Forwarded from Малкин про TMA и MAX
И еще один пост, посвященный MAX - который мы назвали “11 багов MAX-a” (хотя их, на самом деле, больше)
➿ ➿ ➿ ➿ ➿ ➿ ➿ ➿ ➿ ➿ ➿
⚡️ Потратили время и изучили MAX на безопасность и “забагованность”.
(Спасибо ребятам из моего чата в MAX)
Делюсь результатами⬇️
1. Подозрительная активность:
🟣 Возможность захвата экрана (FOREGROUND_SERVICE_MEDIA_PROJECTION) без запроса к пользователю вызывает подозрение в нарушении приватности
🟣 Приложение имеет доступ к управлению сетевыми настройками, что нехарактерно для обычного мессенджера и может быть использовано для слежки или обхода пользовательского контроля
🟣 Отмечена автозагрузка с доступом к камере и микрофону — без прозрачного уведомления или регулировки со стороны пользователя
🟣 Max проверяет устройство на root-права, собирает данные о других приложениях и процессах, а также удерживает устройство в активном состоянии (wake lock), что не характерно для мессенджеров
🟣 Количество трекеров превышает 100, что значительно выше среднего и может указывать на агрессивную политику сбора данных
2. Архитектурная "лоскутность":
🟣 MAX построен на основе мессенджера "ТамТам" (разработка Mail.ru Group), что делает его сборной солянкой с унаследованными старыми багами
🟣 Разработчики не полностью скрыли чувствительные файлы, аналогичные .env, что открывает потенциальную дыру в защите ключей и токенов
3. Уязвимости в мессенджере MAX:
🟣 Обнаружены серьёзные дыры в безопасности, включая доступ к системным функциям устройства через jar-файлы, что не типично для мессенджеров
🟣 Исходный APK легко извлекается и модифицируется, а многие файлы разработчика лежат "в открытом доступе"
Итог⬇️
Кажется, что команду разработки гнали к принятию закона по классическому методу “говна и палок и лучше без палок”.
Основной вопрос: а что будет дальше? Если возьмут под козырек и начнут делать как обычно, лишь бы отчитаться наверх о проделанной работе, то можем столкнуться с массовой утечкой данных, после подключения Госуслуг. И это подтвердит тезис, что в текущем раскладе государство не особо способно нормально в ИТ. Тогда, в итоге, мы получим попытку заглушить конкурентов и безальтернативно дырявый государственный проект.
#malkinprotma #Telegram #malkinpromax
(Спасибо ребятам из моего чата в MAX)
Делюсь результатами
1. Подозрительная активность:
2. Архитектурная "лоскутность":
3. Уязвимости в мессенджере MAX:
Итог
Кажется, что команду разработки гнали к принятию закона по классическому методу “говна и палок и лучше без палок”.
Основной вопрос: а что будет дальше? Если возьмут под козырек и начнут делать как обычно, лишь бы отчитаться наверх о проделанной работе, то можем столкнуться с массовой утечкой данных, после подключения Госуслуг. И это подтвердит тезис, что в текущем раскладе государство не особо способно нормально в ИТ. Тогда, в итоге, мы получим попытку заглушить конкурентов и безальтернативно дырявый государственный проект.
#malkinprotma #Telegram #malkinpromax
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡2❤1