я лишь порадуюсь, если вацап и телегу совсем заблокируют или как-то запретят с внушительным обоснованием, чтоб я мог всем контактам объявить "отныне только палантир!" А то каждый первый считает, что он имеет право выбрать, в чём будет отправлять мне сообщения, и удивляется, а то и обижается, если у меня нет желания ставить ещё один пожиратель батарейки и подглядыватель за моей жизнью. И я боролся с вацапом не один год, но пришлось-таки его пустить обратно в свою жизнь. Сейчас вот всячески уклоняюсь от установки внутрикорпоративного мессенджера на смартфон. Хорошо хоть пользователи "этичных анонимных мессенджеров" не заставляют меня общаться с ними именно в них!.. ну или в нашей стране таких пользователей, как я подозреваю, менее процента от общего числа.
2) Это давняя игра оппозиции в нашей стране в чёрное и белое. Они будут кричать, что у Лады колёса на резине и она ездит на бензине, а когда начинаешь спрашивать про Форд с Фльксвагеном, сразу вянут и начинают сыпать словечками "вотэбаутизм", "ты лахтинский бот", "ну ещё скажи что у них негров линчуют!" и так далее. А так как они весьма крикливы, их хорошо слышно.
3) Добавление ко второму пункту. Как было указано в посте, над падением репутации Макса стараются не только противники, но и сторонники. Нельзя внушить всенародную любовь к чему-то просто взяв и ограничив/запретив привычные альтернативы, по моему ворчание народа на эту тему вполне понятно. И это ворчание оппозиционные силы пытаются всячески раздувать по вполне понятным опять же причинам - тут им прямая выгода.
Вообще п.1 лечится принудительным стандартным протоколом (типа как SIP в телефонке или IMAP в почте, только с человеческим лицом). И дальше ставь любой клиент по вкусу и пользуйся.
Если заинтересовать в этом опсосов, то они очень быстро такое продавят. Ещё и за копейку малую приоритет голосового/видео трафика организуют, чтоб не лагало.
Но, увы, увы, мечты-мечты. Каждый майор и бизнесмен хочет доить свою корову.
Хотя блин, звонки у всех и так ходят через стандартный WebRTC, стандартизовать надо только сигнализацию...
Когда-то, во времена джаббера был у меня nokia n9 и в него можно было добавить все актуальные на тот момент способы общения прямо в стоковое приложение "сообщения". Аська, вконтакте, одноклассники, даже скайп добавлялся (но он был встроен в систему изначально). Просто объединяешь различные соцсети одного контакта и общаешься через что хочешь внутри одного приложения. А потом все ушли в шифрование всего и вся, а джаббер забыли.
Чуть позже этот подвиг повторил Blackberry с BB Hub-ом. Сообщения из почты, скайпа, телеги, вотсапа и т.п. концентрировались в одном приложении. Правда, часто для ответа открывалось просто оригинальное приложение, но все равно это давало возможность обозревать все сообщения в одном таймлайне и одном месте.
В целом оно и сейчас доступно в гуглплее, но времена поменялись, эх...
Если бы опсосы могли такой трафик тарифицировать согласно своим хотелкам на услуги голосовой и видеосвязи, они бы продавили такое за недельку. Но так как им плевать в целом, в чём конкретно и чем вообще занимается юзер по мобильному интернету, то такого не будет. Ведь инициатива по удушению вацапа и телеги исходила от них вовсе не потому, что они надеялись на возвращение абонентов в голосовую связь, это всем ясно и так.
Может, это и к лучшему, а то я хорошо представляю себе расценки у опсосов на минуту видеосвязи...
Судя по вашему тексту о неких "оппозиционных силах", ваше отношение к ним не сказать, чтобы благодушное. Они, кстати, прямо сейчас с вами, в одной комнате? Могу ли я сделать вывод, что для вас данная "оппозиция" неприемлема в принципе?
как по мне, "одно кольцо, чтоб править всеми" для меня просто очень давняя мечта, и я лишь порадуюсь, если вацап и телегу совсем заблокируют или как-то запретят с внушительным обоснованием
Да, кажется, могу)
я лишь порадуюсь, если вацап и телегу совсем заблокируют или как-то запретят
Главное потом, порадовавшись, не кричать: "Товарищ Сталин, произошла чудовищная ошибка, нас-то за что?!" А то уже были прецеденты..
Макс же поставил вынужденно, потому что мне каждый день нужны видеозвонки, а их этим двум обрубили;
Так звоните во ВК, в чем проблема?
я лишь порадуюсь, если вацап и телегу совсем заблокируют
просто напомню, что политолог Сергей Марков очень радовался запретам и блокировкам, и всячески требовал признать как можно большее количество людей иноагентами
вотэбаутизм это когда приплетают ладу что она на резине и она ездит на бензине, а не потому что это «дешёвое» и плохое авто.
троицы критикуют ТОЛЬКО
Эээ, вы видимо прошлые десять лет пропустили. Телеграм с ватсапом критиковали все кому не лень, а первый еще и раньше блокировали, отсюда и кажущееся "положительное отношение" (дискорд и вайбер так и быть не будем даже вспоминать, хотя дискорд для связи с репетиторами я использовал, он был весьма полезен). Можете на хабре поискать, так ватсап здесь от Дурова критика была Почему WhatsApp никогда не станет безопасным / Хабр.
А так, к маху отношение ровно такое, насколько хамскими методами его продвигают. Если хамоватый мессенджер который агрессивно рекламируют из всех щелей, то и отношение к нему сложное. Заметно достали с рекламой всяческой ненужной коммерческой чепухи, да еще через государственные сервисы. Мало того, позвонить пожилой родне - невозможно (да и гугл-мит использовался для репетиторов после того как заблокировали дискорд), хотя годами прекрасно работало через проверенные и отобранные средства. Если люди выбирали какие-то программы, то были важные причины и эти причины никуда по решению госолигархии не исчезли, отсюда критика хамоватых коммерческих продвижений мутных программ. Кроме всего прочего, все хорошо помнят судьбу других нацпроектов, вроде "Спутников", "Атомов" или даже Роснано, где хитрые люди из госолигархии обогащаются, а потом проекты исчезают - нет гарантии, что мах не махнут на что-то еще и состригут еще денег с населения.
Резюмирую: хамоватые методы продвижения, ломание интернет-связи, грязная реклама маха, ухудшение жизни людей.
Так критикуйте хамские методы продвижения, как специфику связанную с Максом. В моем коменте ведь точно указано, что куча сомнительных моментов присущих всей троице критикуеться только у Макса, что автоматически вызывает сомнительное отношение к такой критике.
критикуйте хамские методы продвижения
Эээ, а вы что сейчас прочитали?
критикуеться только у Макса
Перечитайте пожалуйста. Критикуются все мессенджеры, тем более популярные. Мах просто довольно мутный выпрыгнувший "чертик из табуреткитабакерки" и все вместе создает ауру распильного творения, соотвественно, у людей появляются вопросы прямо сейчас к прямо сейчас выплывшему на поверхность воды неизвестному и подозрительному приложению, которое всем и каждому агрессивно продавливается на их личные устройства. Критика к резко выплывшему нечту - вполне ожидаема и скорее необходима. Если бы была бы речь про бесплатную раздачу смартфонов от государства с предустановленными сервисами, то дело иное - можно отложить и не пользоваться, а на личное устройство устанавливать что-то новое - не у всех есть желание, рекламного предустановленного мусора сейчас хватает. Или если бы только чиновники перешли на мах всей гурьбой, то тоже не было бы вопросов, это госкорпоративная причина (им и смартфоны частенько выдают), но не на личные устройства (тем более бывают старые и уже переполненные предустановленной рекламой). Иными словами, быстро появился, непроверен и всех заставляют этим пользоваться (в отличие от других двух), в таком сыром решении наверняка ошибки и проблемы (на хабре найдутся люди, которые приложения после пары лет использования широким кругом пользователей установят - нельзя сказать, что осторожные не правы, так как примеров утекающих данных из сервисов связанных с государством хватило всем и каждому - по видимому к приватности и надежности там относятся крайне небрежно). И это все!
Вот вы купили дорогие телефоы себе и родным ради связи и показа внуков, специально ездили, выбирали, настраивали и потом работало как часы. А в один непрекрасный день все ваши покупки и усилия оказались напрасными - ни связи с интернетом, ни настроенных у родни в селах приложений, чтобы востановить часть функций нужно проделать половину дел заново. А если у вас какие-то дела были с зарубежом (включая бывший СНГ) - так и вообще забудьте (если это коммерческие, то им тем более неприятно переходить на непроверенные серые приложения). Поэтому людей понять можно. Конечно лучше на свои решения переходить, но и на это нужно время (может кто-то опубликует статью).
Max навязываться государством, причём государством полицейским, карательным в отношении инакомыслия. Причем навязывается очень топорно, и еще и под лозунгом заботы о гражданах.
Поэтому и отношение к нему ровно такое, как к навязавающему его. У прочих-других тоже, конечно, есть куча нюансов и недостатков, но во-первых в сравнении их можно простить, а во-вторых если не можно простить, то есть выбор.
Погодите. Получается, что если мне кажется недостойным поведение, например, Ларисы Ивановны, я не могу её критиковать, не перечислив всех остальных женщин с аналогичными недостатками? Или вы считаете, что если ваш сосед бьёт жену, вас нельзя критиковать за аналогичные дейстивия, это типа оправдание такое?
Если в обществе есть некая сложившаяся норма (бить жену, писать месскджеры с кучей разрешений), то критиковать за такое поведение как-то странно. В таком случае обсуждать надо скорее саму норму, чем одного из ее последователей. Не "Вася плохой, он бьёт жену", а "Бить жен плохо, что мы можем с этим сделать?"
Кому надо? Мне не надо. Если вам надо и вы хотите обсудить общество, пожалуйста. А у меня претензии к Васе в данный момент. А кивать на соседей и общество меня в детском саду отучили.
И в чем ваша претензия к Васе? Его поведение соответствует букве закона и сложившимися в обществе нормам.
В наше время нельзя критиковать законы. Васю, впрочем, тоже нельзя. Поэтому мы будем критиковать мессенджер.
