| Предыдущая глава |
↓ Содержание ↓
↑ Свернуть ↑
|
4) Что MAX знает о вас и отправляет "домой". При запуске приложение подключается к 32 различным серверам за 2 минуты. Для мессенджера это, мягко говоря, много — Signal обходится двумя-тремя. Вот что происходит:
— Определение вашего IP через 4 сервиса одновременно: ip.mail.ru, ifconfig.me, checkip.amazonaws.com, ipv4-internet.yandex.net. Зачем мессенджеру знать ваш IP через четыре разных провайдера? Даже один — уже избыточно. Или это неуверенность? Или мультичек на VPN?
— MyTracker (VK Analytics) — полноценная система аналитики, отправляющая данные на tracker-api.vk-analytics.ru. Из декомпилированного кода класса MyTrackerParams видно, что SDK умеет собирать: номера телефонов, email-адреса, VK/OK/ICQ ID, пол, возраст, произвольные параметры. Это публичная документация MyTracker, не секрет.
— Ежедневная синхронизация контактной книги. Класс DailyAnalyticsWorker запускается каждые 24 часа через WorkManager. Ваши контакты (имена + номера телефонов) регулярно отправляются на серверы VK Group. Даже контакты людей, которые не пользуются MAX и не давали на это согласия.
— Crash-репорты отправляются на sdk-api.apptracer.ru с детальной информацией об устройстве и стек-трейсами, которые могут содержать фрагменты пользовательских данных.
5) Чем это опасно на практике (не для параноиков). Забудьте про ФСБ и "большого брата" — это, возможно, не ваша модель угроз. Вот реальные сценарии.
— Мошенники и социальная инженерия. Утечки баз данных из крупных компаний — регулярная реальность. Если база MAX утекает (а серверы видят всё), мошенники получают не просто номера телефонов, а содержимое переписок. Кажется... мы уже проходили через подобные сливы. "Привет, ты вчера писал Маше про перевод 50 тыс. — вот реквизиты, перешли сюда" — такая атака работает в разы лучше обычного спама.
— Вредоносные приложения. Android-малварь, получающая root через публичные эксплойты (CVE-2024-53104 — свежий пример из ядра Linux/Android, https://nvd.nist.gov/vuln/detail/CVE-2024-53104), мгновенно получает доступ ко всей переписке MAX. В Signal ей пришлось бы ещё ломать SQLCipher. В MAX — просто SELECT FROM messages.
— Захват аккаунта. Один файл auth.prefs = полный контроль. Не нужен пароль, не нужна СМС-верификация. Токен не привязан к устройству — работает откуда угодно. Об этом классе уязвимостей подробно написано в OWASP Mobile Security Testing Guide, раздел "Testing Local Storage for Sensitive Data".
— Перехват в публичных Wi-Fi. В конфигурации приложения (network_security_config.xml) явно разрешен HTTP-трафик (без шифрования) к доменам .voskhod.ru и .gov.ru. Это значит, что в кафе или аэропорту часть трафика MAX может идти открытым текстом. Проблема Cleartext Traffic документирована Google.
6) Что известно публично и без моего скромного исследования? Это не "открытие Америки". Всё перечисленное — известные классы проблем.
— Отсутствие E2E. MAX открыто не заявляет о сквозном шифровании (https://help.max.ru). Они и не обязаны. Но пользователи часто путают "защищённое соединение" (TLS) с "защищённой перепиской" (E2E) — это принципиально разные вещи.
— Plaintext-хранилище. Описано в OWASP MSTG как M9 — Insecure Data Storage (https://mas.owasp.org/MASTG/). Одна из самых распространённых уязвимостей мобильных приложений.
— Избыточная телеметрия. MyTracker SDK (https://tracker.my.com/docs/) — публичный продукт VK Group. Его возможности задокументированы: сбор телефонов, email, VK/OK ID. Вопрос не в том, что SDK может это делать, а в том, что конкретно передаёт MAX.
— Синхронизация контактов. Стандартная практика мессенджеров, но обычно с хешированием номеров, как в Signal. Проверить, хеширует ли MAX номера перед отправкой, не удалось из-за certificate pinning — но в коде классы хеширования при синхронизации не обнаружены.
7) Что ещё я нашёл, но не расскажу в деталях. В ходе аудита обнаружены дополнительные особенности, которые могут расширить поверхность атаки. Мы намеренно не описываем конкретные механизмы эксплуатации, но обозначим направления:
— Существуют способы получить полный доступ к аккаунту, имея лишь кратковременный физический доступ к разблокированному устройству. Время — менее минуты. Серьёзно.
— Отсутствие определенных защитных механизмов позволяет вредоносному ПО с повышенными привилегиями скрытно извлекать данные без ведома пользователя.
