Интро
Всем привет!
Первая моя статья про MAX стала очень популярной — более 220 тыс. просмотров, более 300 комментариев. Многие ссылались на неё в своих обзорах, а некоторые статьи хотя и не ссылались, были очевидными клонами. Всё это подтверждает, что тема «Национального мессенджера» интересна и интерес к ней пока не угасает.
В первой статье я пообещал вторую статью — про то, какие запросы и куда шлёт мобильное приложение MAX. Я конечно сильно затянул с её выпуском и многие из вас писали мне сообщения в формате «Когда уже???...», но на то были причины и честно, я бы её не выпускал совсем, чтобы вас не разочаровывать, но раз обещал....
Давайте разберёмся в причинах моего разочарования. Но сначала опять вводные, чтобы убрать у вас сомнения в моей непредвзятости:
Вводные:
Я вообще не имею никакого отношения к компаниям, создающим и развивающим мессенджер MAX;
Эта статья не является рекламой. Я вас ни к чему не призываю, не побуждаю и т. п. Эта статья — результат моего личного любопытства и попытка ответить на вопросы, на которые я не смог получить ответы в других источниках;
Ранее, до этого эксперимента, я MAX не устанавливал и не использовал;
Весь эксперимент я провожу на своём личном основном Android‑смартфоне которым пользуюсь постоянно на протяжении последних 2 лет — Samsung S22 Ultra, с Android 15 и One UI 7.0. MAX установил из RuStore 19 августа 2025 года. Версия MAX на тот момент 25.8.1 от 13 августа 2025 г. Текущая версия 25.11.0;
Я не являюсь экспертом по Android, не сильно хорошо знаю его архитектуру и не разбираюсь глубоко в принципах работы его стека безопасности, сетевого стека и т. п.
Инструмент для анализа
Проводить наблюдения я решил с помощью программы AdGuard, которая работает как proxy и пропускает через себя весь трафик устройства, блокируя рекламу и запросы к различным трекерам и т. п. Удобно то, что потом в приложении можно наглядно смотреть статистику по конкретному приложению — куда и когда оно стучалось и какие запросы шли. Версия AdGuard, которую я использую — это последняя версия 4.11.63 (за время наблюдений вышло одно обновление с версии 4.10.65.). Сразу скажу, что я в приложении выставил максимальные настройки блокировки и даже установил предлагаемый HTTPS-сертификат, чтобы иметь возможность фильтровать зашифрованный трафик.
Проводил я исследование этапами. Придумал их специально, чтобы покрыть наибольшее количество кейсов.
Результаты
Первые 24 часа — установил приложение и не запускал его
Да, именно с такого кейса я решил начать. Что будет, если просто скачать приложение и его не запускать? Поначалу всё было пусто. После перезагрузки телефона появились первые сетевые запросы. Один запрос к Google Firebase, второй — какой-то внутренний запрос.
Размер запросов говорит о том, что ничего большого (ни мои контакты, ни мои фото и т. п.) «слито» в этом кейсе не было. Спустя 24 часа, после установки приложения, ничего нового не появилось.
Вторые сутки — Запустил приложение, но не прошёл регистрацию
Пришло время запустить, но это мало на что повлияло:
Надо отдельно отметить, что я опять честно ждал 24 часа. Ждал и надеялся, что приложение начнёт какую-то сетевую активность, но нет, ничего не происходило.
Третьи сутки — Прошёл регистрацию, но не пользовался основной функциональностью (чаты и звонки)
Регистрация увеличила трафик. Я дал приложению доступ к контактам, доступ к камере и микрофону, но опять же, ничего подозрительного я не увидел. Более того, ни одного трекера AdGuard у MAX также не обнаружил.
С этого момента я стал ждать и надеяться хоть на какую-то аномалию, хоть что-то, что как-то бы выделилось из общей унылой картины. Но нет, ничего...
Более 30 дней после установки и использования приложения
Я совершил все виды звонков, писал в чаты, подключил Сферум и всё, что я добился — на скрине выше. Я поэтому и не выпускал эту статью долго, потому что скучно. Для сравнения, вот пример того, что постоянно делает WhatsApp:
Согласитесь, куда более подозрительно выглядит его сетевая активность.
Итого
Я не увидел ничего аномального в сетевом трафике MAX, хотя, как и многие из вас, я ожидал чего-то необычного. Вот так выглядит мой ТОП приложений по запросам за 30 дней:
Даже телега интереснее для анализа, да что телега — даже МЭШ подозрительнее, чем MAX по сетевым запросам. В общем — поэтому я разочарован, не такого я ожидал. Но как говорится, факты есть факты.
Поставьте мне лайк хотя бы за старание и напишите комменты — а что вы думаете по этому поводу? Ну и приходите ко мне в телеграм!
Комментарии (0)
anonymous
21.09.2025 19:41
Rezzet
21.09.2025 19:41Шифрование работает следующим образом, есть данные, и есть ключ, если они хранятся вместе это защита от тех кто осуществляет транспортную функцию, но не защита от тех кто хранит историю и ключ. Проверяется следующим образом, берете чистое устройство на котором нет телеграм(любого другого мессенджера) и устанавливаете, входите в свой аккаунт, если он подтягивает с сервера всю историю - значит на сервере есть и ключ и история, и ваше шифрование никак не защищает вас от владельцев сервера.
А вот если вам говорят "импортируйте свой ключ или истории у вас не будет" - это именно то что нужно, так работают некоторые Jabber клиенты. Но это накладывает на вас необходимость "носить" свой ключ самому между устройствами. Ну или прощай синхронизация переписки и история при переустановке программы.
inkelyad
21.09.2025 19:41значит на сервере есть и ключ и история
Не обязательно. Тот пароль, который вводился при входе в учетку - может быть этим ключом или его частью.
Вот если можно 'восстановить пароль', не вводя ничего другого паролеобразного и получить всю историю - тогда да, на сервере данных для расшифровки достаточно.Rezzet
21.09.2025 19:41Может, но тогда при смене пароля вы снова теряете историю, наверно такие мессенджеры существуют, но те что популярны работают не так. Так что если хотите нормального шифрования это Jabber или Matrix клиенты, а еще желательно свой сервер, но вы же понимаете что массово этим пользоваться не будут, после "ой а где моя история, ой а что такое ключ, ой а я его потерял" люди просто выключат этот мессенджер и включат тот который работает "сразу" как надо без дополнительных телодвижения.
inkelyad
21.09.2025 19:41У некой Apple восстановление так и работает, как я понимаю, кроме случаев, когда пользователь уж совсем сознательно защиту ослабляет.
Потерял атрибуты доступа - данные в учетке и на устройстве больше не увидишь, хотя доступ, может, и восстановишь.
Миллионы людей, тем не менее, пользуются.Хотя, надо признать, они очень старательно делают (прежде всего тем, что дают инициативу несколькими устройствами одновременно пользоваться), чтобы эти самые атрибуты потерять было сложно.
Galkihtuw
21.09.2025 19:41Да, "пупупу" может прилететь в любой момент. С очередным тихим обновлением или просто по команде с сервера, и вы даже не заметите, как ваше безобидное приложение начнет делать что-то еще
Kenya-West
21.09.2025 19:41Есть ли вариант приведения более подробных данных о запросах (тип, тело, ответ, тело ответа), желательно с полным дампом, используя настоящий сниффер, а не казуальные приложения?
Spyman
21.09.2025 19:41Это может быть от "нетривиально" в случае если приложение использует системное хранилище сертификатов (с рутом можно подменить), до "нужно много часов пердолинга" - в случае если приложение использует свой сертификат а его проверку хотя бы на уровне сверки хешей делает из кода. А max-у разумно было бы как раз не полагаться на хранилище ключей по понятным причинам.
Короче при указанных автором вводных - кажется что пустая трата времени. Если бы он трафик в холостую мегабайтами гонял - было бы интересно что там, а так - 99% что ничего интересного.
mixsture
21.09.2025 19:41Думаю, что хоть как-то жизнеспособным является подход матрикс. Где клиент отделен от сети с четко описанным протоколом взаимодействия.
Клиент при этом можно краааайне редко обновлять. Тогда в нем можно порыться, провести аудит и ровно этой версией пользоваться.
А вот подход, когда мессенджер может сам себя обновлять, когда обновления выходят часто, а предыдущие версии быстро устаревают и на них невозможно продолжать, даже при открытых исходниках - он весь основывается исключительно на доверии разработчику, с чем внутри РФ всегда будут неразрешимые проблемы.
vikarti
21.09.2025 19:41И...было бы сильно проще если бы его делали как официальный госмессенджер, для общения в первую очередь с госорганами и окологоc структурами (и без рекламы методом "в телеграме мошенники внезапно нашлись поэтому там звонки сломаем", да - начнутся разговоры что реклама про влифте это была инициатива пр менеджера а телеграм - совпадение но... даже если это реально так - никто ж не поверит в это). Причем имеющего юридическую силу общения (с возможность любой из сторон - участников прямо запросить распечатку заверенную ЭП официально и личные данные сторон(тоже заверенные)). Логин тогда конечно не по телефону а сразу через госуслуги. А остальное - как дополнение. еще лучше - опенсорсный (чего скрывать то - секреты на сервере все).
mixsture
21.09.2025 19:41Да, но это вы скорее электронный документооборот делаете с поддержкой чатов, чем мессенджер. И там еще придется накинуть специфичных для ЭДО функций вроде невозможности отказаться от авторства (т.е. никакого удаления и редактирования уже написанных).
mesvobodnye
21.09.2025 19:41Для всех подозрительных (кому есть что скрывать) есть методы дедушки Ленина, называемые конспирация. Для гиков может и интересно поковыряться в коде, остальным - плевать. Расскажите моей тёще или маме про сертификаты, шифрование, каналы связи или сервера - увидите непонимание в глазах и встречный вопрос - "Фоточки-то я могу отправить?"
edo1h
21.09.2025 19:41ну девушки как раз бывают неприятно удивлены тем, что фоточки оказались доступны не только тем, кому они были изначально отправлены
randomsimplenumber
21.09.2025 19:41Сомневаюсь, что в утечках фоточек как то замешано шифрование и сессионные ключи.
edo1h
21.09.2025 19:41вы про то, что фотографии распространяют те, кому они были отправлены? зачастую да, но бывает п��-разному
i360u
21.09.2025 19:41А какая разница, что и куда он отправляет сейчас, если это поведение может измениться в любой момент, после очередного обновления или просто по любому скрытому триггеру? Все понимают, КЕМ и ЗАЧЕМ этот мессенджер был создан, и, мне кажется, этого достаточно. Мне кажется, единственный надежный способ обезопасить себя от возможных проблем, если таковые вам кажутся реально возможными, это - авиасейлз.
pfr46
21.09.2025 19:41Вот и я думаю, что первыми версиями, возможно, бдительность усыпляют.