В наше время нельзя критиковать законы. Васю, впрочем, тоже нельзя.
Мне можно © — я в домике!
Это ложная дихотомия. Можно параллельно критиковать Васю и сложившиеся порядки. И это не обязательно делать одновременно в каждом предложении. А вот кричать "Да что там Вася, когда все Нижние Грязищи жён бьют" или "Да что там Нижние Грязищи, когда вот рядом сосед Вася жену бьёт" - это чистая демагогия.
Реально нужно объяснять почему аналогия не является аргументом? Любую аналогию можно обставить так, что она будет работать не в пользу защищаемого тезиса.
Ты можешь делать что хочешь и критиковать кого хочешь, тейк изначальный не в этом. Тейк о лицемерии.
Если ты общаешься (читай пользуешься) с женщинами (мессенджерами), обладающими конкретными недостатками и не высказываешься о них, но о Ларисе Ивановне с теме же недостатками вдруг почему-то решил - это буквально лицемерие. Высказался об этом недостойном человеке и потом идёшь общаться с такими же недостойными (по твоим же выделенным критериям/недостаткам).
Дело не в оправдании одного и принижения другого, а о непоследовательности позиции
Если ты общаешься (читай пользуешься) с женщинами (мессенджерами), обладающими конкретными недостатками и не высказываешься о них, но о Ларисе Ивановне с теме же недостатками вдруг почему-то решил - это буквально лицемерие.
Нет, это нормально обсуждать конкретные ситуации и конкретные проблемы. А вот пытаться оправдаться вотэбаутизмом и киванием на соседа не нормально. За себя отвечайте. Агрессивно рекламируют и нерыночными методами впаривают конкретный мессенджер, в ответ на эту рекламу следует критика. Что не так?
Дело не в оправдании одного и принижения другого, а о непоследовательности позиции
Эта непоследовательность позиции у вас в голове только. А еще лицемерие, это попытка делать вид, что вы не видите разницы между "ваши сообщения читает коммерческая компания, чтобы впарить вам рекламу" и "ваши сообщения читает российское государство, в котором за слова присесть можно на подольше чем за убийство".
как мне кажется, в MAX больше пугает не сам факт хранения каких-то данных, а то с какой целью их будут использовать в нынешних реалиях
А что может пугать, если ты обычный, законопослушный, гражданин? Если ты что-то затеваешь - да. Так и должно быть.
Скорость изменения законов пугает.
А в России сейчас есть законопослушные граждане?
А что может пугать, если ты обычный, законопослушный, гражданин? Если ты что-то затеваешь - да. Так и должно быть.
В 2025 году читать такой комментарий и смешно и грустно... 🤦♂️
Вы дверь в туалет закрываете? Зачем, что такого предвзятого там может делать обычный, законопослушный, гражданин? А может вы чего-то затеваете...
Upd. Зашёл в профиль, это бот, вопросов более не имею.
Ваш законопослушный гражданин уже полюбил цыган?
Угу. А потом ты без всякой задней мысли посылаешь смайлик с Билли Херингтоном, и вот ты уже пропагандист ЛГБТ.
Законопослушные граждане тоже могут что-то затевать , вполне законное, но "служителям закона" неприятное.
Для этого в теории полагается менять служителей как презервативы и сохранять альтернативный механизм законного, но очень неприятного затевания .
На практике во всем мире годов так с 1970-х возможность такого затевания старательно уменьшалась, сопровождаемая пропагандой его неважности и ненужности.
Поэтому нет, так не должно быть. Хорошее общество - это общество, где сохраняется баланс сил.
В 2025 году ты не можешь быть уверенным, что ты законопослушный гражданин, даже если ты ничего не делаешь.
А вот педиатр, которой 5 лет дали - она что-то затевала, была недостаточно законопослушной?
Для меня, как для пользователя, ярким маркером в MAXе является отсутствие возможности пожаловаться на собеседника, что он мошенник.
Я был бы не против, чтобы после накопления критической массы жалоб на юзера, товарищ господин майор изучил бы жалобы, и инициировал (или нет) уголовное дело.
У меня есть название для этой фичи - «Постучать».
То есть, выявить преступника, это постучать? У вас по Русскому какая оценка была в школе?
У вас по Русскому какая оценка была школе?
А у вас?
Шутки про товарища майора всем нравятся, а про стукачей нет? ;) У нас пока вроде преступником человека назначает только суд, а не кнопка?
Мне кажется в этом месенджере все будет прекрасно.
То есть, выявить преступника, это постучать?
Человек может быть признан преступником исключительно по решению суда.
У вас по Русскому какая оценка была школе?
А у вас какая?
Слово «русскому» по правилам того самого русского языка должно быть написано со строчной буквы, а не прописной.
Я правильно понимаю, что если вы видите, как кто-то отобрал кошелек у старушки, то вы не станете помогать полиции опознать его, ведь суд ещё не решил, что он преступник?
Или вы видели, как машина сбила человека и уехала, а человек без сознания, то вы не станете звонить в полицию и сообщать номер машины - ведь суд ещё не признал водителя преступником?
Да, с русским ошибся, бывает. Закончил школу 45 лет назад.
НАстучать, ага)
Отличная штука, что бы создать проблемы на ровном месте, совершенно любому не понравившемуся вам человеку.
но ведь там нет мошенников!!
МВД даже уже не стесняется заявлять, что мошенники там есть и даже что-то успешно выманили. Создатели утверждают, что всех блокируют ещё на подлёте.
*не дискуссии ради, просто наблюдение
Да. Потому что МАХ точно определяет, хороший человек или нет, по опечатку пальца, по паролю и номеру телефона. И пускает только хороших.
Мечты сбываются.
Россиянам хотят платить за доносы в Max. Общественники предлагают ввести выплаты за найденный в госмессенджере запрещённый контент. Об этом заявил общественный деятель Максим Сурайкин.
По его словам, инициативу нужно закрепить законодательно.
Для меня, как для пользователя, ярким маркером в MAXе является отсутствие возможности пожаловаться на собеседника, что он мошенник.
Гражданин, вам же сказали, все мошенники в телеге остались, в максе мошенников нет, не дискредитируйте!
Уникальные разрешения MAX (3 шт.)
DISABLE_KEYGUARDОтключение экрана блокировки (например, для воспроизведения видео при заблокированном экране).
А оно позволяет отключить экран блокировки, когда он уже активен? Если да, то это очень удобная штука для товарища майора - когда чей-то телефон уже попал в его руки, но владелец отказывается его разблокировать.
upd. судя вот по этому - да, позволяет. штош...
Очень удобная штука, с учётом того, что МАКС будет принудиловкой поставлен на большинство устройств в стране.
Хотелось бы дополнить, что если бы у Ватсапа была абсолютно такая же функция, товарищ майор не смог бы ей воспользоваться даже если бы очень захотел.
Мне кажется, это зависит от конкретных методов в коде приложения, использующих эту функцию.
То есть если сценарий работает так: пользователь получает сообщение с видео -> жмёт на уведомление на экране блокировки -> видео начинает проигрываться, экран разблокируется - то это может провернуть кто угодно. А если функция дёргается только в сценариях, которые с разблокировки начинаются - то никак не заставить.
Можно, конечно, отдельный бэкдор запилить, инициируемый, скажем, произвольным сообщением с номера 02...
Не палите товарища майора, ему теперь придется еще два десятка статей выпустить о том как у других мессенджеров больше привилегий (в штуках).
А доступ к bluetooth & NFC позволит сделать копеечные карточки-анлокеры, которые со временем будут не только у майора, но и у каждого уважающего себя гопника.
А здесь не так сказано:
https://developer.android.com/reference/android/Manifest.permission
Allows applications to disable the keyguard if it is not secure.
Я это читаю как если нет защиты, то снимет блокировку, иначе нет. Кому в итоге верить?
Жаль, что до официальной документации вы не дошли:
https://developer.android.com/reference/android/Manifest.permission
Allows applications to disable the keyguard if it is not secure.
Иными словами, если у тебя не установлена вообще никакая защита экрана - может. Если там пин-код, пароль, лицо, палец - ничего не получится. Disable keyguard можно сделать только если ты device owner (COSU и прочие девайсы, которые на этапе первого включения надо конфигурировать специальным образом) или root.
А зачем товарищу майору разблокировать чей-то телефон, если, как утверждают параноики осторожные, ему, майору, доступны все сервера и их содержимое, заботливо структурированное и подготовленное для изучения ?
Что там означенный товарисчъ может увидеть для себя нового ?
Оно не может разблокировать экран, максимум вывести свое активити. Товарищу майору это не нужно, вся переписка и так будет открытым тексом на серверах вк лежать.
Например, будильник так делает.
Так на серверах вк будет переписка только из max, но не из tg или wa.
Майору может и не нужно, а сержанту на входе в метро - очень даже.
Ну и с учетом других разрешений вполне можно порыться в телефоне не снимая лок полностью.
Это разрешение чтобы активити входящего звонка на заблокированном экране можно было вывести
А в нем уже и фоточки, и звонки и смс. А смс это вообще всё. И не надо большое начальстиво беспокоить.
Отдельный прикол, что ТамТам MAX использует библиотеки от той же Meta, которая запрещённая в РФ организация. Ну и кучку других библиотек зарубежного разлива.
А есть источник этой информации? Хочется понять как они это поняли. Потому что понять это можно только имея доступы к исходным кодам, как правило.
Самый простой - расковырять APK и посмотреть какие библиотеки в манифест прописаны, например. Можно отдельно погрепать что-нибудь формата com.*.
Приложения на андроиде - это код на Java/Kotlin, его особо сильно не компилируют в совсем бинарники, в отличие от C/C++ и обычно только обфусцируют для усложнения анализа. Схема экранов приложения есть в тех же манифестах, например - догадаться о назначении вроде не сильно сложно.
У автора вон на скриншотах сигнатуры тоже упоминаются, так что вероятно там тоже это анализировалось, но автор про разрешения решил пояснить, а не про зависимости.
Есть ютуберский разбор, есть журналисткий разбор. Там вон выше в комментариях повторили ссылку на "детальный разбор".
