Российский мессенджер MAX: мифы и факты

Денискины рассказы. Издание 7-е, дополненное. По заказу ФСБ...

Тут один товарищ на хабре разобрал этот мах.
Приведу отрывок с командами:
""""""""""""""""""""""
Ниже я приведу список опасных разрешений, с кодом из файла, и в некоторых местах буду вставлять свои комментарии.

REQUEST_INSTALL_PACKAGES - может устанавливать другие приложения

SYSTEM_ALERT_WINDOW - может показывать окна поверх других приложений

RECEIVE_BOOT_COMPLETED - автозапуск при старте системы

DISABLE_KEYGUARD - отключение блокировки экрана

USE_FULL_SCREEN_INTENT - полноэкранные уведомления

Доступ к личным данным:

READ_CONTACTS, WRITE_CONTACTS - полный доступ к контактам

ACCESS_FINE_LOCATION - точная геолокация. Постоянное отслеживание точного местоположения пользователя в реальном времени.

CAMERA - доступ к камере

RECORD_AUDIO - запись аудио

READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE - доступ к файловой системе

READ_MEDIA_IMAGES, READ_MEDIA_VIDEO - доступ к медиафайлам

READ_PHONE_NUMBERS - доступ к телефонным номерам

GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS - полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.

USE_FINGERPRINT - доступ к биометрии

Сетевые разрешения:

INTERNET - полный доступ в интернет

ACCESS_WIFI_STATE, ACCESS_NETWORK_STATE - мониторинг сети
Bluetooth разрешения - полный контроль Bluetooth
CHANGE_WIFI_STATE - изменение состояния Wi-Fi. Могут мешать работе сети, перехватывать трафик.

Подозрительные сервисы

Сервис для звонков с доступом к камере и микрофону

cservice android:exported="false" android:foregroundServiceType="mediaProjaction" android:name=“ru * ok.tamtam.android.calls.MediaProjection$ervice’V> <service android:enabled="false" android:exported="false" android:name="androidx.camera.core.impl.MetadataHolderService”>

Сервис медиа-проекции (может записывать экран)

service android:exported="false" android: foregroundServiceType="camera|mediaPlayback|mediaProjection|microphone"
android:name="one.me.calls.impl.service.CallServiceImpl

Опасные компоненты

LinkInterceptorActivity с возможностью перехвата deeplinks:

android:exported="true" (Критическая уязвимость). Эта активность может быть запущена извне другим приложением на устройстве или даже из браузера по специальной ссылке.

android:excludeFromRecents="true" (Тактика скрытности). После того как пользователь завершит работу с этой активностью, она не появится в списке последних приложений (который вызывается кнопкой "Недавние").

CallNotifierFixActivity с возможностью показа на экране блокировки

Трекинг и аналитика

com.google.android.gms.permission.AD_ID - доступ к рекламному ID. Нужен для создания уникального профиля пользователя для таргетированной рекламы и трекинга между разными приложениями.

Отключено резервное копирование (allowBackup="false"). Обычные приложения разрешают бэкап, чтобы пользователь мог восстановить данные. Вредоносное приложение отключает эту функцию, чтобы усложнить исследование своего поведения и извлечение украденных данных при помощи инструментов анализа.

Включен нативный код (extractNativeLibs="false"). Указывает системе не распаковывать нативные библиотеки (.so файлы) из APK. Это может использоваться для затруднения статического анализа кода антивирусами и исследователями, так как часть логики спрятана в скомпилированных бинарниках.

Дополнительные опасные функции

DOWNLOAD_WITHOUT_NOTIFICATION - скрытые загрузки. Позволяет скачивать файлы без уведомления пользователя.
FOREGROUND_SERVICE_DATA_SYNC - фоновая синхронизация данных. Позволяет запустить foreground-сервис для "синхронизации данных". Это механизм для длительной фоновой работы под видом полезной деятельности, чтобы постоянно собирать данные.

Автозапуск: Receiver для автозапуска при включении устройства. Ресивер BootCompletedReceiver с тремя разными действиями (BOOT_COMPLETED, QUICKBOOT_POWERON) это гарантирует, что запуск выполниться автоматически при любой возможности сразу после включения телефона, даже до его разблокировки.

Проведенный технический анализ мессенджера выявил тревожный дисбаланс между заявленным функционалом и запрашиваемым уровнем доступа к устройству и данным пользователя.

