Обратный инжиниринг APK мессенджера MAX показал, что приложение собирает значительно больше данных, чем ожидалось, и содержит скрытые механизмы, способные влиять на работу устройства и конфиденциальность без явного уведомления пользователя. Находки, сделанные в коде последней версии, касаются как фоновой отправки информации, так и потенциальных векторов удалённого контроля.
Первое, что бросается в глаза — встроенный трекер MyTracker от VK, который при каждом запуске пересылает на серверы vk-analytics.ru полный список установленных пользовательских приложений с указанием времени их инсталляции. При любом изменении состава программ отправляется не дельта, а весь список целиком. Вместе с этим модуль собирает признаки рут-доступа, показания гироскопа, магнитометра, датчика давления и приближения, формируя уникальный отпечаток устройства. Отдельный интерес вызывает работа с VPN в нескольких местах интерфейса MAX показывает требование отключить VPN, но логика глубже: сервер может принудительно поднять уровень ограничений, и без отключения VPN доступ к чатам и мини-приложениям полностью блокируется. При этом сам мессенджер через скрытый SDK связывается с шестью публичными IP-чекерами, определяет реальный адрес пользователя даже при активном сплит-туннеле и отправляет его вместе с идентификаторами на сторонний домен trace-flow.ru, отсутствующий в политике конфиденциальности.
А у вас есть MAX
Адресная книга телефона также отслеживается в реальном времени и MAX не только знает точное количество контактов и реагирует на любое изменение, но и отправляет хеши номеров людей, которые не зарегистрированы в мессенджере. Мини-приложения внутри MAX способны управлять NFC-чипом. В списке из более чем трёхсот серверных флагов присутствуют fake-chats, fake-in-app-review и calls-fakeboss-incoming-call-enabled. Первый создаёт фейковые диалоги в списке чатов, второй — поддельное окно оценки приложения, третий симулирует входящий звонок от «руководителя». Все включаются удалённо.
Особого внимания заслуживает работа с сообщениями и медиа. Push-уведомление типа MessageRemoved бесследно удаляет запись из локальной базы данных, а через тот же канал сервер может запросить координаты устройства. TLS-валидация отключается флагом и команда с сервера делает клиент уязвимым к перехвату трафика на любом промежуточном узле. В медиадвижке звонков реализована функция collect-debug-dump. Сервер передаёт файл JSON с параметрами, после чего устройство записывает сырой звук с нескольких точек, включая микрофон до шумоподавления и чистый голос собеседника, а потом заливает аудиофайлы на apptracer.ru без каких-либо индикаторов записи.
Естественно, создатели MAX всё отрицают
Что касается идентификации, Mobile ID работает через открытый HTTP к шлюзам операторов — номера телефона передаются без шифрования. Тот же механизм доступен системным мини-приложениям через приватный JS-мост. А для долговременного трекинга задействован Widevine DRM: хеш идентификатора из защищённой зоны процессора (TEE) не сбрасывается ни при переустановке приложения, ни после принудительной перезагрузки устройства. Также MAX проверяет доступность Telegram, WhatsApp и других сервисов через функцию HostReachabilityChecker. Список доменов приходит с сервера, а результаты вместе с внешним IP, оператором и флагом VPN отправляются в аналитику. Официальное объяснение связывает это с «обеспечением работы звонков».
Какие из этих скрытых возможностей вы считаете допустимыми для приложения, а какие выходят за рамки разумного? Делитесь мнение в комментариях.
НовостиЖелезо и технологииОС и программычебурнетРоссия
Источник: vgtimes.ru