"В коде MAX обнаружили украинскую библиотеку uCrop от компании Yalantis, а также компоненты из США и Польши" - кто обнаружил, где опубликовал - нигде же нет. Ни в одном детальном разборе этого нет
Это было в самом начале. Обычные библиотеки которые используются для разработки. А "Украинский след", в том что в uCrop контрибьютил в 16 году Украинец который работает в Yalantis, с тех пор он хоть и мейнтенит её, но только принимает пулреквесты. Но в том исследовании уверены, что раз библиотека с ногами оттуда, то в ней сделают правки и вот вам бэкдор.
Не стоит внимания тот "разбор", там люди абсолютно далёкие от разработки под андроид в частности и от разработки в целом.
Перед вами три ссылки и три автора. Ютубер утверждает, что самостоятельно даже проверял. Я не знаю откуда у вас ваша цитата взята, но вероятно стоило бы связаться с автором, не? Ну и опять же - не хотите верить рандомам - скачайте apk и загляните в манифест и погрепайте ascii содержимое на предмет библиотек.
Вот из самого самого журналистского разбора. Там без ссылок, просто утверждение. В детальном же разборе ничего такого нет. Можно ли понимать, что журналистский разбор - наброс?
Telegram-канал Scamshot стал одним из главных источников критических материалов, публикуя технические детали об обнаруженных проблемах.
Алексей Лукацкий в своём канале перечислил все выявленные «тревожные звоночки»
Я не знаю куда вы смотрели, что не нашли ссылок. Включите в настройках браузера обязательное подчеркивание, чтобы видно было. Канал в телеге найти думаю тоже можете. Ну или как уже предлагал выше - попробуйте обратиться к автору статьи за деталями или проверьте самостоятельно.
Дело не в количестве разрешений вообще, а в количестве необходимых разрешений, без которых программа отказывается работать. Про это в статье ни слова. И не понятно, сколько из приведенных в таблице разрешений действительно необходимы тому или иному мессенджеру.
Далее, даже если все мессенджеры стучали бы куда-то в службы, тут возникает "большая разница". Если это органы некой другой страны, то им, скорее всего, по барабану, что и как обсуждают два гражданина РФ касательно их, этих граждан, внутренних дел. А вот если это наши, родненькие органы, то они очень сильно будут проверять каждое ваше слово и стараться найти статью сами знаете какого кодекса под это слово.
Далее, вполне вероятно, что пока идёт хайп и срач, и всякие проверки энтузиастов (как будет во второй статье автора) на шпионство за вами, Макс выпускается без функции шпионажа за пользователями. А вот когда всё утихнет, тогда очередное обновление установит всю шпионскую функциональность.
Ну и наконец
хочется видеть больше технических новостей, больше информации про технические решения
Ну как же, "ловит даже на парковке!". Так скажите уже, ловит или нет??
Дело в количестве разрешений вообще, а в количестве необходимых разрешений, без которых программа отказывается работать. Про это в статье ни слова.
Я написал, что не сильно разбираюсь в Android, поэтому не знаю как это проверить, чтобы было достоверно. Возможно, кто-то вдохновится и проверит в отдельной статье )
Макс выпускается без функции шпионаже за пользователем. А когда всё утихнет, тогда очередное обновление установит всю шпионскую функциональность.
Да, от этого никто не застрахован. Поэтому я показывал версии приложений, который сравнивал. Eхodus позволяет смотреть как менялось всё от версии к версии, но MAX там пока нет.
Так скажите уже, ловит или нет??
Я, как инженер радиотехник по образованию, могу вам и так сказать, что это реклама )))
не знаю как это проверить
Элементарно. Если программа отказывается продолжать без получения разрешения (а вы пытаетесь продолжить, не давая разрешения) или при рестарт программа она отказывается работать, пока вы не дадите разрешение, то это разрешение необходимое. Логика.
Eхodus позволяет смотреть как менялось всё от версии к версии
Что именно он смотрит? Потенциальные разрешения в самом бинарнике? Разрешения, которые уже даны? Непонятно. Но в любом случае он врядли показывает именно необходимые разрешения. Хотя не уверен
как инженер радиотехник по образованию, могу вам и так сказать, что это реклама )))
Блин, а я думал, что это даже ёжики знают, а не только инженеры-радиотехники) И да, это не реклама, а прямая ложь и дезинфоомация.
К слову, WhatsApp прекрасно работает без разрешений на камеру, медиафайлы, микрофон.
1) не совсем логика ) MAX запускается вообще без разрешений. Дальше, хочешь видео - дай разрешение, хочешь звонить - дай микрофон и т.д. Я просто не знаю, есть ли разрешения, которые пользователю не нужно давать в явном виде и как разные версии Андройда с этим работают.
2) exodus - посмотрите инфу на сайте. Все ссылки я оставил
3) Рекламу тоже не дураки делают. Далеко не все понимают как распространяются радиоволны. Я бы сказал, что большинство не понимает.
прямая ложь и дезинфоомация
Никто не обещал, что будет ловить на любой парковке ;-) А на какой-то - ну, наверно действительно ловит)
Это все равно ложь, потому что ловит не МАХ, а ловит телефон. Тщательнее)
Такое ощущение, что вы считаете себя самым умным. Да, физически волну ловит телефон, но то, как вы обработаете этот сигнал зависит от программы, которой нужен или не нужен какой-то конкретный диапазон или протокол. ПО запрашивает разрешение на использование датчиков. А то, что отследить человека можно по телефону без какого-либо установленного макса и так всем понятно, кроме ёжиков, потому что ёжик - животное. И если вкладываете скрытый смысл в слово "ловит", то учитывайте тот факт, что помимо одного значения этого скрытого смысла тут народ найдет еще пару тройку значений скрытых смыслов, о которых вы и не подозревали, поэтому лучше в явном виде излагать то, что хотите донести, или, если уж боитесь - не излагать и не путать других.
Какие ещё датчики, о чем вы? Мессенджер использует протокол 7-го уровня (по OSI), там до датчиков радиоволн, физически несущих сообщения, голос и видео, три дня на конях скакать.
Объясню.
Вы придираетесь к слову "датчик", хотя в моём тексте прямо упомянут протокол, которого вы почему то в упор не увидели. Я описывал общий принцип: приложение работает на уровне протоколов и обращается к аппаратным возможностям устройства (включая радиоинтерфейсы). Как называть — «датчик», «модуль связи» или «радиотракт» — это уже терминологическая деталь, не меняющая сути: физический сигнал принимает железо, а доступ и обработку обеспечивает софт.
Физический радиосигнал принимает антенна телефона, дальше он обрабатывается радиомодулем (RF-фронтенд), демодулируется в модеме (baseband), поднимается по стеку протоколов связи (PHY → MAC → RLC → PDCP → IP → TCP/UDP → TLS и т. д.), после чего уже на уровне приложений (7-й уровень OSI) мессенджер получает расшифрованный поток данных, превращает его в новое сообщение в Android через API ОС; при этом доступ к этим аппаратным модулям и сервисам даёт именно софт, который запрашивает у системы разрешения (доступ к сети, радиоинтерфейсам и т. п.), поэтому спорить про «датчики или протоколы» — это чистое словоблудие, поскольку и то и другое звенья одной цепи: без «железа» протокол не живёт, а без протокола железо бесполезно.
Ваше упоминание о 7-м уровне OSI здесь ничего не опровергает — оно лишь подчёркивает, что до этого уровня сообщение доходит именно благодаря аппаратным модулям, доступ к которым регулируется программой. Так что спор сводится к игре словами, а не к сути процесса. Когда люди читают хабр чтобы подчерпнуть для себя что-то полезное - ваша игра слов вообще не к месту.
Ваше упоминание о 7-м уровне OSI здесь ничего не опровергает — оно лишь подчёркивает, что до этого уровня сообщение доходит именно благодаря аппаратным модулям, доступ к которым регулируется программой.
Акцент, я так понимаю, на том, что именно пользовательская программа (а не ОС) в этом вопросе "регулирует" очень мало что.
не знаю как это проверить, чтобы было достоверно. Возможно, кто-то вдохновится и проверит в отдельной статье )
Самый простой вариант - методом "тыка" (что соответствует возможностям рядового пользователя), на отдельную статью не тянет.
WA точно работает без:
доступа к контактам;
доступа к метосоположению;
доступа к микрофону;
доступа к камере;
доступа к вызовам;
доступа к sms;
доступа к файлам;
доступа к состоянию Wi-Fi;
доступа к BT;
доступа к ярлыкам на рабочем столе;
доступа к экрану блокировки;
Telegram точно работает без:
доступа к контактам;
доступа к метосоположению;
доступа к микрофону;
доступа к камере;
доступа к списку вызовов;
доступа к вызовам;
доступа к файлам;
доступа к ярлыкам на рабочем столе;
доступа к экрану блокировки;
Это в режиме "запрещено". Запрещать уведомления не пробовал.
Максом не пользуюсь и экспериментировать интереса пока не возникло - будем ждать отзыва от тех, кто его себе установил.
Вот про родные органы казалось бы логично все, но по факту оказывается что эти самые органы как правило вообще ничего делать не хотят, даже не то что могут а то что обязаны.
Поэтому есть у меня обоснованные сомнения во всех этих утверждениях про старания найти статью на каждого гражданина.
Для отдельно примечательных граждан, да, без сомнения. Ну так издержки рода деятельности, революционеры и конспирация всегда рядом.
Есть разрешение, которое вы даете по умолчанию при установке этого мессенджера. Давайте условно назовем его так: SEND_DATA_TO_FSB_WITHOUT_NOTIFICATION. Остальные разрешения уже вторичны.
У меня одна из кастомных прошивок Xiaomi.eu выводит классную статистику о действиях:
какое приложение сколько раз и когда запросило действия по тем или иным разрешениям или автозапуску. Когда система отказала.
Вот правда сравнивать с максом не буду... Во-всяком случае пока.
Имхо. Если разработчики хотят доверия к своему продукту от пользователей и инженеров надо делать как MS. Выкладывать исходники.
одно дело опубликовать исходники клиента и серверной части, а другое дело быть уверенным что на серверах работает именно этот код без "дополнительных модификаций", удостовериться об этом естественно нет возможности а выражение "джентльменам верят на слово" тут не подходит.