Kwisatz
21.09.2025 19:41мне интересно другое, какую цель преследует автор статьи. Манера изложения в стиле "не ну все с ним классно" довольно очевидна
Syrex
21.09.2025 19:41ну какую цель преследовали авторы массово форсящие нейросетевой разбор с гитхаба, где на основании разрешений (ничем не примечательных в целом для мессенджера) и наличия в составе абсолютно легального и встроенного во все продукты ВК трекера MyTracker собирающего для разработчиков данные об использовании приложения делаются далекоидущие выводы, что это жуткое шпионское приложение, которое собирает данные о любой активности на устройстве, пишет экран, сливает местоположение и т.д.? к ним почему-то подобных вопросов не возникало)
причем, на хабре в силу более высокого технического уровня аудитории, я ещё вижу какую-то осторожную критику таких "разборов", а на менее технических ресурсах типа пикабу или vc все поголовно уверены, что Мах ставить можно только на отдельный смартфон специально под него купленный. а любая осторожная критика таких разборов жестко минусится и критикующих сразу объявляется ботом, который защищает Мах за 15 рублей. то есть менее технически грамотные люди в эту херню реально верят.
Kwisatz
21.09.2025 19:41поголовно уверены
и в чем они не правы? Хоть один указаный риск является не валидным? Нет, все абсолютно правдивы. Ваша зищита основана на "ничем не хуже други", на что уже объяснили и разжевали, что другие не находятся от вас в непосредественной близости. По тому да, бот защищающий за 15 рублей, ибо люди желают выслушать возражения по сути а не "да у всех так четакова, не ссыло ниче с вами не будет, а если что будете причитать "произошла чудовищная ошибка"
И самое классное, нигде вообще ни в одной статье типо вашей нет плашки "но все эти исследовании чушь, потому что сервера вот они, рядышком". А потом добавить что кроме прямых интересантов есть еще тот факт, что сейчас за очень небольшую денежку по человеку такииииих данных можно найти через сливы вообще любых баз, что шпионы лет назад локти бы куснули себе от зависти.
Syrex
21.09.2025 19:41и в чем они не правы? Хоть один указаный риск является не валидным?
во всем. бремя доказательства лежит на том, кто что-то утверждает. нельзя нагенерировать многостраничный "разбор" от нейронки, в котором просто анализируются разрешения и из них делается вывод, что приложение представляет собой "мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности", а когда тебе говорят, что такой вывод делать некорректно, говорить "а ты докажи, что оно не следит". доказывать нужно, что следит, и пока ни у кого поймать его на слежке не вышло, все доказательства строятся на предположениях, что прописанные в манифесте разрешения можно как-то использовать. да, можно, а можно и по другому.
я не являюсь андроид-разработчиком, но даже я знаю, что андроид не позволяет приложениям бесконтрольно пользоваться разрешениями в фоновом режиме. он просто прибьет приложение в фоне если у него не включено неограниченное использование батареи.
По тому да, бот защищающий за 15 рублей
где мои 15 рублей? если бы мне платили 15 рублей каждый раз, когда я говорю, что этот нейроразбор разрешений и выводы сделанные из него чушь, то я бы наверно уже новый комп на эти деньги купить смог)
ибо люди желают выслушать возражения по сути
чтобы были возражения по сути, нужно предъявить претензии по сути. а тут одно только "мессенджер просит разрешение на местоположение, значит он собирает данные о всех ваших перемещениях" и подобное. это же бред. андроид не позволит это сделать, да и разрешение на местоположение можно не давать. да и при каждом запросе он бы выдавал запрос, а он не выдает. и так по каждой претензии о разрешениях)
И самое классное, нигде вообще ни в одной статье типо вашей нет плашки "но все эти исследовании чушь, потому что сервера вот они, рядышком"
так исследования на тему "следит ли за тобой клиентское приложение", ибо изначально тезис был именно такой, типа "макс сливает все данные о местоположении, все твои файлы, слушает микрофон и все это заливает на сервера ФСБ/СБУ/кого-то ещё". и это чушь, эта статья тому отличное подтверждение.
а так да, согласен, безопасность общения максе равна безопасности общению в ВК, одноклассниках или любом другом отечественном мессенджере. ну, то есть, покупку травки там лучше не обсуждать, органы имеют туда прямой доступ.
Kwisatz
21.09.2025 19:41приложение
Причем тут приложение и авторы статей анализа? Я про комментаторов говорю которые ясно и четко доносят риски
доказывать нужно, что следит,
Вовсе нет, любой государственный сервис должен доказывать что он бел и пушист, и все равно ему веры быть не должно.
макс сливает все данные
и как это превратилось в "приложение сливает"?
Весь ваш текст подмена моих тезисов на свои, не делайте такSyrex
21.09.2025 19:41Причем тут приложение и авторы статей анализа? Я про комментаторов говорю которые ясно и четко доносят риски
а я про авторов статей, которые просто перепечатывали анализ с гитхаба. ясно и четко доносить риски, что там все доступно к прочтению товарищу майору - это одно, это я только поддерживаю. а придумывать, что это приложение не мессенджер, а шпионское ПО, которое сольет все, до чего дотянется, - это другое, тут пруфы нужны, а не предположения.
Вовсе нет, любой государственный сервис должен доказывать что он бел и пушист, и все равно ему веры быть не должно.
с таким отношением вообще не имеет смысла что-то доказывать) будь он хоть опенсорсным, полностью открытым и распределенным как сеть тор, один хрен нашлись бы люди, которые утверждали бы, что он где-то там шпионит, ведь у него создатель ВК, а госконтора априори ничего хорошего сделать не может.
и как это превратилось в "приложение сливает"?
похоже мы о разных вещах говорим. я говорю о куче статей основанных на одном и том же нейросетевом "разборе" макса https://github.com/KARENKING112/max-deep-analysis-of-the-messenger в котором утверждается, что, прямая цитата, "Приложение "Макс", несмотря на отсутствие явных низкоуровневых эксплойтов, представляет собой мощный инструмент для глубокого и постоянного сбора данных о пользователе и его активности. ". и вывод этот делается из наличия разрешений и встроенного трекера собирающего данные об использовании приложения для разработчиков.
Весь ваш текст подмена моих тезисов на свои, не делайте так
где я и что подменял?
Kwisatz
21.09.2025 19:41с таким отношением вообще не имеет смысла что-то доказывать
А только так, политика zero tolerance
прямая цитата
И в чем эта цитата не верна? Является? да, бесспорно. Делает? пока нет. Будет? Скорее всего да
безопасность общения максе равна безопасности общению в ВК
именно, но через ВК мало кто общается в наше время а те кто общается регулярно "ой". А в контексте замены тг/ws на макс, считаю что паники даже мало, должно быть больше. Наомню, что отсутствие судимости это не заслуга личности, а недоработка органов
Syrex
21.09.2025 19:41Является? да, бесспорно. Делает? пока нет.
нет. и нет. приложение является инструментом для сбора данных только если у него есть функционал сбора данных. то есть, оно может этого не делать прям щас, но при определенных условиях сделать. пока не найден бэкдор позволяющий это сделать или пока приложение не поймано на этом, оно это не делает. с таким же успехом можно заявить, что калькулятор windows является ПО для слежки. да, мы не нашли в нем подобного кода и не поймали когда он это делал, но в теории ведь может?
именно, но через ВК мало кто общается в наше время
да не так уж и мало, у меня есть знакомые, которые только там мне и пишут)
А в контексте замены тг/ws на макс
зачем что-то менять? макс - это чисто корпоративный мессенджер для госорганизаций. чатик класса сделать, рабочий чатик в какой-нибудь бюджетной организации. общаться там на повседневные темы совершенно необязательно.
Uporoty
21.09.2025 19:41зачем что-то менять?
ну как минимум потому что функционал (аудио/видеозвонки) тг/ws активно блокируется роскомнадзором, и видимо это только начало.
Syrex
21.09.2025 19:41переносить из-за этого личные переписки в макс - довольно странная идея. это как из-за "замедления" ютуба переходить на рутуб вместо того, чтобы настроить впн.
K0styan
21.09.2025 19:41Я вот на этих выходных был в регионе, где в половине города мобильный интернет порезан от души. Даже индикатор приёма в статус баре (те самые "палки") - с восклицательным знаком.
Никакие ВПН-ы просто не соединяются. А вот сервисы ВК и Яндекса - работают. До смешного причём: в Яндекс Мессенджере (его накатил и себе, и попутчикам чисто из принципа "не ВК") тоже висит предупреждение "Нет соединения", но сообщения сами по себе ходят.
Выглядит как белые списки, причём те эндпойнты, куда сервисы стучатся за проверкой коннекта, в них не попали.
Syrex
21.09.2025 19:41у меня у коллеги в городе уже год почти не работает мобильный интернет. так вот, vless с маскировкой SNI под ВК работает :) то есть фильтрации по IP там похоже нет, только по SNI
Uporoty
21.09.2025 19:41Зависит от оператора и от региона. Во многих регионах у Мегафона и МТС только по SNI, а у Билайна полноценная блокировка по CIDR.
Скорее всего через некоторое время гайки закрутят и блокировки по диапазонам IP будут уже у всех операторов.
KiddingBanana
21.09.2025 19:41Интересно, у меня есть несколько знакомых, которые просто держат обычный wireguard на самых дешевых рандомных впс - все работает без нареканий. Даже амнезию ставить не пришлось. Почему такое может быть? Протоколы блокируют по разному в разных регионах?
iowanker
21.09.2025 19:41Если анализировать разрешения, то телега или ватсап ещё более страшные следилдо, ведь они на сборе данных и продаже рекламы как бы зарабатывают основной свой бюджет)))
Kwisatz
21.09.2025 19:41Да ради бога, могу им даже фотки в голов виде прислать. Пока они от меня далеко могут собирать что угодно как угодно и так далее
Uporoty
21.09.2025 19:41будь он хоть опенсорсным, полностью открытым и распределенным как сеть тор, один хрен нашлись бы люди, которые утверждали бы, что он где-то там шпионит, ведь у него создатель ВК, а госконтора априори ничего хорошего сделать не может.
И правильно будут утверждать. Это называется "репутация". Которая и у компании-разработчика мессенджера, и у тех, кто его проталкивает всеми силами административным ресурсом - прямо скажем, так себе.
iowanker
21.09.2025 19:41Говорить о репутации, учитывая что аналогичная репутация мордакниги в плане продажи пд, рекламы, манипулярования данными, доступом к пд пользователей де-факто уничтожена уже?
Uporoty
21.09.2025 19:41А еще у них негров линчуют.
Мордокнига к этой дискуссии не относится вообще никаким боком. Я нигде здесь не советовал использовать ее сервисы. Вы притянули ее чтобы устроить вотэбаутизм, что есть откровенно детсадовский прием.
Вторая ваша манипуляция в том, что вы ставите в один ряд вещи совершенно разного порядка. Для обычного не замышляющего ничего плохого россиянина, живущего в РФ и никуда особо не ездящего, худшее что может быть в случае пользования сервисами мордокниги - это то что его личные данные и всякая аналитика утекут рекламщикам и ему будут подсовывать всякую таргетированную хрень, а в случае пользования "отечественными продуктами" есть вполне неиллюзорная вероятность тупо сесть за ничего или получить еще каких-нибудь очень серьезных проблем. Это совершенно несопоставимые вещи.
