Эксперты RKS Global провели комплексное тестирование слежки в мессенджере Max на смартфонах Android и iPhone. Анализ данных показал, что в настоящее время приложение Max не ведёт слежку по умолчанию за пользователями.
Для тестирования были использованы мобильные устройства iPhone и Google Pixel. Перед тестированием, телефоны были сброшены до заводских настроек и потом обновлены до новейших версий ОС. Приложение MAX было впервые загружено на них через AppStore и Google Play.
Задачей было проверить когда и какие разрешения запрашиваются приложением MAX на телефоне пользователей, как приложение пользуется этими разрешениями, делает ли что‑то без разрешения и как приложение связывается со своими серверами.Тестирование длилось двое суток. На обоих устройствах приложению сначала был разрешён доступ ко всему, что приложение запрашивало (камере, микрофону, контактам, местоположению, звонкам, файлам, фотографиям и видео). В это время за тем, что происходит на телефоне наблюдали эксперты и фиксировали аномалии. По прошествии двух суток у приложения были отозваны все ранее выданные разрешения — теперь наблюдение шло за тем, будет ли MAX запрашивать их снова и при каких условиях.
Во время тестирования на Android использовался мониторинг приложения по названию приложения (ru.oneme.app) или ID, мониторинг активности приложения через adb, штатные средства Android (Панель управления разрешениями), журнал с ошибками adb bugreport.Для iPhone проведён анализ файла sysdiagnose с логами приложений и системы с помощью iLEAPP, мониторинг активности приложения через штатные средства iPhone (Отчёт о конфиденциальности приложений).
Мониторинг трафика с обоих устройств происходил с помощью PiRouge.Приложение тестировалось с российскими IP‑адресом, геолокацией и номером телефона. А также с IP‑адресом и геолокацией вне России.
На протяжении двух суток наблюдения ни в одной из конфигураций тестирования не было выявлено неправомерного доступа к камере, местоположению, микрофону, уведомлениям, контактам, фото и видео. Технически, у приложения была возможность собирать эти данные и отправлять их, но эксперты не зафиксировали, что такое происходило. После отзыва разрешений у приложения не зафиксировано попыток получить эти доступы снова через запросы или несанкционированно.
Тем не менее наблюдения необходимо продолжать, изменяя локацию и условия. Есть вероятность, что у разных пользователей, находящихся в разных географических точках, приложение может вести себя по-разному. Также есть вероятность, что с течением времени приложение все-таки может начать делать запросы на доступы или же несанкционированно вторгаться в пользовательское устройство. Требуется более детальный анализ трафика, его расшифровка, а также более глубокий анализ действий приложения – мануально и автоматизировано, например через mvt.
Также следует помнить, что любые приложения и сайты получают IP-адреса, которые косвенно могут указывать на геолокацию. То есть любые российские приложения, включая МАX, могут фиксировать, где приблизительно находится пользователь. Это означает, что силовики с помощью СОРМ тоже могут получить эту информацию.
Тестирование слежки в MAX на AndroidТестирование слежки в MAX на iPhone
Ранее эксперты из «Лаборатории Касперского» пояснили, что мобильное приложение Max даже несколько «отстаёт» по своим «аппетитам» от других мессенджеров.
Публикации на Хабре:
«Технический разбор Max: что внутри APK».
«Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*».
«MAX без оболочки: Что мы нашли в его APK».
«UPDATE: Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*»
«Какие запросы и куда отправляет MAX».
«Представлен PWA‑проект maxerror тем, кто не хочет устанавливать себе Max, но нужно показать, что он есть и не работает».
«PWA‑проект maxerror вышел на GitHub, там добавлена поддержка нерабочего Max на Android и улучшен интерфейс».
Источник: habr.com