Для этого есть аудит других независимых компаний, которым дают доступ к исходникам и потом они подтверждают. Но это надо искать такие компании, которым вы поверите. А самое главное, "доверяй, но проверяй", пока сам не посмотришь никому доверять не будешь. Если уже привык никому не доверять и включать паранойю. Поэтому если ты не доверяешь, то никакие проверки тебе не дадут уверенности. Ты же даже сам можешь придти и посмотреть код на сервере, а после твоего ухода поднимут другой код, правильно? Вот и всё, если ты не доверяешь, то ты всегда найдёшь причину не доверять.
все верно, врятли конечно этот аудит будет вообще проводиться, темболие независимыми аудиторами из "недружественных стран", а доверять результатам отечественных аудиторов дело глупое.
А из недружественных стран не глупое? они нам тоже исходники не дадут\ют посмотреть (я имею ввиду какой нибудь телеграм или ватсап условный не даст независимым крупным студиям аудит своих серверов, даже не нашим, а каким нибудь китайцам или кому нибудь из европы, типа венграм)
насколько я знаю из более-менее известных мессенджеров независимый аудит проходили только Signal и Threema. А тем кто не пожелал проходить аудит значит есть что скрывать. С другой стороны если у вас уже есть более миллиарда пользователей то можно и не париться с аудитом, а то вдруг что аудит cнова подсветит что E2EE отсутствует и на сервере сообщения лежат в чистом виде.
Какие выводы, а главное зачем?
В MAXе есть сквозное шифрование звонков и сообщений? Нет. Это достаточный и весомый повод никогда им не пользоваться.
В Максе по глупости(или некомпетентности начальства) забыли про эту чисто маркенговую фичу. Ведь потребителю важно "есть" "нет".
Насколько это реально влияет на конфиденциальность обмена информацией звонящему с парковки все равно непонятно.
а где есть? и главное, чем докажешь, что оно есть и работает так как сказано?
просто интересно
Как надо для доящих свою корову везде.
Достаточно сказать, что синхронизация ключей шифрования по тому же каналу, по которому передаются как бы затем "зашифрованные" сообщения подвержена классической уязвимости "человек по середине", а вся эта троица проксирует трафик через свои сервера.
Есть и более тонкие моменты, связанные с тем что ключ короче инфы им с позволения сказать зашифрованной(а именно на этом хакнули Энигму, пользуясь компом слабее Ардуины) но уже сказанного абзацем раньше достаточно чтобы шифрование было лишь маркетинговым.
В бете Макса маркетиговую фичу со сквозным шифрованием не вставили либо по недомыслию маркетологов либо по некомпетентности начальства.
правильно реализованное сквозное шифрование не подвержено митму, смотри реализацию сигнал, телеграм.
В правильно организованном сквозном шифровании ключ не передаётся по тому же каналу что и шифруемое им сообщение.
В Телеграмм где все в одном канале передается, для синхронизации сесеионных ключей применяется алгоритм Диффи-Хеллмана-Меркля, что неудивительно. Удивительно то, что его почему-то называют “гарантией отсутствия возможности доступа к информации сессии”.
Алгоритм Диффи-Хеллмана-Меркля уязвим для атаки MitM, “человек посередине” изначально, и был уязвим для неё всегда. Он лишь защищает от перехвата ключа пассивной прослушкой. Не путайте круглое с зелёным.
Есть и более тонкие моменты, связанные с тем что ключ короче инфы им с позволения сказать зашифрованной(а именно на этом хакнули Энигму, пользуясь компом слабее Ардуины)
Предлагаете всё шифровать одноразовым блокнотом?
чем докажешь
Забыл, что я на сайте маркетолухов, а не программистов. Вторым хотя бы известны аббревиатуры типа E2EE.
Доказывать олухам ничего не собираюсь, есть протоколы, есть публичные security whitepapers, независимые аудиты компаниями с репутацией и стандарты, а так же публичные методы проверки и сравнения и верификации ключей.
>есть сквозное шифрование звонков и сообщений
а это будет удобно для неуловимых джо? например в element нет поиска в принципе, как понимаю из-за того что всё-зашифрованным-якобы-хранится. и это офигенный минус элемента. мы его по работе пытаемся использовать.
например в element нет поиска в принципе
Даже локального поиска нет? Сообщения просто исчезают и не хранятся вообще нигде?
В мобильных клиентах кстати нет, как и ещё много необходимого функционала. Пользуюсь Матриксом пару лет, нормальных клиентов под протокол просто не существует, в полуофициальном (Элементе) issue на гитхабе висят по пять лет
Сообщения хранятся зашифрованными и расшифровываются на лету, видимо. Поиска нет, а скроллить можешь до посинения и искать глазами.
в web-клиенте то же самое. Хотя никакое энергосбережение тут не нужно.
гы-гы, цена безопасносте.
В рабочих чатах, где нет запрещенки, это всё очень "радует"
они уведомления только недавно починили. год назад ещё и уведомления не работали в ванильном андоиде. открываешь element - и тебе пачка прилетает, оказывается весь день тебя долбят, а ты и не знаешь. сейчас более менее ок с этим.
Я уверен, реализуют. Потому что, ну, внедрят они это шифрование... ключей будет несколько, и один - у товарища майора. А ещё всё, что будет до шифрования, тоже будет у майора, только в виде логов - чисто технически это легко реализуется.
Пустить лишний раз пыль в глаза наличием E2E они не преминут.
вирусы для смартфона обычно скрывают свои желания хорошо /сарказм
Хабр превратился в пикабу, от логики куда-то добрая половина аудитории перекочевала в сторону эмоций и фантазий. Рассуждения уже идут не о сути (приложении, разрешениях, передаваемых данных и т.д.), а о фантазиях, предположениях, что может быть кто-то там, где-то там, что-то с этими данными будет делать. В рамках рассуждения какой-то околокухонной политики это было бы уместно, но когда под техническими статьями на полном серьезе начитается обсуждение "я не верю что мне за то что я пишу ничего не будет" или "ну он же может за мной следить, если не сейчас, то когда-нибудь", это вызывает у меня недоумение. Тем более странно, учитывая что можно вообще не давать разрешений, которые давать страшно.
Спасибо за подобную статью со сравнением, интересно было бы еще увидеть какой-то мониторинг того, что передается по сети (если такое возможно проверить), а еще лучше препарировать сам мессенджер (опять же если это сделать возможно), посмотреть что у него в начинке
Спасибо Вам за обратную связь!
что может быть кто-то там, где-то там, что-то с этими данными будет делать
ООО "ВК" состоит в реестре организаторов распространения информации в сети Интернет. У ОРИ есть по закону обязанность хранить на территории РФ полгода и передавать органам информацию о факте передачи сообщений / аудио / видео и сами эти сообщения, а также, при передаче от одного пользователя другому идентифицировать их, а в случае использования шифрования - предоставлять ключи для расшифровки. Всё не только предельно прозрачно, но и описано в законах много лет назад.
С 28.06.2017 "Telegram Messenger Limited Liability Partnership" значится в этом реестре
за номером 90-PP
А WhatApp LLC - за номером 458-PP
Да, но уровень соблюдения законодательства (а также статистика уголовных дел на пользователей) у них и у ВК несколько отличается:
Мессенджеру WhatsApp грозит штраф до 18 миллионов рублей за повторный отказ локализовать персональные данные россиян.
В Москве мировой судья оштрафовал Telegram Messenger Inc за нарушение закона о локализации персональных данных и неисполнение российского законодательства.
Вот сейчас "альтернативу" приготовили, и можно будет и заведомо неисполнимые штрафы назначать, как для Google.
Рассуждения уже идут не о сути ... а о фантазиях, предположениях, что может быть кто-то там, где-то там, что-то с этими данными будет делать
Есть такая штука, давно уничтоженная в России - институт репутации. Не в последнюю очередь из-за этого весь сыр-бор. А ещё отсутствие открытости и честности с пользователями, отчётов о прозрачности, агрессивный маркетинг и тесное переплетение с государственной машиной — это не даёт никакого шанса на реабилитацию в глазах ИТ-сообщества ни приложению, ни разработчику, ни пиарщикам.
Хороший коммент. Хабр всегда таким был, раньше просто это лежало внизу, а теперь массово всплыло на поверхность, будто каждый второй комментатор на пол ставки преступник (и они сами в этом уверены, или как минимум в том, что их могут подогнать под это понятие). Чего стоят вечные комментарии под статьями об умных колонках. Уже в рамочку можно вешать коммент: "Я не хочу чтобы меня прослушивал товарищ майор".
Одно дело говорить языком фактов, другое впадать в такую безумную параною, что вас везде слушают, везде следят и только и дело, хотят все посадить. Если захотят - посадят, и им даже не потребуются сообщения из MAX/TG/WA, а иначе, чем тот же Пикабушник отличается от Хабровода, когда в комментариях, как вы сказали, обязательно появится оплот околокухонной политики.
у, а теперь массово всплыло на поверхность, будто каждый второй комментатор на пол ставки преступник
ну так именно таких законов и напринимали - что даже честнейший человек с самыми добрыми намерениями может стать преступником потому что не хочет колебаться вместе с линией партии, или даже просто по неосторожности оказавшись не в том месте не в то время.
Если захотят - посадят, и им даже не потребуются сообщения из MAX/TG/WA
это безусловно так, но не надо забывать, что есть огромное (просто огромнейшее!) количество случаев, когда проблемы создают и дела шьют именно когда нашелся какой-то формальный повод. грубо говоря, кроме "если захотят - посадят" - это когда что-то копают лично под вас или кому-то вы перешли дорогу, а есть еще "случайно попался под руку, когда у рожи в погонах план горит и нужно палку срубить".
Ну вот о чем я и говорю. Просто конкретно на настроение так называемой рожи в погонах, как вы можете повлиять и на подшив фейкового дела? Ответ очевиден. Возмущения народа в интернете и в СМИ уже давно перестали работать.
Повторюсь: что бы вы не написали В ЛЮБОМ МЕССЕНДЖЕРЕ, если спец.службы захотят - они это достанут. ТГ уже открыто сотрудничает со спец.службами по запросу. Интернет уже как несколько лет не safe place для своих мыслей, а чебурнет 2.0, который сейчас выходит на финишную прямую.
