Что представляет собой агрессивно навязываемый властью мессенджер MAX

По сети гуляет статья в разных пересказах касательно того, что мессенджер Max чуть ли не ФСБшный honeypot, который ломает телефоны, на который устанавливается.
С одной стороны меня подмывает расписать, почему авторы таких статей - мудаки на уровне Влажных Историй последних месяцев.
С другой - набегут такие же как авторы этих статей мудаки рассказывать, как я отмазываю государство...
Проблема мессенджера Max не в кодовой базе (это обычная ВКшная помойка со всеми наследованными костылями и высадкой батарейки из-за трекинга бесполезной информации), а в том, что его будут насильно насаживать, пытаясь устранять конкуренцию с помощью РКН и иже с ними.
Мессенджер MAX от VK, позиционируемый как национальный российский мессенджер, столкнулся с рядом обвинений в наличии уязвимостей и проблем с безопасностью.
Основные претензии, выявленные на основе анализа веб-источников и постов на платформе X, включают следующие:
Отсутствие или недостаточная реализация сквозного шифрования: MAX не использует сквозное шифрование (end-to-end encryption), что делает переписку уязвимой для перехвата.
Это критично, так как современные мессенджеры, такие как WhatsApp и Signal, используют этот стандарт для защиты данных пользователей.
Уязвимость к атакам MITM (Man-in-the-Middle): Анализ показал, что приложение уязвимо к атакам "человек посередине", которые позволяют перехватывать переписку и получать доступ к личным данным.
Избыточные разрешения: MAX запрашивает доступ к данным, выходящим за рамки необходимого для работы мессенджера, включая содержимое буфера обмена, список установленных приложений и управление сетевыми настройками. Это вызывает подозрения в нарушении приватности.
Сбор и передача данных: Приложение собирает метаданные, информацию о запущенных процессах, контактах, фотографиях и других приложениях на устройстве, передавая их на серверы VK, а по некоторым данным — и на зарубежные серверы.
Это противоречит заявленной цели обеспечения цифрового суверенитета.
Использование сторонних библиотек: MAX использует библиотеку uCrop от украинской компании Yalantis и Google Firebase, что вызывает вопросы о соответствии заявленной "национальной" безопасности.
Также отмечается использование устаревших open-source компонентов, которые могут содержать неисправленные уязвимости.
Технические недочёты и баги: Пользователи сообщают о сбоях при авторизации, зависаниях приложения и отсутствии базовых функций, таких как поиск пользователей или каналы.
Также обнаружены уязвимости, связанные с доступом к системным функциям через jar-файлы и недостаточной защитой конфиденциальных файлов (например, аналогов .env).
Фоновый режим и wake lock: MAX удерживает устройство в активном состоянии через wake lock, что нехарактерно для мессенджеров и может указывать на скрытую активность, включая слежку за пользователем.
Подозрения в шпионском поведении:
Некоторые эксперты и пользователи на X утверждают, что поведение MAX схоже с вредоносным ПО, включая несанкционированный доступ к данным, проверку root-прав и загрузку исполняемого кода из неизвестных источников.
Отсутствие лицензий:
У разработчика MAX, ООО "Коммуникационная платформа", отсутствуют лицензии ФСБ и ФСТЭК на работу с криптографическими средствами и средствами защиты информации, что ставит под сомнение безопасность приложения.
Реакция VK:
В ответ на критику VK запустила программу Bug Bounty, предлагая до 5 миллионов рублей за найденные уязвимости в мобильной, веб- и десктопной версиях MAX.
Программа действует на платформах Standoff365, BI.ZONE Bug Bounty и BugBounty.ru, с акцентом на защиту пользовательских данных.
Контекст и критика: MAX позиционируется как аналог WeChat с интеграцией госуслуг, платежей и мини-приложений, но критики считают, что приложение является переработанной версией мессенджера TamTam от Mail.ru, унаследовав его баги и проблемы.
Сомнения вызывает и концепция универсального мессенджера, привязанного к государственным сервисам, что может привести к монополизации и ограничению альтернативных платформ.
Вывод:
Уязвимости и проблемы конфиденциальности MAX вызывают серьёзные вопросы о его безопасности, особенно на фоне заявлений о "национальном мессенджере".
Пользователям рекомендуется проявлять осторожность, а разработчикам — сосредоточиться на устранении уязвимостей, внедрении сквозного шифрования и повышении прозрачности работы приложения.
Если вам нужна дополнительная информация или анализ конкретных аспектов, дайте знать!
Комментарии