— Некоторые данные авторизации открывают доступ не только к MAX, но и к другим сервисам экосистемы VK Group.
— Геолокация пользователя может управляться удаленно через серверную конфигурацию аналитического SDK — без уведомления.
Если вы разработчик MAX и читаете это — вы знаете, о чем речь. Я 100 % уверен. Иначе, извините, вы слепые и... ладно, я буду мягок.
Базовые рекомендации: SQLCipher для локальной БД, Android Keystore для токенов, опциональный E2E хотя бы для "секретных чатов".
8) Так что, не пользоваться MAX? Нет. Пользуйтесь. Для бытового общения — "привет, как дела" — MAX работает нормально. Стикеры красивые, звонки работают, интерфейс удобный. Госуслуги только, крайне НЕ рекомендую, привязывать. Но не питайте иллюзий о безопасности. MAX — это далеко не копия Telegram с секретными чатами. Это мессенджер, в котором оператор (VK Group) видит всё, данные на устройстве лежат открыто, а аналитика собирает больше, чем вы думаете.
Простые правила:
— Не давайте MAX доступ к контактам и геолокации, если не хотите делиться ими с VK.
— Не публикуйте invite-ссылки MAX — в них зашит ваш трекинг-токен.
— Выключите USB-отладку на телефоне. Ну, если у вас ROOT включен — земля пухом.
— Периодически проверяйте список активных сессий в настройках аккаунта.
Исследование проведено в образовательных целях с использованием стандартных инструментов аудита безопасности (jadx, apktool, mitmproxy, Frida, Wireshark). Все данные получены из публично доступного APK-файла и открытых логов на тестовом устройстве. Ни один сервер не был атакован/вскрыт/сканирован".
Ну, и в заключение. Пару слов о цене вопроса. Во что обходятся стране "ошибки" некоторых особо умных. Точнее, жадных.
20.03.2026 г. дзен-страница "Царьград": "Неуклюжие попытки блокировать интернет-сервисы ежегодно обходятся нашей экономике в 600 млрд руб. Это не просто траты на технику — это упущенные налоги, перегретое оборудование и бегство бизнеса в тень. Эксперт уверен: "цирковые упражнения" с волнообразными ограничениями только усугубляют кризис. Об этом... заявил ведущий аналитик Mobile Research Group Эльдар Муртазин... и разложил механизм ущерба. По его словам, власти не могут организовать стабильные блокировки: сервисы то отпускают, то снова душат, перенастраивая системы. Такие маневры пожирают десятки миллиардов... ежегодно — только на закупку и поддержку оборудования. А оно, по словам аналитика, буквально "горит" от перегрузок: перегревается, выходит из строя, а заменить его дешево невозможно из-за взлетевших цен на фоне санкций... Но это лишь вершина айсберга. Блокировки замедляют экономику, вынуждая повышать налоги... Малый и средний бизнес уходит в "неконтролируемую зону" — серые схемы, где налоги не собирают. Итог: 600 млрд руб. улетают в никуда, подчеркивает Муртазин. Эти цифры — сумма прямых расходов и косвенных потерь, подтверждённая данными Mobile Research Group. Эксперт не ограничивается общими потерями. В интервью "БИЗНЕС Online" он ранее разобрал ситуацию с блокировкой звонков в WhatsApp и Telegram. Официально Роскомнадзор винит мошенников, но Муртазин видит другую подоплеку: продвижение национального мессенджера Max от VK... Цель — перевести пользователей на отечественную платформу, даже если их собеседники за границей. Муртазин предупреждает: без тысяч модераторов мошенники победят, а блокировки только разозлят пользователей и ударят по бизнесу с зарубежными партнерами. Это бомба под экономику".
Вот так. 600 млрд рублей улетают в никуда.
Ну, почему же в никуда? Очень даже куда.
23.03.2026 г. в 11:00 VK-страница "БЕЛЫЙ РОДНИК": "[вложено видео] Вместо Путина: Стало известно, кого Моссад приготовил в преемники Владимиру Владимировичу. Знакомьтесь, это — Сергей Кириенко (при рождении Израитель), 1-й замруководителя администрации Президента... Сейчас, по тельавизору начали мощнейшую пиар-кампанию в пользу Кириенко. Даже нарядили... в каску, бронежилет и дали автомат. Приход к власти Владимира Владимировича проходил по такому же сценарию, только вместо войны на Украине была 2-я чеченская. Кириенко — один из важнейших элементов системы. Он отвечает за выборы всех уровней, работу с губернаторами, разрабатывает идеологические проекты. Его называют архитектором современной политической системы РФ. Кириенко имеет статус Героя России, присвоенный ему закрытым указом президента. В прошлом самый молодой премьер-министр страны... Немного из "достижений": В ЦИФРОВОЙ СФЕРЕ политика Кириенко направлена на завершение формирования "суверенного рунета" путем выдавливания иностранных платформ и перевода пользователей отечественные ресурсы. В 2026 году администрация Кириенко реализует стратегию, направленную не столько на тотальную изоляцию, сколько на сегментацию информационного пространства. ВНУТРЕННИЙ КОНТУР: Пользователям внутри России оставлен доступ к строго цензурируемым платформам (VK, Rutube). Здесь доминирует патриотическая повестка, а любые проявления недовольства (даже со стороны лояльных "военкоров") выдавливаются из публичного поля на "кухни". ВНЕШНИЙ КОНТУР ("На экспорт"): На YouTube и в Telegram для русскоязычной аудитории за рубежом (эмиграция, страны бывшего СССР) создается "нейтральный" или развлекательный контент, в который мягко вшиваются нарративы, работающие на пользу действиям Кремля. Также, сын Сергея [Кириенко] является генеральным директором технологической корпорации VK Mail group".