Я спокойный и тихий человек, которого тоже возмущают последние законы, но я не бегаю по комментам и не сею свою параною во все стороны. Это скорее вопрос взгляда на жизнь. Боитесь законов? Летите на Ямайку. Боитесь бандитизма? Летите в Японию. Боитесь ксенофобии? Летите в Тайланд. И так по кругу.
Сейчас в мире нет спокойного уголка с комфортным уровнем жизни, где можно и рыбку съесть, и жизнь пожить, и в интернете без последствий что-то сказать.
Проблема не в специальных службах, а в том, что на государственный мессенджер легко повесят аналитику для подсчёта рейтинга который может влиять на качество жизни. Конечно, если ваш образ жизни максимально одобряемый государством (как минимум один ребёнок, празднуете 23 февраля и с трепетом смотрите обращение президента на 31 декабря, осуждаете любые формы секса которые не ведут к рождению детей, держите сбережение в рублях, смотрите новинки отечественного кино, в отпуск или в Крым или в дружественные страны, смотрите рутуб и впн осуждаете, в вашей музыке нет упоминания наркотиков), то вам бояться нечего. Проблемы будут у тех, кто привык жить по старому.
Если на улицах орудует банда вооруженных головорезов, вы не сможете повлиять на их настроение, чтобы они не ограбили вас. Но если их цель не ограбить вот прям лично вас, а просто кого-нибудь - то вы можете существенно понизить вероятность ограбления избегая прогулок ночью по неосвещенным местам проблемных районов.
Не забываем, когда вы убегаете от медведя, не обязательно уметь бегать быстрее медведя - достаточно бежать быстрее какого-нибудь другого участника группы. Так что на вопрос
Просто конкретно на настроение так называемой рожи в погонах, как вы можете повлиять и на подшив фейкового дела?
Ответ действительно очевиден: как можно меньше попадаться им на глаза, не давать формальных поводов обратить на вас внимание, и не облегчать им сбор материалов дела на вас. Именно это люди и обсуждают в подобных топиках. Это как раз не паранойя, а объективные факты.
Сейчас в мире нет спокойного уголка с комфортным уровнем жизни, где можно и рыбку съесть, и жизнь пожить, и в интернете без последствий что-то сказать.
Та или иначе дичь творится вообще везде, и тренды схожи, но вот масштабы этой дичи и динамика развития трендов - очень и очень разная, и "везде все одинаково" - это очень опасное заблуждение.
Коллеги, давно напрашивается вопрос. Возможно ламерский, я ведь электронщик, с небольшим опытом классического программирования в прошлом.
В сети много пишут о том что Max глубоко внедряется в андроид, перехватывает данные других приложений, отсылает периодически фото и аудио поток с микрофона, и тд. Может тайком включаться когда ему надо без видимых признаков, и прочие страшилки...
С моей точки зрения это или абсурд, или недостаточно понимаю устройство андроида. Если Max предустановлен как системное приложение, тогда конечно может всё что угодно. Но насколько понимаю, на нерутованном смартфоне приложение может установиться только как обычное (не системное), работает строго в границах выделенной ему памяти, и не может соваться в данные других программ, и тем более внедряться в систему. Это так, или как говорится "так, но есть нюансы"? И можно ли отменить ему некоторые разрешения на аппрарате без рута?
По личному опыту, раньше я рутовал свои смартфоны, но с самсунгом S10 на андроиде 12 уже не вышло. Научился неплохо жить и без рута. Поотключал всё что ненужно через adb, большинству приложений запретил работу и интернет в фоне, плюс ограниченное использование батареи. Много чему перекрыл доступ в интернет посредством Pcapdroid. В результате батареи хватает на 3..5 дней на одной зарядке, нет рекламы, и нету отвлекающих уведомлений. Я не министр обороны чтобы ежесекундно быть на связи) Кстати расход батареи - отличный индикатор несенкционированной активности приложений, который наверное не обмануть.
Андроид более разнообразен по количеству используемых версий, так же добавим сюда разнообразие источников установки приложений, это всё складывается в огромный вектор для злоупотреблений.
По поводу системных\глубоко внедряется и т.п., давайте дождёмся 1го сентября, вроде как тогда должны(или обязаны?) начать предустанавливать МАХ на новые смартфоны.. вот и посмотрим, в том числе на apple..
Не знаю как на других телефонах, но на всех моих android устройствах можно сделать абсолютно любое приложение системным без рут прав
Можно например следить за трафиком на устройстве. Как например работает множество подобных утилит типа Wireshark. Просто висеть на портах и ловить все что туда сюда гоняется. А потом эти пакеты отправлять на сервера Макса для дальнейшей обработки. Трафик на серверах скорее всего будет обрабатываться нейросетью. Далее будет происходить обработка по микропрограммам в зависимости от тяжести события куда ты заходишь, что пишешь и кому - тебе будет начисляться либо автоматический штраф либо статья УК РФ. Что такое будет сделано - уже можно не сомневаться по последним законам. Можно периодически делать скрины экрана. Отслеживать входящие SMS или всплывающие окна. Получать содержимое буфера (текст, какие то метаданные). И делать многое другое по сути не вмешиваясь в работу сторонних приложений. Тут уже все зависит от разработчиков их опыта и маниакальности заказчиков.
На счет рута - вот почему то я на 100% уверен что данная скрытая системная опция существует как раз по заказу спецслужб. На уровне ФСБ разных стран - думаю договориться о получении доступа к этой операции будет не сложно.
Кстати вот да - если трафик Макса не будет шифроваться то на любом из звеньев сети этот трафик можно перехватить и использовать в своих корыстных целях. Например как раз собирать компромат. Воровать пароли и делать все что угодно с полученными данными.
Недавно попадалась новость там протестировали корейский телефон (тут помоему на хабре статья даже была) который вывезли скрытно из страны. Там их аналог Макс делает периодически скрины экрана смартфона и складывает их в отдельную папку. Чтобы их патрули при случае могли полистав эти скрины удостовериться что клиент не нарушал закона.
Можно например следить за трафиком на устройстве. Как например работает множество подобных утилит типа Wireshark. Просто висеть на портах и ловить все что туда сюда гоняется.
Зачем вы взялись отвечать на вопрос, в котором не разбираетесь? Для Android нет Wireshark и доступа к данным и трафику других приложений нет. Чтобы перехватывать трафик в Android необходимо создать локальный VPN сервер, подключиться к нему через системный профиль VPN с ручным подтверждением от пользователя и анализировать трафик проходящий через этот локальный сервер.
Разрешение на создание профилей VPN и подключение к ним запрашиваются системой у пользователя в явном виде и не могут быть скрыты приложением. Потому приложений скрыто от пользователя следящих за интернет‑трафиком других приложений на Android не существует.
А @xirahai верно сомневается в понимании авторами «разоблачений» принципов работы ОС Android. В плане возможности слежения за другими приложениями у MAX нет никаких преимуществ перед WhatsApp. А что они оба делают с вашими переписками внутри них — уже другой вопрос.
Это было лишь предположение. Под андроид я с этим не баловался. Тут согласен. Там нет этого. Протокол для передачи используется WEBRTC если интересно. Вчера поковырял apk ку ради интереса. Ну что могу сказать опасения о сборе инфы реальны - много чего собирает. И да подтвердилось что есть разрешения на получение скринов экрана, получения установленных приложений и прочего с возможностью работы в фоне.
Согласен также на счет куда эти данные потом пойдут и с какой целью.
Под андроид я с этим не баловался
Ну что могу сказать опасения о сборе инфы реальны - много чего собирает. И да подтвердилось что есть разрешения на получение скринов экрана
Делать снимок экрана в Android без root и системных прав можно только для своего собственного Activity.
Фоновые службы — это типично для приложений Android, тем более для мессенджеров.
Получение списка установленных приложений в Android необходимо даже чтобы просто открыть системное окно настроек прав для вашего приложения.
Необходимость тех или иных разрешений в Android вовсе не всегда очевидна из их названия для новичка. Если вы серьезно не занимались разработкой под Android, то ваших знаний недостаточно для проведения какого‑либо анализа приложения. Изучайте документацию, пишите код, тестируйте. А пока все что вы тут делаете — просто вбрасываете дезинформацию.
Получение списка установленных приложений в Android необходимо даже чтобы просто открыть системное окно настроек прав для вашего приложения.
Глупый вопрос непосвященного - а зачем его вообще выводить? Попросишь что-то сделать, что правами закрыто - система спросит "разрешить или нет?" и запомнит. Нет?
Часть разрешений нельзя запросить у пользователя, а они выдаются Google Play автоматически. Но при установке приложения из других источников эти разрешения не будут выданы. И все, что остается приложению — показать инструкцию как зайти в необходимый раздел настроек и что нажать, или же открыть нужное окно настроек автоматически, что куда удобнее для пользователя.
Часть разрешений нельзя запросить у пользователя, а они выдаются Google Play автоматически.
Например?
Документация на русском языке открыта для всех. Чаще всего это: REQUEST_INSTALL_PACKAGES, SYSTEM_ALERT_WINDOW, WRITE_SETTINGS, BIND_ACCESSIBILITY_SERVICE, PACKAGE_USAGE_STATS.
Там под пунктом 6:Запросить специальные разрешения и пример кода, который демонстрирует
пользователь должен предоставить специальные разрешения на странице «Доступ специального приложения» в системных настройках. Приложения могут перенаправлять пользователей туда с помощью намерения, которое приостанавливает работу приложения и запускает соответствующую страницу настроек для данного специального разрешения.
Т.е. то самое "или же открыть нужное окно настроек автоматически, что куда удобнее для пользователя."
Утверждается, что оно не сработает, если у приложения нет возможности получить список приложений?
Для указанного в примере ACTION_REQUEST_SCHEDULE_EXACT_ALARM сработает и без списка приложений.
А, например, для запроса ACTION_REQUEST_IGNORE_BATTERY_OPTIMIZATIONS необходимо указать package URI, для получения которого требуется разрешение на чтение списка приложений.