Uporoty
21.09.2025 19:41доказывать нужно, что следит
эм, нет, в вопросах кибербезопасности и вытекающей из нее личной безопасности так не работает. это желающие насильно впихнуть то или иное решение и пересадить всех на него должны доказать, что оно не следит. До тех пор, пока это не сделано, предложенное решение считается заведомо небезопасным.
rombell
21.09.2025 19:41Доказать отсутствие чего-либо, как правило, невозможно или близко к тому. Именно поэтому чайник Рассела всё ещё на орбите.
Uporoty
21.09.2025 19:41Доказать отсутствие чего-либо, как правило, невозможно или близко к тому.
Ну почему же.
Открытый исходный код клиента с reproduceable builds и открытый исходный код сервера с возможность поднять self-hosted решение - это уже хороший такой первый шаг к доказательству отсутствия слития данных налево. А аудит кода сделать найдется много желающих.
Либо открытый исходный код клиента с reproduceable builds и E2E-шифрование из коробки - в таком случае серверу сливать будет особо нечего.
rombell
21.09.2025 19:41Мы сейчас про массовый продукт или про кастомное решение? Кастомное решение я сходу и предложил. Но массовый продукт подразумевает общий сервер, иначе, как jabber, всё утонет в море появляющихся-и-исчезающих серверов. А сервер никак не проверить надёжно.
Из моих знакомых максимум 1 на 100 смогут заморочиться отдельным сервером.
Uporoty
21.09.2025 19:41Либо открытый исходный код клиента с reproduceable builds и E2E-шифрование из коробки - в таком случае серверу сливать будет особо нечего.
rombell
21.09.2025 19:41Прекрасно! Вот только это предполагает
понимание, что такое "исходный код клиента с reproduceable builds";
-
умение этот самый код найти и собрать -
либо доверить кому-то, кто это сделает, и мы возвращаемся к проблеме доверия;
и, кстати, доверие тем, кто этот код проверил - для большинства это просто какие-то незнакомые слова в интернете;
наконец, главное, готовность государства на эту активность закрыть глаза; как только таким станет пользоваться более, чем три гика, государство придёт и пресечёт - либо баном, либо посадкой активистов. Любое достаточно государство с наличием бюджета на криминал/терроризм, начиная с ОАЭ и в перспективе даже Монако, наверняка.
Kwisatz
21.09.2025 19:41Все верно, вот потому пользоваться инструментами у которых ЦОД как можно дальше от тебя - чудная идея.
А еще лучше end-to-end шифрование
RTFM13
21.09.2025 19:41Важен контекст. Если поменять чайник рассела на автомобиль тесла, то аргумент заиграет новыми красками.
Чайник рассела это пример непроверяемого необоснованного утверждения. А тут и оснований вагон и проверять на себе нет никакого желания.
Wesha
21.09.2025 19:41Если поменять чайник рассела на автомобиль тесла, то аргумент заиграет новыми красками.
А что, с Маска сталось бы запихнуть в бардачок маленький фарфоровый чайник — он тролль ещё тот...
K0styan
21.09.2025 19:41Сильно подозреваю, что это провернули раньше. Вряд ли до Шаттлов. Но на них, и уж тем более на МКС, возможность и провезти, и закинуть куда-нибудь в сторонку - была.
entze
21.09.2025 19:41Получается, что усилиями клоунов-адвокатов-ламптестеров вообще сбит фокус с безопасности сервиса в принципе для широких масс (в том числе и для других майоров) на "я посмотрел в глазок в двери - за мной в приложении никто не следит". Теперь доверия к любым доказательствам безопасности нет и небезопасное оно априори.
Вопросы безопасности для широких масс это не столько про "следит/не следит". Это и угон аккаунтов, и перехват сессий с целью получения кодов 2FA. А если и "следит", то кто? Обиженный сотрудник VK? Капитан за лейтенантом?
RTFM13
21.09.2025 19:41"макс сливает все данные о местоположении, все твои файлы, слушает микрофон и все это заливает на сервера ФСБ/СБУ/кого-то ещё". и это чушь, эта статья тому отличное подтверждение.
Пятнадцатирублёвая подмена. Не сливает, а может сливать.
YMA
21.09.2025 19:41Uporoty
21.09.2025 19:41Опять же, вопрос репутации.
Вполне разумно, что при попытке трудоустройстве в школу серийного педофила-рецидивиста будут подозревать в нехороших замыслах гораздо сильнее, чем добропорядочного учителя с идеальной биографией.
YMA
21.09.2025 19:41Обсуждение идет уровня пикабушечки, а не технического форума, которым когда-то являлся хабр... да, уже не торт...
Как-то так Приложения Госуслуг или налоговой так не обвиняли в кражах данных, борьбе со свободами и перекраске котов в зеленый цвет. Просто стоит признаться себе, что весь этот накат на приложение из-за того, что его навязывает государство административными методами. Никто еще не привёл пруфов того, что приложение делает что-то несвойственное для мессенджера, но куча участников уже набросила на вентилятор "а вот оно могёт!!!"
Мне лично пофиг на макс, телегу, ватсап и вайбер - я вообще за email+gpg ;) , но вот такая пропагандистская активность на ресурсе, где главным аргументом должны быть чёткие технические факты, это фуууу...
Syrex
21.09.2025 19:41Не сливает, а может сливать.
не может. чтобы приложение на андроиде могло сливать постоянно данные в фоновом режиме, ему придется вручную разрешить безлимитное использование батареи и использование разрешений в любом режиме (что нельзя сделать через обычное окошко разрешений, только через настройки). а при желании у него можно вообще отобрать любые разрешения и оно никуда обращаться не сможет.
marperia
21.09.2025 19:41у меня вот на моём самсунге a30s со стоковым андроидом при закрытом (!) озоне и отозванных отовсюду (!!!!!!!!!) разрешениях на микрофон после диалога о антибликовых стёклах стали появляться в рекомендациях именно эти стёкла. а я их не просто не заказывал, они просто в видеозаписи на ютубе моментом засветились
факта два. первый: мой телефон меня слушает 24/7 нон стоп вообще и пересылает хер пойми куда хер пойми что, возможно вообще всем и вообще всё
и второй: никоим образом я ничего не докажу, а если и докажу — не знаю, как такое не то, что устранить, а даже повторно задетектить, ну или там как в прошивке поковыряться, чтобы всё оттуда вычистить, хотя бы для экономии батареиSyrex
21.09.2025 19:41так это гугл наверняка информацию для рекламы сливает, а не приложение озон. у него есть доступ и к смартфону, и к истории на ютубе. я также замечал, что у меня в яндекс.директе появлялась реклама чего-то когда на телефоне вообще ни одного приложения яндекса не было установлено)
RTFM13
21.09.2025 19:41Когда меня достало, что я не мог сходить поссать, чтобы не получить по приходу рекламу писуаров, я устроил на смартфоне Большую Чистку. Удалил всё китайское что смог, всё российское, а у остального поотзывал права по макимуму и снял все рекламные галочки которые нашел. И с тех пор вот уже почти пять лет - ни одного случая. Т.е. гугл может и слушает и отсылает, но очень старательно делает вид, что не слушает и не отсылает. И расход батарейки снизился в разы при одном и том же сценарии использования
YRevich
21.09.2025 19:41чтобы были возражения по сути, нужно предъявить претензии по сути.
Ну типа: https://www.instagram.com/p/DOJTmQlDezs/
Справедливости ради, больше таких кейсов не встречал, так что на достоверности не настаиваю.
ktim8168
21.09.2025 19:41Мне кажется те кто пользуются телегой или ватсапом, но при этом показательно критикующих MAX (будто он чем-то принципиально отличается от вышеназванных), только потому что его продвигает сам темнейший, а не Пашка Дуров (наш слоняра!), ведут себя лицемерно. Вы так не думаете?
Uporoty
21.09.2025 19:41ну какую цель преследовали авторы массово форсящие нейросетевой разбор с гитхаба, где на основании разрешений (ничем не примечательных в целом для мессенджера) и наличия в составе абсолютно легального и встроенного во все продукты ВК трекера MyTracker собирающего для разработчиков данные об использовании приложения делаются далекоидущие выводы, что это жуткое шпионское приложение, которое собирает данные о любой активности на устройстве, пишет экран, сливает местоположение и т.д.? к ним почему-то подобных вопросов не возникало)
Так тут все очевидно, следите за руками:
Делаем откровенно халтурную статью ни о чем с громкими заголовками
На хабре и других профильных ресурсах людей ее разбирают и говорят "че за кликбейт, ничего особо не накопали, обычный трекинг и обычные разрешения, автор дурак"
Повторить пункты выше N раз, и у людей в голове отложится "столько раз проверяли и ничего не нашли, значит все нормально". А если вдруг в какой-то момент на самом деле что-то найдут - оно утонет в потоке такого шума и никто не обратит внимания.
Идеальная заказуха, короче, но совсем не с той стороны, с которой может показаться.
Syrex
21.09.2025 19:41как-то оно пока иначе работает) какие-то одиночные сомневающиеся голоса только на околоайти ресурсах и есть, но обыватели их не читают. зато прочитали этот "разбор", поверили ему и теперь бегают всем рассказывают, что макс собирает все возможные данные и отправляет во все возможные инстанции от ФСБ до СБУ
Kwisatz
21.09.2025 19:41И что они не правильно делают в контексте менеджмента рисков?
Syrex
21.09.2025 19:41верить во всякую чушь, которую не понимаешь, без проверки - рисковано. лучше либо разобраться самому, либо попросить специалиста оценить насколько написанное правда
Kwisatz
21.09.2025 19:41И любой специалист вам скажет что ваши опасения оправданы.
Syrex
21.09.2025 19:41ну я вот вроде специалист (более 10 лет в разработке) и скажу, что написанное в том разборе - чушь. любое приложение собранное не из предварительно проверенных исходников потенциально может иметь незадокументированный функционал, но одно лишь наличие каких-то разрешений в манифесте совершенно не указывает на то, что приложение за тобой будет следить. а конкретных случаев злоупотребления разрешениями за эти пару месяцев так и не нашли, хоть и очень искали. так что, скорее всего никакого сбора лишних данных там нет и не было. но это не значит, что не будет, но когда будет - тогда и поговорим. вообще, это было бы очень тупо выпускать госмессенджер, который бы сходу с первой версии начинал следить. очевидно, что сейчас его будут под лупой изучать все, кому не лень. вот через годик-другой, когда всё уляжется и все привыкнут - тогда да, можно потихоньку что-то попытаться добавить незаметно. опять же, не в том объеме, в котором пишут (это сразу заметно будет). например, к приложению госуслуг уже давно все привыкли и оно у многих установлено. или рустор тот же многие ставят чтобы банковские приложения через него обновлять. какой смысл встраивать слежку в новый мессенджер, который очевидно будут изучать, если есть старые приложения, которые никто под лупой не изучает?
Kwisatz
21.09.2025 19:41а причем тут разбор? Да плевать на разбор.