Да, уж. Теперь понятно откуда ветер дует. "Сын является генеральным". Ну как не порадеть родному человечку! А способов "порадеть" у 1-го замруководителя аптеки сколько угодно.
[Для справки. Сергей Владиленович Кириенко (Израитель) (род. 26.07.1962) 1-й заместитель руководителя Администрации Президента РФ (с 2016), Член Государственного совета РФ (с 2020), Герой РФ (2018), Герой ДНР (2022), Герой ЛНР (2023), председатель наблюдательных советов общества "Знание" и Государственного фонда поддержки участников СВО "Защитники Отечества". Окончил Горьковский институт инженеров водного транспорта (1984) и Академию народного хозяйства при Правительстве РФ (1993). Проходил службу в ВС СССР (1984-1986). В 1986-1991 гг. — секретарь комитета ВЛКСМ судостроительного завода "Красное Сормово", секретарь обкома ВЛКСМ, член ЦК ВЛКСМ, в 1991-1997 гг. — гендиректор АО "Акционерный Молодежный Концерн"; председатель правления социально-коммерческого банка "Гарантия"; президент нефтяной компании "НОРСИ-ОЙЛ", В 1997-1998 гг. — министр топлива и энергетики РФ, в 1998 г. — 1-й зампред, а затем Председатель Правительства РФ. Инициатор "черного вторника" (дефолта) в августе 1998 г. В 1999-2000 гг. — депутат ГД ФС РФ, лидер фракции "Союз правых сил", в 2000-2005 гг. — Полпред Президента РФ в Приволжском Федеральном округе, в 2005-2016 гг. — Гендиректор ГК по атомной энергии "Росатом", с 2016 г. — 1-й замруководителя Администрации Президента РФ. Награжден орденами "За заслуги перед Отечеством" 1-й и 4-й ст., орденом Почета, медалью Кони и др. медалями, а также орденами РПЦ: Св. благ. князя Даниила Московского 1-й ст., преп. Сергия Радонежского 1-й ст., преп. Серафима Саровского1-й, 2-й и 3-й ст., Св. благ. Вел. князя Александра Невского 2-й ст., а также орденом Почета (Армения) и орденом Почета (Беларусь)]
А теперь. О том. Во что выливается "радение родному".
16.03.2026 г. ЖЖ-страница Alexandr Rogers: "И не надо мне втирать, что "запрет Телеграм вызван соображениями национальной безопасности". Он вызван тем фактом, что Кириенко-младший — бездарность. Который превратил прибыльный "ВК-гроуп", показывавший в 2019 г. 20 млрд прибыли, в убыточное зомби, дающее 35-40 млрд убытков ежегодно. Не надо вводить утильсбор — нужно сменить бездарное руководство АвтоВАЗа. Не нужно запрещать Телеграм — нужно сменить бездарное руководство ВК-гроуп. Кстати, "Роблокс" внезапно стал "вражеским" сразу после того, как какие-то рукожопы запилили свой коммерческий клон его, платный, а туда никто не хочет идти, потому что дорого и забаговано. Срочно запретить! И это не "использование служебного положения для получения прибыли и создания неконкурентных преимуществ", не! С ФАС так же было, потом кучу чиновников пересажали (но некоторые необучаемые). Роджерс. Все. Врет. Изо всех сил продвигаемый, наплевав на законы и нормы Конституции, "Мах" не спасёт убыточную "ВК-гроуп". Как утильсбор не решает проблему с убыточностью "АвтоВАЗа". ОНО ТАК НЕ РАБОТАЕТ!".
Вот так. Младший превратил прибыльный в убыточный.
Его, видимо, и прочат в расейские цукерберги. А что? Не зря у него погоняло "Киндер-сюрприз 2.0". Короче, яблоко от яблони. Помните "черный вторник"?
| Предыдущая глава |
↓ Содержание ↓
↑ Свернуть ↑
|