Докажи что Макс не шпион!!!

Если у тебя мощный смарт но уже старый, то НАХ не пожелает ставится сказав что ведроед\ойОС слишком мелкой версии.
Ну и технически это "тамтам" прост опереименованый и чутка измененный.
(и зачем мне НАХ если уже был этот тамтам?)

Всё что нужно знать о мегачатике пытающемся охватить всё население.

пользовательское соглашение откройте и почитайте что скам может передавать без вашего нато разрешения не важно дали вы их или нет... читайте п 9.2 там четко написано будите делать незаконыые делишки или им покажется ваши действия не законными то все стуканется куда надо... а так да он за тобой не следит :) Так что аФтас статьи видимо тот товариСЧ майор который за нами не следит :)... Да телега тоже типа может удалять и блокировать что то не законное но вроде как она не стучит при этом куда надо...

Чем вас госуслуги не устроили, на кой черт отдельный месенджер для этого?

1. всего лишь кастрированный функционал самого приложения, поэтому и меньше запросов. он просто дохрена чего не умеет.
2.
- у вас доносы были?
- нет, пока еще не было.
- будут. ставь.
3. пока нет, но много чего не было, а потом появилось.. то 60, потом 65. да и на работе начали требовать.
4. соблюдение законодательства задача граждан, а не мессенджеров, которые просто инструменты, СОБСТВЕННОСТЬ, а не личности с задачами.
перечисленные приложения до сих пор кривые и убогие по функционалу рассадники рекламы.
простой пример: сохраняя файл в ВК приложение сохраняет его в одно неизменное место, которое невозможно поменять. неужели это настолько сложная функция - изменить место загрузки по-умолчанию? а ее нет за все годы существования мобильного приложения.

Ставить не собираюсь, но есть 3 вопроса:
1. На кой хрен куча говна в одном флаконе? Мне мессенджер нужен ТОЛЬКО для общения.
2. Почему его можно установить на комп только с Win 10 и не ниже? Почему на смарте должен быть Android 10 и не ниже?
3. Друзья или родственники живут за границей. Почему я не имею возможность связаться с ними через МАХ? Какого хрена он привязан только к номерам РФ?
Пусть подавятся своим ХАМом!

Спасибо за рекламу, но - нет. Или пока нет, пока у нас есть доступ к мировому интернету. А когда уже народу заблокируют доступ к мировому интернету, останется только "Чебурнет" (и всё это естественно под предлогом "безопасности" граждан) - вот тогда нам всем придётся пользоваться этим "МАХ".

Ну ок. Но мне он не нужен.

Хороший или плохой MAX вообще пофиг. Плохо что в угоду чьим-то интересам портят то чем пользуюсь я

Спасибо, товарищ майор! Теперь-то точно всё понятно и прозрачно!

Ладно ОК, допустим это все мифы и МАХ белый и пушистый, пукает радугой и сладкой ватой, какого хрена тогда ограничивать другие мессенджеры и тем самым давать преимущество этому? Ну выпустили на рынок, так пусть в честной борьбе доказывает свое преимущество, а не подсаживают принудительно работников бюджетной сферы и не расхваливают из каждого федерального чайника.
Против МАХ ничего не имею, да и скрывать мне нечего, но всё же если он такой крутой, так пусть сам отвоёвывает рынок и завоёвывает пользователей, а то наоборот как антиреклама уже.

"развеивание факта 1" очень уверенное. из серии, ночью в подворотне у тебя бородачи просят "тел позвонить" и "эй ти щто не верищь? ща я тебе его отдам"

Я не понимаю, только ЗАЧЕМ????!!!!
Уже навязали через школу ребенка ВК Мессенджер и Сферум.
Для общения с китайцами поставщиками нужен ВиЧат
Чтобы поддерживать общение со старыми знакомцами и родственниками уж десяток лет везде Вацап. А был когда-то ещё Вайбер.
Для рабочей переписки - Битрикс
Для чата дачного общества и новостных лент - Телега.

Ну нахрена ещё Макс нужен? ВК и Сферум - говно получились? Я не понимаю, просто

Я себе поставил МАХ , типа пускай будет на всякий случай и может быть я по нему и общался , но из всех моих контактов , его поставили человек десять . Так что общаться особо не с кем