"В приложении а вести переписку довольно безопасно, в приложении б намного менее безопасно." - верно как бы приложение не было написано и даже если оно во веки веков останется пушистым.
Вы специалист с опытом в 10 лет и сразу же выкидываете из уравнения сервер в клиент-серверной архитектуре?
Syrex
21.09.2025 19:41я не опровергал доступность переписки для спецслужб, это очевидно. вести переписку в максе ровно также безопасно, как и в вк. то есть, надо держать в голове, что отечественный товарищ майор легко получит доступ к этой переписке по первому же запросу. но для рабочих чатов внутри бюджетных организаций и всяких там обращений к госорганом вполне сойдет, там всё и так доступно майору.
я опровергаю только вбросы о том, что помимо основной функции макс ещё и собирает все возможные данные от местоположения до записи с микрофона и камеры или экрана (что якобы доказывается списком разрешений), и типа ставить его надо на отдельный смартфон, на котором больше ничего не стоит. именно этот бред последние пару месяцев продвигают из всех щелей на всевозможных сайтах)
Kwisatz
21.09.2025 19:41Раз не опровергаете, значит чем больше опасений у обывателя - тем лучше. И если специалист будет говорить "да не, все норм" то это может закончится довольно печально в целом рядом сценариев. И на это и похоже и ваше сообщение и сообщения прочих оправдывателей. Если бы вы писали "приложение пока белое и пушистое, но потенциальный ужас кошмар и адЪ могут быть потому и потому" вам бы не то что слова никто не сказал, а поддержали бы.
Syrex
21.09.2025 19:41значит чем больше опасений у обывателя - тем лучше
ложь во благо?) а если обыватель потом изучит вопрос и поймет, что ты ему наврал?
И если специалист будет говорить "да не, все норм" то это может закончится довольно печально в целом рядом сценариев
то же самое можно сказать и про сервисы ВК, и про сервисы Яндекса, и про Госуслуги, и про Rustore, и про приложения российских банков, и про все остальные отечественные приложения с закрытым исходным кодом. но против них почему-то такой информационной войны никто не развязывает. а тут прям вот именно мессенджер Мах - зло во плоти и обязательно при обновлении туда встроят какой-то бэкдор)
Kwisatz
21.09.2025 19:41ложь во благо
То есть вы так хотите посмотреть? Ок, тогда скажите мне пожалуйста, почему в вопросе "сливает ли приложение данные" вы легко говорите "нет", умалчивая, что ваше нет относиться только к клиентской его части.
ты ему наврал
Я вообще не вру, вокруг и без меня лгунов достаточно. А на ты мы с вами не переходили.
то же самое можно сказать
Про ВК и говорят. В остальных приложениях переписка не ведется.
зло во плоти и обязательно при обновлении туда встроят какой-то бэкдор
И опять святая простота, снова забыли про серверную часть, какая прелесть.
Syrex
21.09.2025 19:41То есть вы так хотите посмотреть?
так вы сами же говорите "значит чем больше опасений у обывателя - тем лучше", то есть намеренно предлагаете вводить людей без технических знаний в заблуждение, лишь бы у них было больше опасений.
Ок, тогда скажите мне пожалуйста, почему в вопросе "сливает ли приложение данные" вы легко говорите "нет", умалчивая, что ваше нет относиться только к клиентской его части.
так потому, что вопрос про слежку исключительно про клиентскую часть. серверная часть доступна спецслужбам, этого никто и не скрывает, более того, об этом открыто заявляют, как о преимуществе. вопрос тут в том сливает ли клиентская часть какие-то лишние данные о вас без вашего ведома, а не доступна ли ваша переписка товарищу майору.
А на ты мы с вами не переходили.
в интернете со времен форумов все по умолчанию разговаривают на "ты". но могу и на "вы", мне не сложно. просто как по мне странно обращаться к условно-анонимному Syrex'у на Вы.
Kwisatz
21.09.2025 19:41то вопрос про слежку исключительно про клиентскую часть
Вовсе нет.
все по умолчанию
единицы
Syrex'у на Вы.
А к Пантелеймону уже можно? А Светлогору? А джону? А где грань?
Syrex
21.09.2025 19:41Вовсе нет.
ну а смысл обсуждать серверную часть в государственном мессенджере? всем и так понятно, что спецслужбам все переписки там доступны, думаю даже далеким от айти людям. да и смысл тогда в советах ставить Мах на отдельный телефон? серверная часть от этого не поменяется.
единицы
на анонимных форумах без привязки к личности большинство.
А к Пантелеймону уже можно? А Светлогору? А джону? А где грань?
к кому угодно можно, четкой грани нет. но чаще всего грань проводят по анонимности. то есть если Petya123 и Vasya456 обсуждают в комментах на форуме особенности установки KDE2 на FreeBSD, то общение сразу ведется на "ты". если же это обращение к официальной страничке какой-нибудь знаменитости в соцсети или просто сообщение к человеку, который заведомо на поколение-два старше, то там можно и на "Вы". в общем в "виртуальном" мире где все под анонимными никами общаются на "ты", а если используют интернет как дополнение к реальному миру и в реальном мире бы обратился на "Вы", то на "Вы".
Kwisatz
21.09.2025 19:41всем и так понятно
ничего похожего, см "произошла чудовищная ошибка"
Мах на отдельный телефон
Чтобы знали что штука опасная и к личному ее лучше даже не подносить.
четкой грани нет.
А по моему есть, всегда на "вы", если не оговорено обратное.
Что такое "Вы" я не знаю, какая то форма раболепия? Мы не азиаты, у нас нет этих степеней.
Syrex
21.09.2025 19:41это правила русского языка вообще-то. либо "ты", либо "Вы", а "вы" - это множественное число от "ты"
VVitaly
21.09.2025 19:41:-) История учит, если государство говорит "Колхоз дело добровольное!", значит скоро начнут "раскулачивать" и "ссылать за Урал"....
FatherYan
21.09.2025 19:41Сливать всё абсолютно у всех не обязательно. Конечно это бы значительно упростило и ускорило поиск интересующих товарища майора групп, но совершенно не обязательно. Допустим интересует товарища майора некто @fatheryan. Комменты какие-то не шибко верноподданнические пишет в ответ @pfr46. А посмотрим-ка что у этих двоих в телефончике, благо всего одно кнопочку надо нажать и минуту подождать (контакты и тексты будут сразу, фото и видео чуть дольше). Ага. И заодно у тех с кем упомянутые персонажи переписывались - клик на другую кнопочку.
Wesha
21.09.2025 19:41А посмотрим-ка что у этих двоих в телефончике
Именно поэтому я и пишу не с телефончика. Пускай смотрят сколько угодно :)
Apxuej
21.09.2025 19:41Нет. Если бы я работал в структурах и моя задача была бы на постоянной основе получать информацию о интересующих меня людях, я бы сделал всё, чтобы клиент мессенджера был бы настолько безобиден, насколько это вообще возможно. Не включал бы даже геолокацию по приоритетным целям, ну может быть только в момент ареста. Данные на сервере и так слишком вкусная вещь, чтобы её терять, если население начнёт панически бояться устанавливать мессенджер.
bubn0ff
21.09.2025 19:41Они уже поняли, что облажались с этим Максом. И придумают другой способ контроля за населением — через свой "Г..."-портал, например. Стоит быть бдительными, чтобы наутро не проснуться в "дивном новом" мире тотального контроля.
Ctacfs
21.09.2025 19:41Во-первых не поняли, а во-вторых не облажались. Поняли бы, если бы этот мессенджер сдох. Но им пользуются. А облажались бы, если бы была свободная конкуренция. Но не так давно двум самым массовым мессенджерам сломали звонки и вуаля, люди уже ставят, даже ставят за границей, чтоб звонить родным. У меня родственники некоторые уже поставили. Что мешает завтра добить сообщения? Впны? Будут запрещены рано или поздно, возможно даже раньше сообщений в телеге.
Это не облажались и близко. Это лягушка уже в кастрюле, крышка прикрыта и плита включена на слабый огонь.
aamonster
21.09.2025 19:41Я, честно говоря, больше боюсь не утечек к товарищу майору, а какой-то фатальной дыры на пути к нему, через которую все данные вывалятся непонятно к кому.
shushara4241
21.09.2025 19:41Ну так поведение любого приложения может поменяться в любой момент. По аналогии с человеком - это как судить преступника до того, как он совершил преступление. Опять же мессенджеры вроде телеграма открыто сливают инфу правоохранительным органам. Ну то есть "преступление" уже совершено, причем об этом открыто говорится. Вы уже удалили его со всех устройств?
Все понимают, КЕМ и ЗАЧЕМ этот мессенджер был создан, и, мне кажется, этого достаточно
Я сейчас побуду адвокатом дьявола. Все знают КЕМ и ЗАЧЕМ были сделаны госуслуги. Давайте все перестанем им пользоваться. Все знают КЕМ и ЗАЧЕМ был сделан гугл хром, давайте удалим его. Все знают КЕМ и ЗАЧЕМ делаются фейковые фото якобы круглой земли (sarcasm). Все знают - это не аргумент
Мне кажется, единственный надежный способ обезопасить себя от возможных проблем, если таковые вам кажутся реально возможными, это - авиасейлз
На необитаемый остров. И то придется закопаться глубоко под землю, чтобы со спутника никто не видел чем вы занимаетесь. Все же понимают КЕМ и ЗАЧЕМ спутники сделаны и запущены?
Miller777
21.09.2025 19:41Вряд ли такими титаническими усилиями будут навязывать что-то хорошее.
iowanker
21.09.2025 19:41Ну вот в китае так же изначально распространялся вичат. Сейчас это главное приложение всей страны, и зная, насколько прочно оно в жизнь людей вошло - ничего плохого я в этом не вижу.
Всегда будет категория людей, которая станет отрицать любую инициативу, придумывать теории заговора и убеждать всех вокруг в своей правоте пустыми криками.
mimo-prohodil
21.09.2025 19:41Так можно сказать про абсолютно любой мессенджер с закрытыми исходниками(привет ватсап, вайбер, фейсбук и тд.)
RulenBagdasis
21.09.2025 19:414 августа 1945 года делегация советских пионеров преподнесла послу США Авереллу Гарриману подарок — деревянное изображение Большой печати США. Посол повесил подарок на стене в своём кабинете, не подозревая, что внутри был встроен эндовибратор. Герб в кабинете посла пережил четырех хозяев, пока в 1952 году завербованный ЦРУ офицер ГРУ Петр Попов не предупредил американцев об информационной утечке из посольства. До получения агентурной информации от Попова о подслушивании американцы периодически проверяли кабинет, но ничего подозрительного не находили.