Input: The Intent's data URI must specify the application package name to be shown, with the "package" scheme. That is "package:com.my.app".
Приложение своего собственного URI не знает что ли?
Смотря в каком случае. Если это целостное приложение из одного пакета, то знает. Если это подключенные внешние компоненты, как например плагины в Total Commander для Android, то нет. А уж если по ответам StackOverflow или LLM писать код, то можно запрашивать и без надобности. Скорее всего это связано с тем, что до Android 11 этот запрос не требовал специальных разрешений и использовался всеми подряд без особой необходимости.
Я смотрю вы-то читать документацию умеете. А значит может лучше прямо спросите что вас интересует, но в ней отсутствует, а не будете ходить вокруг да около, создавая бесконечный диалог?
А значит может лучше прямо спросите что вас интересует, но там отсутствует, а не будете ходить вокруг да около, создавая бесконечный диалог?
Я суда сунулся с аргумента
"Получение списка установленных приложений в Android необходимо даже чтобы просто открыть системное окно настроек прав для вашего приложения."
И дальше оказалось, что тезис не такой общий - это нужно только для некоторых разрешений и некоторых модульных приложений.
Поэтому хочется узнать - название разрешения у этого самого MAX(вроде бы его обсуждаем), которое нельзя запросить, не имея разрешения на получение списка установленных приложений.
Мессенджер MAX и не имеет такого разрешения, это все еще следствие неопытности @GambitOZ в попытке его анализа. Вероятнее всего он интерпретировал разрешение REQUEST_INSTALL_PACKAGES как получение списка всех приложений. Но на самом деле это разрешение позволяет только установить приложение или его обновление. Оно есть у MAX, WhatsApp и Telegram для обновления без работающего Google Play.
Тут вы абсолютно правы - лет пять уже не кодил под андроид, так что могу путаться.
Меня скорее смутил вот этот код.
public interface InstalledPackagesProvider {
List getInstalledPackages(); } Дальше если честно смотреть не стал. Но согласен чтобы получить доступ к установленным приложениям нужны дополнительные разрешения на андрюше старше 30-й версии, т.е для андроид 11+ типа QUERY_ALL_PACKAGES в манифесте. Тут такого разрешения я не нашел.
Не дайте себя запутать - количество разрешений не является существенным фактором. Пусть оно хоть никаких не запрашивает. Самое главное разрешение - возможность у кого надо читать ваши переписки. Может у WA или TG есть такие же возможности, но как всегда есть нюанс - пусть лучше мои переписки читает условный Джон, потому что "ахаха что ты мне сделаешь я в другой стране", чем читает районный прокурор при галстуке с портфелем
пусть лучше мои переписки читает условный Джон, потому что "ахаха что ты мне сделаешь я в другой стране"
Совершенно ничто не мешает Джону передать ваши переписки районному прокурору, более того, он наверняка обязан это сделать согласно каким нибудь бумажкам, временные политические разборки не повод для "ахаха что ты мне сделаешь я в другой стране".
Мы никогда не будем знать этого наверняка, это всё домыслы, что ваши, что наши. Но есть реальность, в которой происходят события и на которые всегда можно смотреть через старую добрую призму "кому это выгодно?". Если бы зарубежные мессенджеры передавали требуемую инфу в требуемых объёмах, то было бы незачем их блокировать и агрессивно навязывать отечественный
Кажется тут дело не том, какие разрешения используются мессенджерами, а в том, кому эти самые мессенджеры принадлежат. Макс позиционируется как отечественный мессенджер, соответственно вся инфраструктура, все сервера, все данные находятся и хранятся в России. Следовательно получить доступ к этим данным у условных спец служб не составит труда.
Правда думаете, что в других мессенджерах не так?)
Можете найти случай типа такого, когда WA или TG передал бы российским органам аналогичные данные?
Разве в телеграм нет download without notification? Функция встроенного обновления есть у версии "извне" гуглплея (например, с официального сайта) и, насколько помню, уведомления о загрузке она не показывает (думаю в Максе как раз для этого и нужно разрешение)
Пока функционала покупок внутри приложения у MAX нет, но, скорее всего, появится скоро.
В пользовательском соглашении Макса указана немного другая денежная функция
5.8 Одной из функций Сервиса является возможность посредством Приложения РНКО, доступного в соответствующем разделе Сервиса (далее по тексту независимо от фактического наименования – «Приложение РНКО»), осуществлять запрос платежной ссылки посредством системы быстрых платежей в соответствии с настроенными условиями для перевода денежных средств от одного Пользователя в адрес другого (далее – «Отправитель» и «Получатель» соответственно).
Приложение РНКО предоставляется РНКО «ВК Платёжные решения» (ООО), ОГРН: 1127711000042, на основании условий использования, расположенных по адресу в сети Интернет https://money.mail.ru/img/dmr_max_agreement.pdf. Присоединение к условиям использования Приложения РНКО является обязательным условием использования Сервиса. Заключая Соглашение, Пользователь как в лице Отправителя, так и в лице Получателя подтверждает, что принимает (акцептует) условия использования Приложения РНКО в полном объеме.
Дальше еще не прочел, и политику конфиденциальности тоже не прочел
вспомнилось :-) https://www.youtube.com/watch?v=Bxhs8jMnC7w
Вот именно, что без знания или глубокого анализа каждого из этих разрешений, нельзя однозначно сказать, сколько оно раскрывает информации.
Есть в Telegram и WhatsApp - UNINSTALL_SHORTCUT: смотрим SO.
Removing support due to its flacky design. Removing a shortcut causes a full reload. Also we do not have any concept of owner, so any app can remove any shortcut.
Читайте между строк. Приложение c этим разрешением видит каждое установленное приложения через его ярлык на рабочем столе? Благо в 2015 г. из AOSP удалили. А сколько оно дальше продолжало пользоваться? Другие лаунчеры вендоров со схожим функционалом/разрешением имеются?
Уникальное для WhatsApp - GET_TASKS: (Устаревшее) Просмотр запущенных приложений.
Безобидно что ли? Так Гугл КАК РАЗ из-за напасти приложений сканирующих всех соседей на телефоне порезал эти пермишены к чертям. А была именно напасть, из топ 1000 до фига и больше приложений этим занимались и отсылали к себе такую статистику на пользователя.
Потому статья - лишь поверхостное перечисление, но не пентестерский анализ за приватность. Тем не менее, +1 автору за начинание. С исходным посылом согласен.
это ядро разрешений, необходимое для базового функционирования любого современного мессенджера.
ACCESS_COARSE_LOCATION
ACCESS_FINE_LOCATION
Ну куда же функционировать современному мессенджеру без знания местоположения пользователя? А вдруг он заблудился! И это лишь те разрешения, которые не имеют отношения к мессенджеру от слова совсем, а еще половину разрешений Вы склонны объяснять с позиций разработчиков, хотя их применение куда шире. READ_CONTACTS - чтение списка контактов устройства для поиска друзей в мессенджере. Это просто чтение контактов, а как ими распоряжается приложение - исключительно на совести разрабов. Но пользователям да, они льют в уши, что исключительно для их удобства - поиска друзей.
Интересно, а есть какая‑нибудь интерфейсная прокладка, которая подменяет собой систему, и когда аппликуха запрашивает, скажем, ACCESS_FINE_LOCATION, прокладка отвечает «дааа, дааа, канешна!», а по факту льёт левые данные (координаты Шереметьево)? И чтобы можно было задавать, что пропускать насквозь, а что спуфить.
Таксисты вроде как подобным пользуются, чтобы "встать в очередь" в аэропорту.
Приложение типа Fake GPS. Настроить его. В настройках телефона для разработчиков - пункт "Выбрать приложение для фиктивных местоположений".
ACCESS_FINE_LOCATION было дано для примера. Надо, чтобы подменяться мусором могло любое разрешение — например, чтобы можно было сделать с точки зрения приложения список звонков девственно чистым.
https://github.com/noobexon1/XposedFakeLocation для координат (причем полноценно а не так чтобы приложение которые не хотят Mock Locations - vjukb j,jqnbcm
https://modules.lsposed.org/module/eu.faircode.xlua/ XPrivacyLua как универсальное решение для большинства пермишеннов.
Но - надо XPosed и рут (и часто это значит - надо уже их скрывать от приложений которые считают что имеют право знать об этом для защиты детей и прочих ну очень важных целей)
Эти прокладки, насколько знаю, есть в достаточном кол-ве в виде модулей Magisk (а это кастомная прошивка/рут). В том числе сокрытие/подтасовка списка контактов и т.п.
Обычный Android, несмотря на достаточно пристальное внимание Google -- шпионская система. iOS не отличается. Ну и не будут же они пилить сук, на котором сидят?
У нас в универе так весь курс "физкультуру пересдавал", когда разрешили не ходить на занятия, а через одно приложение пробежки физруку скидывать
У меня вопрос по приложению Exodus. Оно так и должно при запуске глубоко задумываться над списком приложений? Я полчасика подождал и принудительно прервал его раздумья.
Тут дело не в разрешениях, а в том, что мне, например, все равно , что в тг или ватсап больше разрешений и что они за бугром читают мои сообщения, они ко мне не придут. А вот в скаме товарищ майор может прийти за тобой
они за бугром читают мои сообщения, они ко мне не придут.
It depends. Если у Вас в сообщениях переписки о том, как Вы испытываете какой‑нибудь там «Орешник» — наверняка придут и сделают предложение.
Да совсем недавно было
По данным издания, представители Интерпола получили сведения о неподобающем поведении 14-летнего подростка из Санкт-Петербурга от Google, на чьей площадке размещена игра. После этого они связались с коллегами из России и передали доказательства — скриншоты сообщений юноши из чата игры.
Насколько можно судить, герой там сулился устройть коломбайнинг, а к таким обещаниям в США относятся очень серьезно, и будь герой американским резидентом, одними объяснениями с полицией он мог не отделаться.
герой там сулился устройть коломбайнинг
Отсюда мораль: меньше слов — больше делов!
