Все потоки

И этот заголовок - не кликбейт. Подвергнув реверс инжинирингу клиент российского мессенджера MAX удалось подтвердить самые худшие предположения.

В сети начали появляться сообщения о странных обращениях мессенджера MAX к Telegram и WhatsApp, из-за чего в сети начали выдвигаться предположения касательно природы и целей этих запросов. Но одно дело предполагать, другое дело знать. Мало ли это какая-то интеграция или случайный аналитический модуль. Поэтому чтобы понять самому и рассказать вам я решил посмотреть внутрь клиента и понять что и зачем он делает.

TL;DR - содержит шпионский модуль, который сделали разработчики MAX для слежки за теми кто использует VPN, они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление.

Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле.

Всем привет. Я сеньор и тимлид на .NET (C#). До недавнего времени работал в Росатоме, пока там внезапно не сократили целую дирекцию по цифровизации. Так что пришлось срочно выходить на рынок, причём, впервые в моей жизни (до этого работа находила меня сама). По результатам нескольких циклов собеседований получился неплохой дневник, который я здесь привожу.

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.

Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.

При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.

Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.

Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

Думаю, вы уже в курсе, что происходит в РФ с белыми списками: работают белые списки, ТСПУ в режиме drop-all пропускает только одобренные IP + SNI, рунет медленно, но верно становится интранетом

Мы просканировали 46 млн российских IP-адресов, нашли 63 тысячи выживших, разобрали работу ТСПУ. И главное - актуальные методы пробива (от Serverless-функций и покупки VPS с белым IP до туннелей через WebRTC).

████████

████████ — ██████████ █ ███████ ██████████████ ██████. ███████ ██████ ███████████ █████ █ █████████████████. █ █████████ ████████, ██████ ██████ █████████ █████████ █████████ ██████ █ █████████████████ ███████████ ████████, ███ ██████ ███████████ █████████████ █████ █ █████ ███████ ████████████ █ █████ █████████ █████████████ ██████, ███ █████ ███████████ ███████████ █ ███████████ ████████ █ █████.

Прямо сейчас, прежде чем вы проскроллите дальше, сделайте паузу и представьте себе велосипед. Самый обычный, двухколёсный, который вы видели сотни раз в жизни. Возможно, даже катались на нём прошлым летом.

А теперь мысленный эксперимент. Попробуйте в голове ( а еще лучше на листке бумаги) набросать его механическую схему. Как рама соединяет переднее и заднее колёса? Как протянута цепь и где находятся педали?

Если ваш велосипед выглядит как сюрреалистическая конструкция, которая никогда не сдвинется с места, — добро пожаловать в клуб. Вы только что столкнулись с феноменом, который в когнитивной психологии называют «иллюзией глубины объяснения». Проблема здесь не в том, что мы плохо рисуем. Проблема в том, что мы уверены, будто знаем, как работают вещи, хотя на самом деле наше понимание заканчивается на уровне пользовательского интерфейса.

Я декомпилировал APK мессенджера MAX и проверил его поведение по коду. нашёл: скрытый SDK деанонимизации с отправкой реального IP в обход VPN на сторонний домен, недокументированную запись аудио со звонков по команде сервера, отключённую проверку TLS‑сертификатов в QUIC‑канале медиа, серверный C2-канал через WebSocket с командами выгрузки контактов и логов, аппаратный фингерпринт через Widevine DRM, ZipSlip в загрузчике моделей, передачу номера телефона по открытому HTTP, силовое обновление в обход Google Play, управление NFC‑payload из мини‑приложений, трекинг адресной книги в реальном времени и ещё несколько находок. Все находки сверены с реальным кодом, ссылки на файлы и классы в zarazaex69/m

Полгода назад, в очередной раз поднимая упавший VPN, я поймал себя на ощущении дежавю. Сценарий повторялся: ещё один сервис перестал работать, ещё один «надёжный» метод оказался временным, ещё несколько часов ушли не на работу, а на борьбу за саму возможность в неё вернуться.

В какой-то момент пришло неприятное, но трезвое осознание: дальше стабильных способов обхода ограничений будет становиться только меньше. Бесконечно чинить VPN — это уже не стратегия. И если тенденция сохранится, работающих способов будет становиться всё меньше.