Меня умиляют все вот эти вот посты в стиле "смотрите, Паниковский стоит перед вами уже 15 минут и таки ничего не украл ещё". Почему вы решили, что в будущем ничего не изменится? Главная проблема макса в том, что все сообщения во всех переписках могут и будут читать сотрудники российских спецслужб. Телефон ваш любой опсос �� так прекрасно отслеживает, никакие приложения для этого не нужны. Вторая проблема в том, что на этот мессенджер пытаются замкнуть всё, сделав эдакий аналог WeChat. Почитайте, как здорово тем китайцам, кого в вичате банят. Это, кстати, к вопросу, чем макс станет в будущем и куда всё идёт. Подождите, когда туда пересадят большинство россиян, заблокируют альтернативы и потом повторите эксперимент. Предварительно, для верности, можно устроить с другом шуточную переписку с планами свержения диктатора Океании (но лучше не надо).
serega_sw
21.09.2025 19:41Когда на него всё замкнут, тогда в первую, вторую, третью очередь он будет интересен мошенникам. Это будет самая легкая халява для них. Тогда и будет смысл сделать нормальный реверс инжиниринг. Сами мошенники и будут платить за это деньги.
lexx_v11
21.09.2025 19:41Естественно он про Вас ничего не шлёт. Кому Вы нужны, за Вами шпионить? Вы сначала попадите в федеральный розыск, или хотя бы станьте иноагентом, а потом смотрите. Вот тогда будет интересно. )))
Nurked
21.09.2025 19:41Что вы так прилипли к клиенту?
Он будет самым белым и пушистым в мире. Вы получите его сорцы по ГПЛ и по всем возможным лицензиям. У вас он будет полностью октрыт, и вам даже будут давать делать неофициальные клиенты. Даже плагинов понадают.
Не бойтесь за клиент, с клиентом всё всегда будет хорошо. Клиент - это абослют. Даже Сигнал по-сравнению с МАКсом покажется самым закрытым куском каки.
Задайте себе один вопрос:
А что сервер?
Всё.
На этом вы можете закрывать все разговоры о том, что клиент белый как белая горячка.
vikarti
21.09.2025 19:41Вы получите его сорцы по ГПЛ и по всем возможным лицензиям. У вас он будет полностью октрыт, и вам даже будут давать делать неофициальные клиенты. Даже плагинов понадают.
Вот только даже этого не делают.
Возможно потому что с открытым клиентом - можно например в неофициальных сборках... шифрование полноценное прикрутить (да - будет заметно на беке либо значительный рост трафика из-за стеганографии либо что он шифрованный (чисто по энтропии))
kipar
21.09.2025 19:41Кроме причины с шифрованием можно и другие придумать:
т.к. приложение написано не с нуля а переделано из Там-Тама, наверняка в нем куча заморочек с легаси компонентами и авторскими правами на них. Вангую что если когда-нибудь и будут выкладывать в опенсорс, то только написанную с нуля версию.
т.к. туда собираются интегрировать госуслуги, то открывать код не будут по тем же причинам по которым не открывают код банковских приложений.
смысла нет т.к. популярности это не прибавит - большинству на исходники пофиг, а те кому не пофиг и так понимают что основная проблема в сервере, а не в клиенте.
iowanker
21.09.2025 19:41А ещё можно будет плодить клонов с добавочным функционалом, не отличимых от настоящих, ага.
Kwisatz
21.09.2025 19:41Да вот я о том думаю с первой статьи, какой прок от анализа клиента? У нас кроме прямых интересантов есть еще тот факт, что сейчас за очень небольшую денежку по человеку такииииих данных можно найти через сливы вообще любых баз, что шпионы лет назад локти бы куснули себе от зависти.
RTFM13
21.09.2025 19:41Нет, это глупость.
Во-первых нормальное e2ee легко скрывает содержимое переписки от владельцев сервера кроме самого факта переписки.
Во-вторых очень сильно может меняться содержание пересылаемых на сервер данных.
TwoSpikes
21.09.2025 19:41Это-то понятно, но прикол в том, что могут банить всех, кто шифруется, поэтому прийдётся использовать стеганографию
faiwer
21.09.2025 19:41Во-первых нормальное e2ee
Можно принять закон запрещающий такое e2ee
Анализировать трафик на предмет шифрования
Навещать особо бурных нарушителей и широко оглашать в СМИ их приговоры
Cup_KypaMoB
21.09.2025 19:41С ��дной стороны — я понимаю зачем Макс. С другой — нужна причина, чтобы следить за мной. С третьей стороны — мне не очень приятно, что за мной следят, даже при том, что я полностью законопослушный гражданин и вообще зачем он нужен, если есть старые и устоявшиеся варианты?
CitizenOfDreams
21.09.2025 19:41даже при том, что я полностью законопослушный гражданин
Достаточно подписать очередной закон, и внезапно окажется, что вы уже лет десять не являетесь законопослушным гражданином.
vbifkol
21.09.2025 19:41С другой — нужна причина, чтобы следить за мной.
Эта причина может быть вне Вас. Например, нехватка палок у какого-нибудь лейтенанта для премии, недовыполнение плана по штрафам, разговор в курилке отделения Э типа "а спорим на коньяк, я любому могу двушечку припаять", соцсоревнование по палкам между отделами, подгонка показателей раскрываемости к светлому празднику тезоименинства.
Cup_KypaMoB
21.09.2025 19:41Вот не понимаю эти планы. Я может наивно рассуждаю, но разве не выгоднее, чтобы человек работал и платил налоги нежели его посадят? Если он не на кого ничего лишнего не говорит и даже видео не смотрит, в которых может быть хоть малейший намёк на незаконность.
OstapIbragimovich
21.09.2025 19:41К сожалению социальные отношения не поддаются логике. Какой-то социальной группе выгодно, чтобы вы работали и платили налоги, но им конкретно на вас - наплевать. Другой - чтобы вы не работали (конкуренты). Третьей - посадить кого-то (необязательно вас). Четвертой - интересны лично вы (друзья, родственники), но у этой группы нет власти. Пятой выгодно, чтобы вы сдохли и не к��птили небо (мифическая группа иезуитов-масонов). Удивительно вообще, что человечество как-то выживает.
horray
21.09.2025 19:41— Они будут на четвереньках ползать, а мы на них плевать!
— Зачем?
— Удовольствие получать.
— А какое в этом удовольствие?
— Молодой ещё… (с)
kma21
21.09.2025 19:41Надо ж какие-то стимулы для сотрудников придумывать. Вот есть системный администратор (мы же на айтишном ресурсе пока ещё).
Как понять, всё хорошо работает потому что он хорошо работает или потому, что в целом современные технологии так хороши?Опытные менеджеры собрали аналитику, подумали. И выяснили, что есть такие события как инциденты разного характера. Инциденты по ИБ, инциденты по отказам.
Помимо этого есть всякие заявки от пользователей на устранение возникших проблем.И придумали опытные менеджеры. Что ИТ-инфраструктура работающая бесконечно бесперебойно это утопия. Что и инциденты будут, и заявки от пользователей.
А раз такие события есть, то нет проблем провести ретроспективный анализ количества таких событий и составить некий план выполнения их в будущем. А т.к. труд должен быть трудным, накинуть 10% на эти средние значения.Вот и получается, что системный администратор должен в месяц решать 2 инцидента по ИБ, отрабатывать 30 заявок от пользователей и дважды в месяц проводить плановые работы по обновлению инфраструктуры в ночное время.
А через годы причины возникновения всех этих методик забываются, остаются только обязанности. Вот и приходится нашему системному администратору два раза в месяц подключаться с к своей инфре с иностранных IP, просить пользователей писать заявки о том, что принтер/мышка/клавиатура опять не работает и придумывать несуществующие обновления.
Потому что иначе премии лишат.
Kwisatz
21.09.2025 19:41А через годы причины возникновения всех этих методик забываются,
А не важно забудутся ли они, потому что как правило такие дебильные KPI очень быстро приводят к тому что система начинает обслуживать именно их, в ущерб нормальной работе.
kma21
21.09.2025 19:41По моим наблюдениям, чем крупнее бизнес, тем он менее эффективен. Поэтому в большой компании никто не будет замечать того, что все работают ради выполнения KPI, а не ради достижения интересов компании.
Поэтому ваш тезис хоть и верен, но в крупных компаниях проблемой не является =)Kwisatz
21.09.2025 19:41Пока конкуренты не поджимают - не является. А потом появляется компания где руководители просто не мешают людям работать (кроме всего прочего) и обходит всех как стоячих.
R3B3LL10N
21.09.2025 19:41Госаппарат это не гомогенная структура. В наше время это наиболее наглядно когда одни департаменты своими непродуманными законами вставляют палки в колёса другим департаментам.
И кпи у всех разное. Садить вас будут не по распоряжению лично президента, а потому-что майору нет дела до ваших налогов, но есть дело до раскрываемости.
Paduber
21.09.2025 19:41Правила игры такие, что выгодно шить дела, из-за требования палок и отсутствия рабочей системы наказания. Ты можешь быть идейным, но если коллеги идут по легкому пути, то повышение получат они, а не ты.
А еще государство - это не единая сущность с принципом общей выгоды, а куча разных госорганов, и у каждой свои метрики и цели
Stanislavvv
21.09.2025 19:41Государству в целом и в долгую — выгоднее. В примерах — либо местная инициатива, либо нечто сиюминутное без учёта долговременных последствий, ибо на них наплевали.
Kwisatz
21.09.2025 19:41Я полагаю, что человек еще ниразу не сталкивался с "нет оснований не доверять сотруднику полиции"
vdudouyt
21.09.2025 19:41Например, нехватка палок у какого-нибудь лейтенанта для премии, недовыполнение плана по штрафам, разговор в курилке отделения Э типа "а спорим на коньяк, я любому могу двушечку припаять", соцсоревнование по палкам между отделами, подгонка показателей раскрываемости к светлому празднику тезоименинства.
По-моему это все и без Макса можно.
Leather_bag
21.09.2025 19:41законопослушный гражданин
Это не ваше преимущество, это их недоработка, которую они очень оперативно исправляют
K0styan
21.09.2025 19:41Удобный поиск по перепискам как раз может дать причины, чтобы следить за вами.
Lord_Ahriman
21.09.2025 19:41Будь он хоть трижды секурным и четырежды безопасным, я не собираюсь его использовать, т.к. мне претят методы его продвижения и неприятны его бенефициары.
Его проблема не только и не столько в клиенте (и, к слову, если сейчас он белый и пушистый, это ничего не гарантирует в дальнейшем, т.к. см п. 1)..
Все эти статьи с вольным или невольным демедж-контролем про то, что "Макс безопаснее Вацапп и Телеграм" вызывают смешанные чувства неловкости и горько иронии и, если честно, порядком утомили, т.к. де-факто серьезного исследования со снифферами и прочим я не видел.
vikarti
21.09.2025 19:41вызывают смешанные чувства неловкости и горько иронии
Есть весьма ненулевая вероятность что люди кто шумиху вокруг проблем узнал реально попытались разобраться, ну как знали так и сделали.
То что получились вообщем то ожидаемые результаты и из этого многими будет сделан вывод что вся шумиха - нагнетается совсем не для защиты пользователей а с враждебными целями - плохо но ожидаемо.
