Max messenger - Дневник AmicA__LuciS
Мессенджер MAX
Почти копия Pegasus который скрыто устанавливают силовики.
Агресивный сбор данных, отсутствие шифрования, закрытый исходный код
Начну с рекламы продажной Инстасамки которая падка на легкое бабло и за деньги мать родную продаст. В туалете записывая рекламный ролик на Американский Айфон, про отечественный мессенджер MAX который по ее словам ловит даже на парковке и она проговорила по телефону 2 часа и связь не прервалась. Ну какой уровень образования, такая и реклама. Видимо она не вкурсе, что никакой мессенджер не будет работать без хорошей связи от оператора. Ну не об этом.
Начнем с так называемого отечественного мессенджера который неконкурентноспособен. Для того чтобы им все пользовались власти грозят заблокировать WhatsApp и Telegram. А что из себя представляет Max? Просто слизанную версияю Telegram. Слизали все ничего своего нового не реализовали, ну разве, что теперь он будет завязан с Госуслугами.
Но почему я не рекомендую его вообще скачивать и упаси Боже устанавливать. Установив его Вы откроете доступ ко всему, что есть в Вашем смартфоне. Чтобы Вы понимали, в него вшито огромное колличество процессов. Среди которых например интерес к настройкам root-прав (зачем обычному мессенджеру root-права устройства?)
Какие еще данные собираются?
1. Контакты, звонки, учетные записи, приложения
Приложение получает доступ к контактам, истории звонков, списку установленных приложений, учётным данным на устройстве
2. Геолокация
Запрашивается точное и приблизительное местоположение — даже в фоне
3. Камера и микрофон
Разрешено использование камеры и микрофона, включая фоновую активацию (foregroundservice) — может вести запись без явного запроса
4. Файлы, медиа, буфер обмена
Доступна вся файловая система, включая медиафайлы и буфер обмена
5. Сетевые и системные функции
Разрешения на управление WiFi, Bluetooth, запуск поверх других приложений, включение при старте, удержание устройства активным (wake lock)
6. Отслеживание процессов и root проверки
Max анализирует запущенные процессы, проверяет наличие root-прав или запуска на виртуальной машине, применяет obfuscation/defensive_evasion
А еще в нем есть скрытая активность о которой Вы даже не будете подозревать после установки
1. Foreground services:
Используются для фоновой записи видео/аудио, синхронизации данных и медиа-проекций .
2. Wake lock / удержание экрана:
Чтобы оставаться активным даже в фоновой работе — выглядит как задача вредоносных сервисов
3. Инъекция через JAR файлы с доступом к системным функциям:
Это позволяет использовать возможности, доступные только привилегированным приложениям
Кроме того Вы будете не зная передавать на сервера ВКонтакте данные которые могут попасть как в руки силовиков так и могут быть слиты или взломаны хакерами:
1. Передача на серверы VK всех данных: контактов, чатов, аккаунтов, процессов, буфера обмена, истории звонков и геолокации
2. Сторонние библиотеки и внешние сервисы, включая Google Firebase (США) и прочие зарубежные SDK, что несёт риски передачи данных за рубеж
3. Метаданные переписок без E2EE — отсутствие сквозного шифрования делает возможным сбор и анализ содержимого переписок и метаданных
Но самое интересное, что у мессенджера закрытый исходный код который доступен только разработчикам. Отсутствует прозрачный аудит — пользователи вынуждены полагаться только на Bug Bounty-инициативу ВКонтакте.
Max — это не просто мессенджер, а полнофункциональная платформа с крайне глубоким уровнем доступа и огромным потенциалом сбора пользовательских данных. Он обладает возможностями, нехарактерными для обычных чатов, и вызывает обоснованное опасение в вопросах приватности и безопасности.
Изм. AmicA__LuciS (в 11:38)
8
Почти копия Pegasus который скрыто устанавливают силовики.
Агресивный сбор данных, отсутствие шифрования, закрытый исходный код
Начну с рекламы продажной Инстасамки которая падка на легкое бабло и за деньги мать родную продаст. В туалете записывая рекламный ролик на Американский Айфон, про отечественный мессенджер MAX который по ее словам ловит даже на парковке и она проговорила по телефону 2 часа и связь не прервалась. Ну какой уровень образования, такая и реклама. Видимо она не вкурсе, что никакой мессенджер не будет работать без хорошей связи от оператора. Ну не об этом.
Начнем с так называемого отечественного мессенджера который неконкурентноспособен. Для того чтобы им все пользовались власти грозят заблокировать WhatsApp и Telegram. А что из себя представляет Max? Просто слизанную версияю Telegram. Слизали все ничего своего нового не реализовали, ну разве, что теперь он будет завязан с Госуслугами.
Но почему я не рекомендую его вообще скачивать и упаси Боже устанавливать. Установив его Вы откроете доступ ко всему, что есть в Вашем смартфоне. Чтобы Вы понимали, в него вшито огромное колличество процессов. Среди которых например интерес к настройкам root-прав (зачем обычному мессенджеру root-права устройства?)
Какие еще данные собираются?
1. Контакты, звонки, учетные записи, приложения
Приложение получает доступ к контактам, истории звонков, списку установленных приложений, учётным данным на устройстве
2. Геолокация
Запрашивается точное и приблизительное местоположение — даже в фоне
3. Камера и микрофон
Разрешено использование камеры и микрофона, включая фоновую активацию (foregroundservice) — может вести запись без явного запроса
4. Файлы, медиа, буфер обмена
Доступна вся файловая система, включая медиафайлы и буфер обмена
5. Сетевые и системные функции
Разрешения на управление WiFi, Bluetooth, запуск поверх других приложений, включение при старте, удержание устройства активным (wake lock)
6. Отслеживание процессов и root проверки
Max анализирует запущенные процессы, проверяет наличие root-прав или запуска на виртуальной машине, применяет obfuscation/defensive_evasion
А еще в нем есть скрытая активность о которой Вы даже не будете подозревать после установки
1. Foreground services:
Используются для фоновой записи видео/аудио, синхронизации данных и медиа-проекций .
2. Wake lock / удержание экрана:
Чтобы оставаться активным даже в фоновой работе — выглядит как задача вредоносных сервисов
3. Инъекция через JAR файлы с доступом к системным функциям:
Это позволяет использовать возможности, доступные только привилегированным приложениям
Кроме того Вы будете не зная передавать на сервера ВКонтакте данные которые могут попасть как в руки силовиков так и могут быть слиты или взломаны хакерами:
1. Передача на серверы VK всех данных: контактов, чатов, аккаунтов, процессов, буфера обмена, истории звонков и геолокации
2. Сторонние библиотеки и внешние сервисы, включая Google Firebase (США) и прочие зарубежные SDK, что несёт риски передачи данных за рубеж
3. Метаданные переписок без E2EE — отсутствие сквозного шифрования делает возможным сбор и анализ содержимого переписок и метаданных
Но самое интересное, что у мессенджера закрытый исходный код который доступен только разработчикам. Отсутствует прозрачный аудит — пользователи вынуждены полагаться только на Bug Bounty-инициативу ВКонтакте.
Max — это не просто мессенджер, а полнофункциональная платформа с крайне глубоким уровнем доступа и огромным потенциалом сбора пользовательских данных. Он обладает возможностями, нехарактерными для обычных чатов, и вызывает обоснованное опасение в вопросах приватности и безопасности.
Изм. AmicA__LuciS (в 11:38)
8
Автор: AmicA__LuciS
в 11:37