- 26,823
- 46
- 8 Ноя 2022
Мессенджер, который знает о вашем смартфоне больше, чем вы сами.
Мессенджер MAX снова оказался в центре громкого спора о приватности . Автор технического разбора на Хабре заявил, что изучил APK приложения и нашёл в нём механизмы, которые могут собирать сведения об установленных программах, контактах, <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, сетевых подключениях, звонках и мини-приложениях. Часть выводов выглядит серьёзно, но требует независимой проверки и комментариев разработчиков.
По словам автора, в MAX встроен модуль MyTracker от VK, который получает список установленных на телефоне пользовательских приложений. Системные пакеты отфильтровываются, а для остальных, как утверждается, собираются имя пакета и время установки. Если список изменился, приложение может отправить на сервер не только разницу, а полный обновлённый перечень.
Отдельная часть разбора посвящена VPN. Автор пишет, что MAX проверяет наличие VPN-соединения стандартными средствами Android и может показывать предупреждение с просьбой отключить VPN. По его словам, серверный флаг способен ужесточить поведение приложения – вплоть до того, что чаты и мини-приложения будут заблокированы, пока пользователь не отключит VPN.
Серьёзные вопросы вызывает работа с адресной книгой. В разборе говорится, что приложение отслеживает изменения контактов, отправляет размер телефонной книги и может передавать хеши номеров, включая номера людей, которые не зарегистрированы в MAX. Как часто собирать данные и какими порциями их отправлять, по данным автора, задаёт сервер.
Автор также утверждает, что приложение поддерживает принудительное обновление через собственный сервер, минуя Google Play. При включении серверного флага текущая версия может перестать отправлять сообщения и принимать звонки, а пользователь увидит экран с требованием обновить приложение.
Ещё одна спорная находка связана с мини-приложениями и NFC. В разборе описан сервис, который может передавать NFC-терминалу данные, подготовленные открытым мини-приложением. Автор уточняет, что речь не про банковскую оплату, но такой механизм потенциально подходит для пропусков, карт лояльности и других неплатёжных сценариев.
В материале перечислены и другие находки: серверные флаги для поддельных чатов и встроенной оценки приложения, проверка доступности внешних сервисов вроде Telegram и WhatsApp, скрытые push-команды для удаления сообщений из локальной базы, запросы координат, настройка маршрута звонков и отключение проверки TLS-сессии через серверный параметр.
Отдельно автор описывает аудиомодули. По его словам, в старых версиях MAX присутствовали компоненты, чтобы распознавать речь и ключевые слова на устройстве, а в версии 26.16.0 часть такого кода убрали. При этом инфраструктура, позволяющая загружать модели с сервера, как утверждается, осталась.
Самые тяжёлые утверждения касаются того, что приложение может записывать сырой звук во время звонков, собирать настоящий внешний IP-адрес через скрытый модуль trace_flow, использовать Widevine DRM для устойчивого отпечатка устройства, а также уязвимости ZipSlip в службе загрузки файлов. Последняя, по версии автора, могла позволить перезаписывать файлы внутри песочницы приложения, включая настройки и локальные базы.
Ещё один риск связан с Mobile ID. В разборе говорится, что MAX разрешает незашифрованные HTTP-запросы к доменам российских операторов связи, чтобы те могли добавить номер телефона в заголовки запроса. Такой подход используется для авторизации без SMS, но открытый канал создаёт очевидные вопросы к безопасности и контролю доступа. Автор также утверждает, что похожий механизм доступен доверенным мини-приложениям через закрытый интерфейс.
Опубликованный разбор остаётся односторонним техническим заявлением и не является окончательным выводом.
Мессенджер MAX снова оказался в центре громкого спора о приватности . Автор технического разбора на Хабре заявил, что изучил APK приложения и нашёл в нём механизмы, которые могут собирать сведения об установленных программах, контактах, <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, сетевых подключениях, звонках и мини-приложениях. Часть выводов выглядит серьёзно, но требует независимой проверки и комментариев разработчиков.
По словам автора, в MAX встроен модуль MyTracker от VK, который получает список установленных на телефоне пользовательских приложений. Системные пакеты отфильтровываются, а для остальных, как утверждается, собираются имя пакета и время установки. Если список изменился, приложение может отправить на сервер не только разницу, а полный обновлённый перечень.
Отдельная часть разбора посвящена VPN. Автор пишет, что MAX проверяет наличие VPN-соединения стандартными средствами Android и может показывать предупреждение с просьбой отключить VPN. По его словам, серверный флаг способен ужесточить поведение приложения – вплоть до того, что чаты и мини-приложения будут заблокированы, пока пользователь не отключит VPN.
Серьёзные вопросы вызывает работа с адресной книгой. В разборе говорится, что приложение отслеживает изменения контактов, отправляет размер телефонной книги и может передавать хеши номеров, включая номера людей, которые не зарегистрированы в MAX. Как часто собирать данные и какими порциями их отправлять, по данным автора, задаёт сервер.
Автор также утверждает, что приложение поддерживает принудительное обновление через собственный сервер, минуя Google Play. При включении серверного флага текущая версия может перестать отправлять сообщения и принимать звонки, а пользователь увидит экран с требованием обновить приложение.
Ещё одна спорная находка связана с мини-приложениями и NFC. В разборе описан сервис, который может передавать NFC-терминалу данные, подготовленные открытым мини-приложением. Автор уточняет, что речь не про банковскую оплату, но такой механизм потенциально подходит для пропусков, карт лояльности и других неплатёжных сценариев.
В материале перечислены и другие находки: серверные флаги для поддельных чатов и встроенной оценки приложения, проверка доступности внешних сервисов вроде Telegram и WhatsApp, скрытые push-команды для удаления сообщений из локальной базы, запросы координат, настройка маршрута звонков и отключение проверки TLS-сессии через серверный параметр.
Отдельно автор описывает аудиомодули. По его словам, в старых версиях MAX присутствовали компоненты, чтобы распознавать речь и ключевые слова на устройстве, а в версии 26.16.0 часть такого кода убрали. При этом инфраструктура, позволяющая загружать модели с сервера, как утверждается, осталась.
Самые тяжёлые утверждения касаются того, что приложение может записывать сырой звук во время звонков, собирать настоящий внешний IP-адрес через скрытый модуль trace_flow, использовать Widevine DRM для устойчивого отпечатка устройства, а также уязвимости ZipSlip в службе загрузки файлов. Последняя, по версии автора, могла позволить перезаписывать файлы внутри песочницы приложения, включая настройки и локальные базы.
Ещё один риск связан с Mobile ID. В разборе говорится, что MAX разрешает незашифрованные HTTP-запросы к доменам российских операторов связи, чтобы те могли добавить номер телефона в заголовки запроса. Такой подход используется для авторизации без SMS, но открытый канал создаёт очевидные вопросы к безопасности и контролю доступа. Автор также утверждает, что похожий механизм доступен доверенным мини-приложениям через закрытый интерфейс.
Опубликованный разбор остаётся односторонним техническим заявлением и не является окончательным выводом.
- Источник новости
- www.securitylab.ru