А вот где (на мой взгляд) могут быть проблемы :) (и проверить это будет служно):
обновления - там точно не всплывет что-то совсем некрасивое? А у рустора точно нет поддержки отправки целевых обновлений под конкретных пользователей
преднамеренных дыр (через которые можно сделать RCE) в парсерах картинок и текста точно нет? А НЕпреднамеренных? Исходников нет - чем то вроде PVS Studio не проверишь и только фаззить что сложно
доверие к разработчику в сложных ситуациях. Вот вспоминаем историю с Russian Trusted CA. Яндекс подробно описал зачем оно нужно и какая реальная польза юзерам, а также - как эта поддержка технически сделана чтобы работал заявленный функционал а вот MITM - не прошел (там чуть сложнее чем "а мы его считаем полноценным Root CA и доверяем всему что подписано"). Даже патч предложили для других браузеров на Chromium. https://habr.com/ru/companies/yandex/articles/655185/ https://habr.com/ru/companies/yandex/articles/667300/. Комментариев там что это можно обойти - куча, как и ответов почему так не будет. Яндекс хотя бы попытался.
Uporoty
21.09.2025 19:41Все эти статьи с вольным или невольным демедж-контролем про то, что "Макс безопаснее Вацапп и Телеграм" вызывают смешанные чувства неловкости и горько иронии и, если честно, порядком утомили, т.к. де-факто серьезного исследования со снифферами и прочим я не видел.
Именно, все имеющиеся статьи - это очень поверхностный анализ. Больше похоже что вот такие статьи - это как раз заказуха типа "нашлись только вот эти вот разрешения в манифесте и вот такие запросы, типа как у всех, значит ничего необычного, нечего смотреть". Повторить десять раз, и люди действительно начнут думать что "столько раз проверяли и ничего не нашли, значит все нормально"...
Идеальная заказуха, короче.
Galkihtuw
21.09.2025 19:41А даже если и будет исследование со снифферами, которое покажет, что все чисто, это ничего не изменит, потому что следующей версией они могут включить все, что угодно
mordoorg
21.09.2025 19:41В смысле? Как так? А как же личный ФСБ куратор? А как же слив личных файлов? Ведь в максе нет шифрования, и значит его легко взломают и выкрадут все мои фотки счетчиков за 9 месяцев!
Когда комментаторы Хабра успели превратиться в комментаторов Пикабу? Или тут повсеместно сидят обладатели ЦП, продажники паспортов в даркнете и покупатели короткостволов?
Интернет уже как больше десяти лет не safe place для своих мыслей, а цифровой лагерь в каждой стране мира, а все разводят такую панику, как будто впервые такое случилось.
Ваши данные также успешно может слить властям ТГ, ведь давно известно что Дуров сотрудничает с властями стран. Если гос-во захочет, оно до вас дотянется, и им даже не понадобится третьесортный мессенджер для этого, им хватит вашего ПК, смартфона и одного фургона СОБР. Больше удивляет, что поверхностные статьи уровня ChatGPT с разборами MAX набирают множество плюсов, ведь заголовки "MAX шпион" звучат громче подробных и непредвзятых разборов. Welcome to Pikabu 2.0Автору безмерное спасибо за островок здравого смысла
dimosino123
21.09.2025 19:41выражаю солидарность
да и в целом фургона СОБР с паяльником хватает)) (это не всерьёз)
Lord_Ahriman
21.09.2025 19:41Интернет уже как больше десяти лет не safe place для своих мыслей, а цифровой лагерь в каждой стране мира, а все разводят такую панику, как будто впервые такое случилось.
С учетом того, как Макс пропихивают (блокировкой других мессенджеров, буквально выворачиванием рук бюджетникам и т.п.) - да, впервые такое случилось. И именно поэтому я этим поделием пользоваться не буду, будь он хоть трижды чист и безопасен.
Автору безмерное спасибо за островок здравого смысла
А давайте про здравый смысл - расскажите, почему вам так нравится Макс, что вы его адвокатируете?
Когда комментаторы Хабра успели превратиться в комментаторов Пикабу? Или тут повсеместно сидят обладатели ЦП, продажники паспортов в даркнете и покупатели короткостволов?
Какая типичная манипуляция, хоть бы что-то новое придумали, а то в каждом топике про Макс десятки таких однотипных "аргументов"
mordoorg
21.09.2025 19:41Как вы удобно подогнали мой коммент под своё виденье.
1. Я работал в бюджетной сфере, и уже сто раз насмотрелся этих Сферумов вместо Вотсапов, Астралинуксов вместо Виндовсов и МойОфисов вместо МСофисов. У вас такая истерия, т.к. для вас это в новинку и вы не ожидали того, что весь Рунет скатиться под госконтроль?
2. Где я адвокатировал по вашему Макс? Я в первую очередь адвокатирую нормальные статьи с нормальными разборами на Хабре, а не ChatGPTшный шлак со страниц желтых журналов.
affyt
21.09.2025 19:41А давайте про здравый смысл - расскажите, почему вам так нравится Макс
Человек написал фразу, сходную смыслу "неужели тут кто-то решил ответственно подойти к разбору Макса, без гопоты и пристрастий, проверить че получится, все залил по факту, без прикрас и без выражения собственного мнения, оставляя это комментаторам, благодарю"
Также комментаторы:Какая типичная манипуляция, хоть бы что-то новое придумали
Прости, что возьму твою пикчу ниже, но:
xsevenbeta
21.09.2025 19:41А вам безмерное спасибо за островок здравого смысла в комментариях. Читаю и удивляюсь. Либо тут ботов полно, я хз. Хабр уже не тот.
Ботов действительно полно. Одни говорят: вот, смотрите у Макса даже разрешений поменьше чем у телеги будет. Другие: Смотрите, смотрите - Макс только к своим серверам подключается. Третьи аплодируют таким "расследованиям" и восхищаются авторами. Цель "расследований" - застолбить пространство в медиа, чтобы в выдаче на первом месте ссылочки, убеждающие в безопасности были. Ну и сместить фокус на нечто несущественное, чтобы убедить нас в безопасности того, что по сути представляет смертельную опасность для любой категории граждан. Для любой. Поэтому "А нас-то за что?" будет звучать всё чаще.
Люди могут ограничить себя в том, что они пишут на форумах и порталах или в телеграмм каналах. А вот в диалогах и тем более в звонках столько дискредитации, экстремизма можно будет найти, что мало никому не покажется.Lord_Ahriman
21.09.2025 19:41Ботов действительно полно. Одни говорят: вот, смотрите у Макса даже разрешений поменьше чем у телеги будет. Другие: Смотрите, смотрите - Макс только к своим серверам подключается. Третьи аплодируют таким "расследованиям" и восхищаются авторами.
Здесь в комментариях действительно полно аккаунтов, спавших по полгода-год, потом ВНЕЗАПНО проснувшихся в августе 25 и начавших хором с места в карьер рассказывать, что MAX хороший, безопаснее WhatsApp с Телегой, про "истерию хомячков", "вы никому не нужны", "не делайте ничего противозаконного и все будет ок" и прочее. Ни разу не подозрительно, конечно. На месте модераторов и администрации ресурса я бы присмотрелся, но им виднее, разумеется.
Wesha
21.09.2025 19:41На месте модераторов и администрации ресурса я бы присмотрелся, но им
виднеезанесли, разумеется.There, FTFY.
Killan50
21.09.2025 19:41Даже лучше, тут в топиках несколько раз проскальзывали идентичные комментарии в защиту макса и прочего, что сейчас нужно демеджконтролить, т.е не просто схожие по смыслу, а буквально идентичные от разных пользователей.
Смешно и грустно одновременно.
anonymous
21.09.2025 19:41Uporoty
21.09.2025 19:41Ведь в максе нет шифрования, и значит его легко взломают и выкрадут все мои фотки счетчиков за 9 месяцев!
Учитывая стремительно нарастающий градус неадквата, я не удивлюсь, что через какое-то время даже старые фотки счетчиков будут официально считаться экстремизмом по какой-нибудь бредовой причине.
Wesha
21.09.2025 19:41даже старые фотки счетчиков будут официально считаться экстремизмом по какой-нибудь бредовой причине.
«Так вот кто наше липистричество транжирил!»
bonifaciy88
21.09.2025 19:41Согласен, не понимаю чем все всепропальщики занимаются что бы товарищ майор сидел и лично следил за ним, мания величия никак иначе. Вы никому не нужны, а когда понадобитесь терморектальный криптоанализатор расшифрует любые сверхсложные шифрования и взломает суперсложные пароли)))
K0styan
21.09.2025 19:41На колу мочало, начинай сначала...
Незашифрованный массив переписки как раз сильно упрощает предыдущий этап воронки - превращение обывателя Васи из "никому не нужен" (а точнее "про него даже не слышали") в "понадобился". Банальным поиском по ключевым словам.
А какими они будут завтра - хз. Вон, у соседей Винни-Пух внезапно под запрет попал.
affyt
21.09.2025 19:41У соседей Винни-Пух не внезапно и не просто так под запрет попал. Его юзали для завуалированного упоминания Си и сам знаешь в каком ключе:)
Равносильно тому, если бы Путина называли Бункерным каждый вокруг, вот только последнее чето не блокируют и не отслеживают:)))K0styan
21.09.2025 19:41Это и называется "внезапно". Потому что для тех, кто постил скриншоты из соответствующего мультика до зарождения эвфемизма (или даже после, но будучи не в курсе) то, что их контент стал нарушением - действительно сюрприз.
А так в каждой избушке свои игрушки. В какой-то момент и до советских плакатов "Миру - мир" докапывались.
Uporoty
21.09.2025 19:41Не надо подменять понятия. Кроме "именно лично вы понадобились" всегда еще есть "просто под руку случайно попался, когда надо было палку срубить".
Agne
21.09.2025 19:41Когда то во вконтакте можно было свободно писать ,лайкать ,отправлять фоточки. А теперь за неправильные фоточки лет 10 5 назад, сохраненные , запощенные можно отхватить штраф , а то и административку или уголовку. Также и Max, главное подсадить на иглу. Сегодня безобидное сообщение, фоточка, песенка, завтра будет причиной штрафа, а то и срока, или поражения в правах, как длящееся преступление.
А вот телеграм может подобное только по официальному запросу, в иную юрисдикцию. За фоточки и песенки , и теперь поиск, никто такие запросы делать не будет.
Akina
21.09.2025 19:41Я, честно говоря, совсем не понимаю, как можно мониторить приложение, используя другое приложение в том же инстансе операционной системы. К тому же после честного признания, озвученного в пункте 5 списка Вводных. Я бы, если и взялся за подобное мероприятие, то как минимум отключил бы мобильный трафик, зацепился за свой WiFi, и мониторил сетевую активность смартфона на маршрутизаторе. А данные, полученные на самом смартфоне, использовал как дополнительные для более точной идентификации отдельных коннектов и их корреляции с активностью в приложении.
Chumikov Автор
21.09.2025 19:41Так сделайте статью. Я обязательно прочитаю и дам вам потом пару советов )
Akina
21.09.2025 19:41Увы.
Во-первых, пункт 5 из ваших вводных относится и ко мне - в полный рост.