Стадия принятия
DISABLE_KEYGUARD - азблокировка телефона при обыске
Да всем понятно, что у разработчиков анало говнетного мессенджера просто ума пока не хватает, как реализовать тотальную слежку. А когда поймут, как это делается, уж будь уверен, развернутся на полную, правда могут доломать окончательно. Ну и фиг с ним
Но тут появилась первая сложность. Если Telegram и WhatsApp* легко анализируются, то MAX ни в какую не хочет. Его аналитики нет на этой платформе, а когда его ссылку на Google Play явно указываешь для «принудительного» анализа, то появляется ошибка. Как будто у MAX стоит какая‑то защита от подобных исследований.
Судя по тому, что я слышал, что на ios нельзя скачать MAX на аккаунтах, сменивших локацию, я могу предположить, что и в Play Store у приложения имеется ограничение по доступным странам. Exodus просто не может скачать apk файл под своим аккаунтом
Хотя, скрипт проверки показал, что доступно, но я бы ему не доверял особо
✅ Доступно: ['ru', 'am', 'az', 'kz', 'kg', 'tj', 'uz', 'tr', 'ua', 'by', 'us', 'de', 'fr', 'it', 'es', 'cn', 'in', 'jp', 'kr']
❌ Недоступно: []
Не знаю как Max, но тот же Ватсап ни разу за ним не замечал, чтобы он после закрытия программы, (заморозки) быстренько опять сам активировался и висел в фоне, как тот же Сбер например. И чего ему спрашивается там висеть 24 на 7 ? Про то что вашу биометрию хотите вы или нет, но оно собирает я уже умолчу. Если уж кто то реально боится за своё "уникальное" личное, то тот вообще должен выкинуть смартфон и общаться с помощью голубей. Или самому разрабатывать свою архитектуру чипа, заказывать его производство на Тайване, собирать свой смартфон, потом кодить свои приложения, умея в криптографию, желательно свой сервер, но и то все эти удовольствия как говорят до появления первых реальных квантовых компьютеров. Остальное всё , все эти хайпы и прочее - дымовая завеса для хомячков. Априори купил смартфон - купил шпиона.
Даже простой телефон свою локацию сообщает, просто по факту регистрации на разных базовых станциях.
Но. Разных рисков в целом в жизни полно, какие-то так и так принимать приходится. И модель этих рисков - дело сугубо индивидуальное. Но хоть лезть с советами типа "ты этого бойся, а этого не бойся" - дело такое себе, максимально эти риски подсветить, обозначив условия возникновения - благо.
Как очень просто решить, надо ли оно вам или нет:
Берёте список разрешений и представляете, что вы дали эти разрешения своему врагу. Если вас это устраивает, то проблем никаких нет.
А если не устраивает, то можно оценить, что этот ваш враг может вам сделать. И вот тут получается, что Telegram и Whatsapp находятся в других юрисдикциях, вряд ли могут сильно вам навредить. А вот СКА... простите... МАКС - это совсем другое. Товарищ майор живёт прямо в вашем городе. И он может причинить вам гораздо больше добра, чем все иностранные агенты вместе взятые.
А если учесть, что большинство программ, которые самостоятельно устанавливаются на моё устройство без моего ведома (как это сделал Samsung) - это вредоносные программы, то вывод совершенно очевиден.
Вот моё маленькое "техничное" расследование.
Скрытый текст
И даже ничего устанавливать не пришлось)
Но, надо понимать, что с обновлением количество разрешений может быть изменено, а рядовой пользователь не будет перед каждым обновлением проверять, какие новые разрешения добавил разработчик. Приложение на смартфоне автоматически обновится с новыми разрешениями.
Мне особенно нравится у Max - "отключение функции блокировки экрана". Не знаю как это работает, но лучше российским спецслужбам телефон не оставлять.
Нет в нем ничего особого. Уже раз 10 везде написали. Это просто запрет блокировать экран во время активности приложения. Видеозвонок какой.
Если телефон уже заблокирован, оно не делает ничего.
Whatsapp и Telegram как то обходятся без этого разрешения, хотя у них тоже есть видеозвонки.
Там код написали по другому. Так бывает. Это разрешение все равно не разрешает ничего плохого или опасного.
Надо просто прочитать документацию.
Disable the keyguard from showing. If the keyguard is currently showing, hide it. The keyguard will be prevented from showing again until
reenableKeyguard()is called.This only works if the keyguard is not secure.
Может делали для какого-то корпоративного применения. Где устройства будут без пароля киосками работать.
А на самом деле вам должно было понравится сочетание "показывать поверх всех окон" + "показывать системные уведомления", Это сочетание позволяет использовать грязный хак и получать новые права без одобрения пользователя. Google очень сильно не любит давать такие сочетания разрешений.
Кроме того "изменение сетевых настроек", например, позволяет ставить свои прокси и контролировать весь трафик пользователя.
Лично мне, по большому счету пофиг на разрешения.
Больше всего напрягает вектор на обязательную установку (с сентября на всех новых смартах, и хрен удалишь без бубна), и главное - на обязательное использование, да еще и с привязкой госуслуг (в будущем, как понимаю), путем устранения конкуренции. Вектор на обязательное использование определяется тем, что уже сейчас в "правильных" новостных изданиях, брэнд "телеграм" подается в негативном ключе, вводятся определенные ограничения на полноценное использование (звонки).
Предлагаю разрабам Макса, позиционируемого именно как национальный мессенджер, киллер-фичу:
Вы набираете сообщение, Макс, если что, сразу пишет что Вам за это полагаеться по местным антиэксримиским законам.
Толковый разбор. Классно, что вы вынесли в сравнение именно разрешения — обычно все обсуждают «фейки» и политику, а до конкретики дело не доходит. На мой взгляд, самый интересный момент здесь не даже «меньше или больше разрешений», а то, какие именно уникальные запросы делает каждое приложение — по ним реально видно философию команды и их приоритеты.
Тут не хватает статистики, а как используются видеозвонки. И прочие интернет общение.
Вполне возможно, что "всем похрен" на свою приватность, и обсуждение "подгузников" не очень и интересует "т. майора". И MAX вполне закрывает эту нишу.
у меня прям искренне вопрос возникает к автору - это вы ради хайпа - добровольно, или "кто-то" донатит? Вопрос ведь не в кол-ве разрешений, вопрос в том куда данные уйдут, вопрос в принуждении установки, вопрос в том как это будут обрабатывать, КТО, вопрос в том что рано или рано всех посадят на это "поделие".
Рекомендация одна - заводите отдельную трубку - ЧИСТУЮ без ничего от слова "совсем" для того чтоб юзать это "поделие".
Слышал ОБС, а сейчас нашел в вики, что MAX позволяет делать регистрацию только с российких и белорусских номеров. Ну что за бред. У меня родственники в третьей стране, все сидят в вотсап. Никакой телеграм и макс ни мне, ни им не сдались, и так хватает инфомусора. Опять же пожилым людям снова надо вызывать детей-внуков настраивать телефон, потом ещё привыкать к интерфейсу.
PS: может регистрация ограничена регионально только на время тестирования.
Ни слова про самое главное, а именно безопасность и конфиденциальность данных.
Попробуйте поискать в открытых слитых базах свои данные и вы обнаружите забавную закономерность, что все сливы ведут в источники - госуслуги, емиасы, росреестры, налоговая. Слиты абсолютно все персональные данные, адреса, все моменты переоформления недвижимости. На фоне этого даже все сливы яндекс доставки и такси с адресами теряются.
Удар в спину оказался именно там, где меньше всего люди ожидали этого, никакого шифрования и все базы оказались прозрачными. По этому все новые сервисы, мессенджеры и прочее, что хоть как то будет привязано к персональным данным и любым гос сервисам, сначала пусть пару лет поработают и время уже все покажет. А разумным людям в это время лучше просто понаблюдать. Вотс ап и телеграмм в любом случае не запрашивает никаких ваших данных и пока вы сами публично на каналах не разместите информацию какую либо, то и общественным достоянием становиться нечему. Можно плевать на то, кто и как просматривает ваши переписки, но вот когда ваши пдн становятся доступны любому усатому школьнику за 50 рублей на пробив, я думаю разумный человек сделает выводы.
Возможно я не до конца понимаю технические аспекты, но мне кажется, большая часть информации собирается агрессивно для того, чтобы создать базу юзеров и в будущем через нее гонять рекламу, учитывая, что продукт двигают в монополию, как агрегатор всех сервисов, предполагаю, что объем трафика ожидается безумный.
Создаётся силами VK, а им определенно хочется на этом продукте заработать, а так как государство даёт заказ с таким наборов возможностей, глупо отказываться и ограничиваться себя, а тем более играть в репутацию. Ну и органы получают софт более доступный и по запросу. Win2win
На самом деле, после слов о том, что приложение блокирует доступ к обнаружению своих разрешений и что все сравнение ведётся на основании неизвестного источника - можно и не читать дальше.
С тем же успехом можно было написать: хорошее приложение, ловит даже на парковке, мамой клянусь, а кто не согласен - иноагент
Статья интересная, слов нет. И телегой и ватсапом пользуются все, но вот то, что наше "любимое" государство начинает таким варварским, хамским, наглым образом ОБЯЗЫВАТЬ своих, типа как "свободных" граждан делать то, что оно, государство, считает нужным и лучшим делать. Может быть дело даже не в том, что лучше телега или макс (допустим), а в том, что этот Макс будет ещё одним инструментом слежки. И всё это, включая, биометрию, цифровой рубль, ограничения на связь, на поиск информации, присваивание направо и налево ярлыков "иноагент", всё это говорит о том, что нас, так или иначе, готовят к большому, современному, цифровому концлагерю, или возведения ещё одного "железного занавеса".
АНАЛИЗ MYTRACKER - ЭТО ТРЕКЕР АНАЛИТИКИ!
Что это такое:
MyTracker - это библиотека аналитики и трекинга пользователей от Mail.ru Group (сейчас VK). Это аналог Google Analytics, но от российской компании.