Именно в этот момент я впервые задумался не о новом сервисе или очередной конфигурации, а о более радикальном подходе — о смене самой точки входа в сеть. О Starlink я задумывался уже давно, учитывая, что он работает буквально во множестве соседних стран.

За последние пару лет Starlink стал практически синонимом «интернета там, где его нет». Спутниковая связь, минимальная инфраструктура, высокая скорость, быстрая установка — выглядит как идеальное решение для удалённых территорий, экспедиций, резервных каналов связи и нестандартных задач таких как обход цензуры, Иран тому пример.

Но есть один нюанс: официально Starlink в России не работает.

И дальше началась история, которая довольно быстро показала: формулировка «невозможно» здесь не совсем точная. Скорее ...

Снова привет, Хабр

разоблачение телеграм клиента Telega, что скрывается за оберткой обхода блокировок

Выбрали хороший ресторан (врача, СТО, юриста, риэлтора) по отзывам и высокому рейтингу в 2GIS, а оказалось, что там если не ужас-ужас-ужас, то как-то средне, явно не похоже на то, что вы бы ожидали от рейтинга 4.8 или даже 5 баллов. Знакомо?

Все знают, что в 2GIS могут быть накрученные фейковые отзывы (а их там всего 10-20 на весь город или там 99% фейковых? Есть ведь разница!), но не все умеют их легко опознавать. У 2gis, похоже, еще нет антифрода (что вполне нормально для пет-проекта, который делают веб-программисты в свободное время), но вы теперь можете различать ботов-зомби-инопланетян через мой антифрод af2gis, и выбирать себе те заведения, которые нравятся людям, а не ботам.

Статья будет длинная (она про все подряд о чем я думал и с чем разбирался последнее время), но тех, кто ее прочитает ждет фантастическая награда! Они смогут ходить в самые лучшие заведения города, их будут обслуживать самые красивые и шустрые официантки, еда будет очень вкусной, порции огромными и все это за довольно разумные деньги! Такие места есть, живые люди их любят и ставят им высокие оценки, а боты - любят другие заведения. Нужно только надеть волшебные очки чтобы увидеть, какие заведения хвалят люди, а какие - боты.

Все знают эту историю. 1945 год, инженер Перси Спенсер стоит рядом с магнетроном в лаборатории Raytheon, у него в нагрудном кармане шоколадный батончик, батончик тает. Нормальный человек выкинул бы шоколадку и пошёл дальше. Спенсер притащил попкорн. Зёрна начали лопаться. Потом он сунул туда яйцо, и оно взорвалось коллеге в лицо. Через пару месяцев Raytheon подала патент. Всё, микроволновка изобретена.

Эту историю рассказывают везде. Она в каждом научпопе, в каждом ролике на ютубе, в каждой подборке «10 случайных изобретений». Но вот что рассказывают сильно реже: большинство людей неправильно понимает, как она НА САМОМ ДЕЛЕ греет.

Я вот неправильно понимал. Десять лет жил с красивым объяснением в голове, которое оказалось неправильным.

Больше, чем сам АИ, меня бесят только топы АИ‑компаний, которые дуют щёки и втирают, что сейчас АГИ уже вот‑вот за углом, что вот‑вот они заменят всех программистов, суппортов и прочих бесполезных проедателей денег за свой псевдоинтеллектуальный труд, который, очевидно (!), сводится к генерации текста. Как же эти негодяи рисуются и втирают, что они решают проблемы масштаба всего человечества! В то время как на самом деле все проблемы, которые они решают — это набивание собственных карманов.

Больше топов меня бесят только коллеги, которые дуют щёки и говорят, что вот они‑то познали искусство промтинга, и теперь они — 10х программеры, потому что вместо того, чтобы делать задачи самим, они запускают пяток‑другой агентов, и те пишут код лучше, чем они.

Во‑первых, ребята, если агенты правда пишут код лучше, чем вы — у меня для вас плохие новости...

Наверное, каждый видел эти терминалы «Сбера» на кассах магазинов. Раньше там был радостный кот, а сейчас бегают разноцветные глаза. И не знаю, как вам, а мне всегда было интересно, что эти девайсы имеют под капотом. Можно ли туда поставить свои приложения? Неужели «Сбер» сам их сделал? Да и было бы забавно заставить работать игры на нём.