Во-вторых, у меня, как это не странно, нет особого предубеждения против мониторинга моей активности. Объяснять, почему так - и долго, и бессмысленно, но если коротко, то это борьба с ветряными мельницами, ну или сродни осуждению силы тяжести.
А главное - я не потяну статью. Хорошо не получится, плохо не стану. Так что извините за то, что не оправдаю ожиданий. То, что я вижу минусы, вовсе не означает что я могу их исправить или избежать. А мнение - так оно мнение и есть. Забейте.
PS. Да, MAX у меня на текущий момент не установлен. По весьма прозаической причине - просто пока что его функционал мне не нужен либо обеспечивается иными уже имеющимися программными средствами.
glebliutsko
21.09.2025 19:41Честно говоря, вся эта истерия с MAX полная чушь. Я уверен (доказать конечно не могу), что более чем у половины возмущающихся слежкой установлен какой-нибудь ВК, приложения Яндекса (Карта, Такси, Музыка), п��иложение Сбера, Тинькоффа, Госуслуги с RuStore в конце концов. RuStore вон вообще решили предустанавливать. Но то, что следить могут через них никого не волнует почему-то.
Мне кажется смысл Макс был не в слежке, а в тупом распиле бабла. Особенно учитывая, что mail.ru (который теперь ВК) терпит убытки. Взяли грант у государства на пару миллиардов рублей, навайбкодили приложение, а что бы этим г хоть кто-то пользовался решили устроить себе монополию.
ru1z
21.09.2025 19:41что бы этим г хоть кто-то пользовался решили устроить себе монополию
Одно не отменяет другое, вероятно. Возможно, люди рассматривают это как предвестник "доступа в Интернет по паспорту", и, учитывая связь махинаторского приложения с государственными и другими службами, вопросы качества, по-видимому, вызывают у них озабоченность. Тем более, что всех школьников и пожилых людей по сути обязывают резко устанавливать это махинаторство, то вопросы безопасности из-за утечки данных в заинтересованные руки также вызывают озабоченность. В конечном итоге, раз махинаторство государственное, то никто не отвечает за проблемы и воровство, вот и волнение. К банкам бывает примерно похожее отношение, что покупаешь что-нибудь крупное и начинаются звонки с "предложениями". А в случае махинаторского приложения - тем более.
K0styan
21.09.2025 19:41смысл Макс был не в слежке, а в тупом распиле бабла
Не перестану напоминать: заинтересованных лиц много, мотивации у всех разные. Кому-то просто свербит от того, что в публичных ТГ-каналах пишут всякое, и быстро заткнуть не получается. Кто-то хочет читать все переписки не вставая с кресла. Кто-то хочет заработать напрямую на импортозамещении. Кто-то раздосадован тем, что трафик даже голосовой в мессенджеры перетёк.
В целом для вот этого вышеперечисленного даже не нужно супершпионское приложение делать, просто работоспособного мессенджера хватит.
max1960
21.09.2025 19:41Разница в том, что через перечисленные вами приложения (ну, кроме ВК) сложно наговорить товарищу на очередную статью о дискредитации очередных особенно уважаемых групп населения, а вот через Скам это никаких проблем не составляет.
dimosino123
21.09.2025 19:41Я дико извиняюсь, возможно, напридумывал себе много всего) Но...)
человек, занимающийся пентестом, понимающий как и что работает, для просмотра запросов использует adGuard? Есть мощное чувство, что теоретически кто то мог "попросить" сделать именно так :с
Множество коментаторов говорят про бек... Да, опять таки, сервак проинспектировать анрил, клиент де факто не использует p2p, поэтому концептуально разговаривать о клиентской заглушке - мало смысла
Что остаётся делать? Разворачивать свои сервера Matrix XDD
Имхо, бабушка пускай ставит себе на телефон, тут разглогольствовать долго не нужно. Ей по барабану на шифрование или его отсутсвие, абсолютно всё равно будет ли это телеграмм или макс, что происходит на сервере, есть ли триггеры, или даже общается она через обычную сетку или по низкочастотному диапазону радиосигнала через всратый передатчик без опенсорса. Ей главное что бы соседке можно было позвонить и поболтать про сад часа 2-3)никаких притензий или нытья нет, если так кажется - извините
статьёй доволенChumikov Автор
21.09.2025 19:41Я никому не запрещаю сделать обзор с wireshark. Много кто советует, а вот делать что-то никто не хочет. И я не увидел каких-то аргументов по AdGuard. Что с ним не так?
dimosino123
21.09.2025 19:41извините меня, написал с горяча
я не говорил что статья плохая)
ну концептуально, для нагнетания саспенса аудитории, было бы интересно посмотреть головы/тело/ответы))
я прекрасно понимаю, что смысла в этом 0
ну, AdGuard концептуально показывает только использованный трафик и на какой ресурс долбятся пакеты
я не прошу/ил делать разбор всех пакетов, чуть выше написал, что это лишь мемная история про "макс следит за вами, не устанавливайте его")))
я же сам пишу про то, что мнительные люди пускай ставят себе какой нибудь matrix или что то подобноеChumikov Автор
21.09.2025 19:41Да я не обижаюсь) я ж наоборот, я в первой статье своей написал, что сам начал писать про MAX, потому что мне не хватает объективных технических статей про него.
Я хочу, чтобы кто-то продолжил мою работу и посмотрел под другим углом. То, что показывает AdGuard я показал..
vvsstriker
21.09.2025 19:41Это что, первая грамотная статья? У меня что день рождения? Теперь хочется посмотреть на нытиков, что они теперь будут про MAX говорить
Lord_Ahriman
21.09.2025 19:41Скажите, а вы через полгода неактивности разморозились и начали исключительно в топиках про MAX и исключительно позитив о нем писать от чистой и большой любви к нему? Нет, я верю, верю, конечно, разве могут быть сомненья... Поведайте, пожалуйста, чем он вам так люб и дорог, что вы аж с днем рождения собственным сравниваете?
vvsstriker
21.09.2025 19:41Все просто. Я "разморозился", потому что появилась тема, в которой куча некомпетентных людей ссылаются на статьи с полной умственной дисфункцией, где обозревают манифест макса, и говорят "ну вот это разрешение позволяет делать то-то, а это уязвимость, и вообще всю вашу биографию вплоть до прадеда украдут",а по факту гуглишь эти разрешения, и ничего такого не находишь. Мне не нравится, когда какой-то продукт хейтят необоснованно. И вот наконец-то появилась первая статья, которая предлагает хоть какой-то объективный подход. Ну или, разумеется, я бот. Очевидно же). А максом я не пользуюсь, и пока не планирую. А пишу коменты больше исходя из справедливости, чем из желания защищать продукт
Lord_Ahriman
21.09.2025 19:41куча некомпетентных людей ссылаются на статьи с полной умственной дисфункцией, где обозревают манифест макса, и говорят "ну вот это разрешение позволяет делать то-то, а это уязвимость, и вообще всю вашу биографию вплоть до прадеда украдут",а по факту гуглишь эти разрешения, и ничего такого не находишь
Ну то есть специалистом вы не являетесь и в теме не разбираетесь (раз вам пермишены гуглить приходится), но мнение имеете и при этом однозначно навешиваете ярлык "умственной дисфункции"? А, если являетесь, почему бы вам самому не написать статью с исследованием?
Мне не нравится, когда какой-то продукт хейтят необоснованно <...> А максом я не пользуюсь, и пока не планирую. А пишу коменты больше исходя из справедливости, чем из желания защищать продукт
Хм, очень странное обоснование. Если вы не пользуетесь, никак его не касаетесь и вообще "мимо крокодили", почему же вы так рьяно защищаете именно это поделие (и только его)? Не могли бы вы пояснить, что в данном случае вы понимаете под справедливостью?
vvsstriker
21.09.2025 19:411) А нужно быть специалистом, чтобы, видя 2+2=5, сказать что это ересь и 2+2=4?
2) Специалистом по андроид разработке не являюсь, а если бы и являлся, то статью не написал бы, потому что за потраченное время мне никто не заплатит, а энтузиазма переубеждать толпу, у которой нет критического мышления, у меня нет.
3) Очевидно, что я защищаю именно его так как именно он и вызвал шумиху, как в свое время цифровой рубль.
4) Под справедливостью в данном случае я понимаю защиту чего-либо, что подвергается необоснованной критике. Если вдруг выяснится, что макс действительно собирают перс данные и отправляет на Лубянку, то очевидно я не буду защищать. Но люди же начали говорить об этом не имея никаких хотя бы косвенных фактов.
Uporoty
21.09.2025 19:41Под справедливостью в данном случае я понимаю защиту чего-либо, что подвергается необоснованной критике. Если вдруг выяснится, что макс действительно собирают перс данные и отправляет на Лубянку, то очевидно я не буду защищать. Но люди же начали говорить об этом не имея никаких хотя бы косвенных фактов.
И правильно начали. Это называется "репутация". Которая и у компании-разработчика мессенджера, и у тех, кто его проталкивает всеми силами административным ресурсом - прямо скажем, так себе.
С учетом этой репутации, эти желающие насильно впихнуть то или иное решение и пересадить всех на него сначала должны доказать, что их решение не следит и не представляет опасности. До тех пор, пока это не сделано, предложенное решение считается заведомо небезопасным.
mordoorg
21.09.2025 19:41Вам в прикол бегать под каждый заминусованный коммент в этой статье, писать свою очередную истерию про слежку в МАХ и обвинять несогласных в том, что они боты?
Дружище, вы сами подходите под свои же критерии бота. Вы тоже с начала августа не писали комменты, а тут вдруг начали. Но я вас не обвиняю, есть такая вещь, называется - мнение. И у вас оно свое, правильное, а у других его нет, ведь они боты.
Ну и как я понял, вы в теме заядлый специалист, раз уж вываливаете свое экспертное мнение (коего уже на статью собралось) на остальных. Почему сами тогда статью не напишете?
Esh65
21.09.2025 19:41Странный обзор, если не пользоваться приложением, то ему и отправлять нечего или вы думаете, что это чисто шпионское приложение, но тогда оно должно быть способно на большее. Начните общаться по нему больше чем по телеграмм и тогда можете сравнивать активность, хотя для меня отрицательным моментом является отсутствие сквозного шифрования и это говорит о том, что вашу переписку смогут легко прочитать и т.д. В ином случае для прочтения нужен будет доступ к вашему телефону и программа позволяющая восстановить сообщения.
Chumikov Автор
21.09.2025 19:41Ну были статьи, где писали, что стоит п просто установить MAX, как всё содержимое телефона сразу утечет. Имхо, это ложь, я это проверил. А пользовался я им достаточно активно больше месяца и даже написал почему - тут не понимаю претензии...
rsmike
21.09.2025 19:41Ну были статьи, где писали, что стоит п просто установить MAX, как всё содержимое телефона сразу утечет.