Основные функции:
Трекинг запусков приложения
trackLaunchManually() - отслеживает запуски
initTracker() - инициализация с ID приложения
Трекинг пользователей
trackLoginEvent() - отслеживает логины
trackRegistrationEvent() - отслеживает регистрации
Сбор данных о возрасте, поле, email, ID пользователей
Атрибуция и рекламные кампании
CampaignReceiver - обрабатывает referrer из Google Play
CampaignService - анализирует источники установок
handleDeeplink() - обработка глубоких ссылок
Сбор аналитических данных
Размер экрана устройства
Информация о приложении
Пользовательские события
Безопасность и детекция:
В файле r.java обнаружен анти-рут детектор:
Проверяет наличие test-keys в Build.TAGS
Ищет файлы su в различных директориях
Проверяет /proc/mounts на наличие Magisk
Детектирует root-привилегии
Технические особенности:
Версия: 4.0.0-beta1
Архитектура: Модульная с обфусцированными классами
Сетевое взаимодействие: HTTP клиент для отправки данных
Локальное хранение: Буферизация данных перед отправкой
Что собирает:
Демографические данные: возраст, пол
Контактные данные: email, ICQ ID, OK ID
Пользовательские события: логины, регистрации, запуски
Технические данные: размер экрана, версия приложения
Рекламные данные: источники установок, кампании
Применение:
Этот трекер используется в приложениях VK/Одноклассники для:
Анализа поведения пользователей
Отслеживания эффективности рекламных кампаний
Сбора метрик для бизнес-аналитики
Персонализации контента
Манифест можно почитать самому, там много всего интересного, что не разбирают нормально в статьях.
.apk разбирается обычным 7zip'ом, как архив.
На заметку. Приложение сильно обфусцировано, на 98%, при помощи ProGuard/R8/DexGuard, часть зашифрована, часть нативная. Поэтому пока что нет статьи с полным разбором логики работы МАХ'а, но она возможно скоро появится, как и исходники деобфусцированные/дешифрованные. Кем-то наверное ведётся работа над этим, при помощи закрытой утилиты на С++.
А всем остальным:
Скрытый текст
4. Права и обязанности Пользователя
При использовании Сервиса (Мах) Пользователь обязан:
-соблюдать положения действующего законодательства Российской Федерации, Соглашения и иных специальных документов Компании;
-не размещать информацию и Контент (включая ссылки на них), которые могут нарушать права и интересы других лиц и/или положения действующего законодательства Российской Федерации;
-перед размещением информации и Контента (включая, но не ограничиваясь, изображений других лиц, чужих текстов различного содержания, аудио- и видеозаписей) предварительно оценивать законность их размещения;
-хранить в тайне и не предоставлять другим Пользователям и третьим лицам ставшие ему известными в результате общения с другими Пользователями и иного использования Сервиса персональные данные (включая, но не ограничиваясь, домашние адреса, номера телефонов, адреса электронной почты, паспортные данные, банковская информация) и информацию о частной жизни других Пользователей и третьих лиц без получения соответствующего предварительного разрешения последних;
-осуществлять резервное копирование важной для Пользователя хранящейся в его аккаунте информации.
-В случае наличия сомнений в отношении законности осуществления тех или иных действий, в том числе по размещению информации или предоставлению доступа, Компания рекомендует Пользователю воздержаться от осуществления последних.
Пользователю при использовании Сервиса запрещается:
-регистрироваться в качестве Пользователя от имени или вместо другого лица («фальшивый аккаунт»);
-вводить Пользователей в заблуждение относительно своей личности, используя данные другого Пользователя или третьего лица;
-искажать сведения о себе, своем возрасте или своих отношениях с другими лицами или организациями;
-загружать, хранить, публиковать, размещать, предоставлять и отправлять через Сервис Контент и/или информацию, которые:
(а) содержат угрозы, призывы к насилию, в том числе скрытые, одобрение и поощрение насильственных действий;
(б) содержат порнографические изображения и тексты или сцены сексуального или иного противоправного характера, в т.ч. с участием несовершеннолетних;
(в) содержат описание средств и способов суицида, любое подстрекательство к его совершению;
(г) пропагандируют и/или способствуют разжиганию расовой, религиозной, этнической, политической ненависти или вражды, по признакам отнесения к определенным полу, ориентации, а также по иным индивидуальным признакам и особенностям человека (включая вопросы его здоровья);
(д) содержат экстремистские материалы;
(е) пропагандируют преступную деятельность или содержит советы, инструкции или руководства по совершению преступных действий;
(ж) содержат рекламу или описывают привлекательность употребления наркотических веществ, информацию о распространении наркотиков, рецепты их изготовления и советы по употреблению;
(з) потенциально могут привести к совершению противоправных действий путем введения Пользователей в заблуждение или злоупотребления их доверием;
(и) содержат программные вирусы или любой иной компьютерный код, который может нанести вред Компании, функционированию Сервиса или интернет-пользователям в целом;
(к) являются нежелательными рекламными материалами или любыми иными формами навязывания;
(л) любым образом имитируют любое лицо, организацию или должностное лицо, в том числе, Компании;
(м) а также нарушают иные права и законные интересы граждан и юридических лиц и/или требования законодательства Российской Федерации;
-осуществлять массовые рассылки сообщений в адрес других Пользователей без их предварительного согласия и/или любые другие аналогичные нежелательные рассылки (спам), в том числе с использованием отдельных функциональных возможностей Сервиса;
-использовать программное обеспечение и осуществлять действия, направленные на нарушение нормального функционирования Сервиса или аккаунтов Пользователей;
-загружать, хранить, публиковать, распространять и предоставлять доступ или иным образом использовать вирусы, трояны и другие вредоносные программы;
И вдобавок "что делать если заставляют и ваще никак, надо ставить":
Скрытый текст
Shelter создаёт изолированный рабочий профиль на вашем Android-устройстве. Это отдельное пространство, которое работает как виртуальное устройство внутри вашего телефона. Приложения, установленные в этом профиле, не имеют доступа к данным из вашего основного профиля и наоборот.
Это означает, что Max, установленный в Shelter:
1. Не сможет читать ваши контакты. Мессенджер будет видеть только те контакты, которые вы специально импортировали в рабочий профиль (если вы вообще это делали).
2. Не получит доступ к галерее и файлам. Он не увидит ваши личные фотографии, видео и документы, хранящиеся в основном профиле.
3. Не сможет получить точное местоположение. Если вы не дадите ему разрешение на доступ к GPS в рабочем профиле, он не сможет отслеживать ваши перемещения.
4. Не будет видеть установленные приложения. Max не сможет получить список приложений, установленных на вашем основном устройстве.
От чего Shelter не защищает
Важно понимать, что Shelter не является инструментом для полной анонимности. Он не может изменить то, как работает сам мессенджер на уровне сервера.
Сбор данных самим мессенджером. Max всё равно будет собирать данные, которые вы ему напрямую предоставляете. Например, ваш номер телефона (при регистрации), имя(аккаунт), аватар и содержимое ваших чатов (если нет сквозного шифрования).
Данные об устройстве и IP-адрес. Мессенджер по-прежнему будет видеть ваш IP-адрес, тип устройства, версию операционной системы и другие метаданные, которые передаются при любом подключении к интернету. (но приложение можно заморозить и всё, оно не будет работать даже на уровне системы. Заморозка безопаснее незапуска. Если вы его запустили и зарегались - оно уже начало сбор (в фоновом режиме в том числе) и отправило первую партию, если вы его заморозили в Shelter и изначально установили туда (не запуская на телефоне и не регистрируясь) - он максимум отправит "ваш" айпи адрес и платформу. ).
Обфускация кода. Shelter никак не влияет на то, что код Max обфусцирован или что в нём нет сквозного шифрования.
Использование Shelter это один из самых эффективных способов изолировать Max от ваших личных данных, хранящихся на телефоне. Он создаёт надёжный барьер между мессенджером и вашей цифровой жизнью.
Однако для максимальной защиты вам нужно использовать Shelter в связке с другими методами:
Регистрация на виртуальный номер.
Не давать мессенджеру никаких лишних разрешений внутри рабочего профиля.
Это не сделает вас полностью невидимым, но значительно усложнит связывание ваших данных с вашей реальной личностью.
F-Droid: https://f-droid.org/packages/net.typeblog.shelter/
Source code: https://gitea.angry.im/PeterCxy/Shelter
на 98%, при помощи ProGuard
это прям из AdnroidSDK и по сути сейчас его чаще всего используют для уменьшения размера приложения. Чуть ли не по умолчанию уже применяют.
Манифест можно почитать самому, там много всего интересного, что не разбирают нормально в статьях.
наоборот как раз, манифест уже в сумме подробно разобрали. "Много интересного" - для тех кто не вникал в доку андроида, и пытается судить только по названиям.
UPD: минус не от меня, я не могу)
В выходные версия MAX обновилась до 25.9.0. Количество и состав разрешений не поменялось. Вдруг, кому интересно )
Хорошее исследовние, чётко и по делу.
Вопрос: а возможно ли какието и разрешений отнять, и чтоб приложение запустилось?
Основной вопрос по мессенджеру MAX - вовсе не с клиентской стороны и не про разрешения, которые он на клиентском устройстве затребует. Вопрос - с серверной стороны.
Данный месенджер полностью российский, зарегистрирован как "организатор распространения информации" и полностью накрывается системами СОРМ, пакетом Яровой и т.п.
Плюс заявленное а МАКС'е шифрование - TLS. От клиента до сервера. Но нигде не заявлено end-to-end шифрование от абонента до абонента.
Просто это надо учитывать и не стоит обсуждать по мессенджеру Макс то, что не стали бы обсуждать по телефону.
PS. И вообще - с давних пор существует замечательнейшая фраза: "Это не телефонный разговор".
Ога, только что буквально прочитал (хорошо хоть, что с оговоркой, но и я её не с первого раза заметил). Правда, источника "по словам" не нашёл.
Одна из главных тем для обсуждения MAX — насколько он безопасен и что происходит с личной перепиской. По словам VK, все чаты в мессенджере защищены сквозным шифрованием (end-to-end). Это значит, что расшифровать сообщения могут только отправитель и получатель — даже разработчики не имеют доступа к содержимому. Однако точной технической документации на этот счет пока нет, как и информации о независимом аудите безопасности.
с давних пор существует замечательнейшая фраза: "Это не телефонный разговор".
Надеюсь, когда вы оба идёте на не телефонный разговор, вы телефоны ну хотя бы выключаете?
Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*