И вот он в моих руках, а далее в статье есть все ответы на вопросы выше. Ну и ещё мы с него звонить будем.

Очень плохая реклама от одного красного магазина инструментов спровоцировала меня сделать свой ликбез по свёрлам. Предлагаю расширить кругозор в слесарном деле — разобраться во всём зоопарке свёрл, доступных и недоступных в ближайшем строительном магазине. Мы не будем углубляться в тонкости обработки материалов резанием — просто расширим кругозор, чтобы, когда жизнь заставит «проковырять дырочку», вы использовали подходящий инструмент.

Приложения на вашем телефоне могут обнаружить VPN через SOCKS5 на localhost и слить IP-адрес сервера. Рабочий профиль (Island, Insular, Shelter) скрывает VPN от ConnectivityManager, но не от tun0, маршрутов и локальных портов. Так родился open-souce Anubis, который решает проблему иначе - автоматически отключает приложения через pm disable-user при смене состояния VPN. Мёртвое приложение не может ничего детектить, потому что его не существует.

Всем привет!

На связи команда разработчиков Amnezia. Сегодня хотим рассказать о важном обновлении нашего протокола – AmneziaWG 2.0, а также о том, как с его помощью можно развернуть собственный VPN на своем сервере.

AmneziaWG 2.0 – это уже не просто набор новых параметров в конфигурации, а заметный технологический шаг вперед в вопросе восстановления доступа к свободному интернету. Новая версия уже поддерживается в клиенте AmneziaVPN для десктопных приложений и Android у пользователей self-hosted.

Сейчас уже никого не удивить блокировками карт/счетов по подозрению в «мошенничестве» или «отмывании денежных средств». Особенно, после 01.01.2026.

Но летом, прошлого года, блокировки за «отмывание» были еще в диковинку и моя статья
«Если вам звонят из службы безопасности банка — будьте осторожны. Это может быть служба безопасности банка» — вызвала бурное обсуждение.

Я обещал, что расскажу чем все закончилось и дам несколько советов тем, кто попал в эту ситуацию (на примере собственного опыта). Мне таки удалось снять с себя подозрение в «отмывании».

Думаете это было легко?

Мы наконец готовы рассказать про Flipper One — проект, над которым корпим уже много лет и который несколько раз полностью переделывали с нуля. Это очень сложный проект как экономически, так и технически. Поэтому сегодня мы выходим в паблик не с триумфальным анонсом, а чтобы рассказать все как есть. Скажем честно — нам тупо страшно и нам нужна ваша помощь.

TL;DR Flipper One — это наша попытка переосмыслить, чем может быть Linux кибердек. Это огромный проект, поэтому мы открываем процесс разработки и просим сообщество о помощи.

В Flipper One мы поставили перед собой амбициозные задачи:

— Создать самый открытый и хорошо документированный ARM-компьютер в мире с полной поддержкой в мейнлайн-ядре Linux — чтобы можно было скачать ядро c kernel.org и оно сразу работало на Flipper One.

— Убедить вендоров открыть их существующий закрытый код и полностью избавиться от бинарных блобов и костылей.

— Слепить нестандартную аппаратную платформу из микроконтроллера и CPU и портировать кучу кода на уровень MCU.

— Переосмыслить как люди используют Linux и разработать свой GUI-фреймворк с обертками существующих CLI-утилит.

Многие из этих задач имеют кучу неопределенностей и это пугает. Но мы верим, что только так, мы можем сделать по-настоящему важный вклад в общество и образование, и это стоит дороже денег.

«Мне прислали фишинг под MAX. Внутри оказался MITM в их API» «Не ты ли на фото?» — пришло поздно вечером, в обычной переписке, от знакомого, который пишет редко. К сообщению приложена короткая ссылка. Я понял, что у него увели аккаунт, и захотел разобраться, что внутри. Через пять дней я смотрел на инфраструктуру из 179 фишинговых доменов, четырёх хостингов, через которые оператор переезжал каждые сутки, и обнаружение, что фишинг-кит работает не как сборщик паролей, а как MITM-прокси к настоящему API мессенджера MAX. Жертва получает реальный SMS от реального MAX и не может распознать атаку. CVSS 8.8. VK молчит уже неделю.