Это же не соломенное чучело, правда? Не затруднит ли приложить ссылку на хабрастатью с подобным утверждением?Chumikov Автор
21.09.2025 19:41На хабре не видел и не искал, но вот из тех https://www.tbank.ru/invest/social/profile/FantasTicheskieTvari/b9bdc26a-56d3-4c41-bc0a-bc3459c3445e/?author=profile
rsmike
21.09.2025 19:41Даже в этой, совершенно никчемной "статье" на развлекательном ресурсе за авторством абсолютно хер пойми кого, ничего подобного не написано.
Ну были статьи, где писали, что стоит п просто установить MAX, как всё содержимое телефона сразу утечет.
Имхо, это ложь, я это проверил (с)
Chumikov Автор
21.09.2025 19:41Вы погуглите и поищите в телеграмме. Вот пример: https://t.me/cybers/27931 Это канал с 2 млн. подписчиков. Тогда в августе эту новость разносили очень массово.
rsmike
21.09.2025 19:41Вот пример
пример чего, простите? Фразы "стоит п просто установить MAX, как всё содержимое телефона сразу утечет" или ее аналогов там всё ещё нет. Я правильно понял по вашим сбивчивым ответам, что эта статья написана, чтобы "проверить" "утверждение", которого никто никогда не делал, а поводом стала новость в развлекательных школопабликах
Екатеринбургский аналитик на фоне появления новых мессенджеров в целях безопасности советует завести для новинок отдельный телефон
Большое дело, поздравляю! Ответ в стиле "хз че там внутри, но отсылаемый пакет маловат, значит мессенджер безопасен" получился максимально подходящим по уровню. С площадкой промахнулись, но это мелочи
zartarn
21.09.2025 19:41Я примерно именно такие формулировки и слышал от людей не в IT, т.е. вот всё что тогда выливалось активно, для них упростилось примерно до вот такого. А собралось оно из "имеет доступ ко всему", "мощный инструмент для глубокого и постоянно сбора данных", "ведёт себя как шпионское ПО" и т.п. формулировок. Ну и про "сливает" - было например в кликбейтных заголовках.
Ну или«Сбор максимума информации» (Иван) — зачем ЦРУ, если есть MAX? Ваши фото, геолокация и размер носков уже летят в Калифорнию (или Чили)! «Спасибо» за доверие, Maiiru Group (она же VK)!
отсюда t.me/matery_planety_statiy/3042 (ну это то что мне скидывали как аргумент что макс шпионит хД)
Было еще, но площадки похоже удалили самый треш. К сожалению по слову max тяжко искать в чатах
А разгонять тему в принципе начали еще в конце июня +/- вот с этого t.me/skamshot/23014 мне особенно нравится посыл что оно будет через библиотеку для просмотра фото сливать информацию за границу, потому что там в топе контрибьютеры украинцы (которые правда 100500 лет не котрибьютят ничего). И ведь люди это репостят, для них это непонятный набор слов, но это аргумент.
Как мне кажется, тут не так важны точные формулировки того, что из всех щелей лилось, как то какое впечатление оно оставило у пользователей. И одного критического мышления у людей тут мало, так же и в платформе знания нужны, потому что, как оказалось, даже среди IT далеко не все представляют что за теми или иными разрешениями скрывается (хотя казалось бы глянь документацию, первая же ссылка в гугле, а не транслируй какой то левый паблик/блогера), что уж говорить о не-IT.
Esh65
21.09.2025 19:41Претензии к приложению я написал, к вам особо претензий нет, если не считать то, что уже написано, лично мне непонятно насколько больше вы пользовались Мах, чем телеграмм.
Chumikov Автор
21.09.2025 19:41Существенно меньше конечно. 95 на 5 где-то. В телеге у меня канал и основные новости.
georgiy08
21.09.2025 19:41Более того, ни одного трекера AdGuard у MAX также не обнаружил.
Может не обнаружил, потому что аналитика отправляется в том же запросе, что и функционал приложения? Как можно это подтвердить или опровергнуть, если Adguard (тут в статье) показывает только urlы, куда идут запросы, без тела?
Про WhatsApp и "телегу интереснее анализировать" - на фото у WhatsApp прекрасно виден url "media.****", как автор исследования это не увидел? 90% запросов в мессенджерах это аудио, видео, текст.
Кроме того очень интересно почему Max шлёт запросы на какой-то oneme ru, ВК, Одноклассники, mail ru, сферум и американский google firebase?
Heggi
21.09.2025 19:41google firebase очевидно для получения токена для пуш сообщений. А oneme ru походу как раз бек макса (но это не точно)
Inflame
21.09.2025 19:41А что нам даёт знание адресов, куда подключается приложение, без понимания того, какие данные передаются в этих подключениях? Я ожидал увидеть в статье содержимое запросов, а не только адреса.
Komrus
21.09.2025 19:41И ещё раз повторюсь про Карфаген :)
Основной вопрос по мессенджеру MAX - вовсе не с клиентской стороны и не про разрешения, которые он на клиентском устройстве затребует. И не UDP порты, которые он использует...
Вопрос - с серверной стороны. Данный месенджер полностью российский, зарегистрирован как "организатор распространения информации" и полностью накрывается системами СОРМ, пакетом Яровой и т.п.
Поэтому - совершенно не важно, что умеет клиент. Все данные (строго по нонешнему законодательству!) - на блюдечке с голубой каёмочкой будут предоставлены с сервера "тем, кому положено".
edo1h
21.09.2025 19:41вот, честно говоря, я особой проблемы в этом не вижу.
разумеется, то, что пишу в интернете, так или иначе может стать доступно не только тем, кому адресовалось. это данность.
не представлю что такого я могу написать в максе, чтобы это заинтересовало товарища майора. даже если у меня такое будет, я не буду писать ни в телеге, ни в востапе, ни в вайбере.
konst90
21.09.2025 19:41не представлю что такого я могу написать в максе, чтобы это заинтересовало товарища майора
Мем с лягушонком Пепе, например. Материал от какого-нибудь будущего иноагента (не забываем про длящееся преступление).
zeroc0de
21.09.2025 19:41Статья называется "Какие запросы и куда отправляет MAX?"
Мы увидели КУДА, но не увидели КАКИЕ ЗАПРОСЫ. Кликбейт?
Нет информации о содержимом запросов, только собственное мнение, выставленное как аргумент "Размер запросов говорит о том, что ничего большого (ни мои контакты, ни мои фото и т.п.) "слито" в этом кейсе не было.".
А ведь именно содержимое запросов является куда более важным, чем адрес доставки этих запросов.
Разве нет?entze
21.09.2025 19:41В каком-то из прошлых "обзоров" в комментариях было про SSL/TLS Pinning. Насколько понимаю, снять его не так то просто и это точно не уровень автора.
Лекция для колхозников. Лектор:- Товарищи колхозники. Перед вами череп Александра Македонского,где ему 7 лет. А вот этот череп, где ему 25 лет. И, наконец, череп умершего Александра Македонского. Вопросы есть? Есть:- Скажите, пожалуйста, как может быть у одного человека три черепа?- А вы, простите, кто? - спрашивает лектор.- Дачник.- Вот и идите на __. Лекция для колхозников.
D03ER
21.09.2025 19:41Стиль статьи "Я ничего не понимаю, по этому я непредвзят". Статья манипулятивная, предназначена не для этого ресурса. Очень удобная манипуляция на наивности, но автор перестарался в заверениях свое�� некомпетентности: уж если ты разобрался, как можно траффик подглядеть, про остальное тоже можно было почитать - при написании статьи матчасть нужно изучить хотябы немного, чтобы знать, куда смотреть, а информации море. Предполагаю, что статья нужна для того чтобы потом в соцсетях выкатить новость "На крупном айти портале разгорелся скандал вокруг МАКСа" или "Купленные комментаторы не могут успокоиться поливая макс даже на крупном айти портале", потом ссылка на статью, написанную простым языком и построенную по принципу "Наивного исследователя с честным результатом уничтожают непонятными словами злые дядьки" и срыв покровов в стиле: "Вот видите, как кость в горле у них макс". На предыдущую статью о разрешениях я такие рецензии уже видел, выглядит занятно для неподготовленного читателя. Как говорится - даже если реклама плохая - это всё ещё реклама.
Sazonov
Есть опция ��квозного шифрования? Исходники хотя бы клиента открыты?
Имхо, если хоть на один из этих вопросов ответ «нет», то ничего гарантировать нельзя. И в любой момент по запросу от сервера может быть пупупу.
Kenya-West
E2E в сквозном виде тоже ничего не гарантирует. Держу в курсе.
В конце концов, недоверенный разработчик (в случае с MAX - априори) может слить всё, что происходит до E2E.
AuroraBorealis
Так доверенных разработчиков не существует. кроме вас самих
TachSkim
Себе тоже бы не доверял, мало ли что.
Smerig
ManulVRN
Доверять можно было только Мюллеру, да и то, с его же слов.
DvoiNic
Мужик намыливает джинсы,....
...и бормочет под нос: -Никому нельзя доверять, никому! Даже себе. Продолжает намыливать. -А ведь только пукнуть хотел. ©
Wesha
А ведь говорила мне мама — надевай трусы!
orthoxerox
Конечно, Кен Томпсон ещё в 1984 году говорил, что можно написать компилятор, который будет вставлять бэкдор и в нужную программу, и в самого себя при перекомпиляции, так что в сорцах всё будет хорошо, а бинарник всё равно будет скомпрометированный.
Wesha
Поэтому нужен декомпилятор и ещё один компилятор!
Kenya-West
Да. Всё как в той цитате, "вот
никаких и не читайтеникому и не доверяйте!". Просто кто-то более недоверенный, чем другие.А, в целом, я давно уже за абсолютный Zero Trust во всём.
Ivan22
ну-ну, полный Zero Trust не возможен, не выдумывайте
RTFM13
Ну конечно, между абсолютным доверием и абсолютным недоверием совсем нет промежуточных вариантов.
Chumikov Автор
Max есть в программе bug bounty. Других мессенджеров вроде как нет. Код закрыт у всех. И я не понимаю, как шифрование спасает от пупупу...
VADemon
WhatsApp есть в bug bounty программе материнской компании: bugbounty.****.com
FreeNickname
У Telegram открыт код клиента.
Wesha
А сеееееееервера?
Syrex
а что толку с исходников сервера если он развернут на сервере?) где гарантия, что там развернут именно тот сервер из исходников? а если своё разворачивать - то проще jabber поднять и не париться
FreeNickname
Это Wesha, он опять всех победил, не обращайте внимания.
Wesha
У Вас какое‑то извращённое понимание моей здесь задачи. Она не в том, чтобы кого‑то там «побеждать» — она в том, чтобы вбросить в мыслительный аппарат читателей достаточно возмущений, чтобы возникшая тряска заставила их немножечко задуматься. Думать вообще, знаете ли, для здоровья полезно.
RTFM13
Как на счет немножечко задуматься самому перед тем как призывать других?
Я вам объяснял почему ваш аргумент про сервер несостоятелен, а вы проигнорили.
Wesha
А если б Вы ещё немножечко подумали, то сообразили бы, что сервер с открытыми исхониками можно взять и развернуть на гарантированно доверенной инфраструктуре.
vvzvlad
Да там судя по комментариям такой сервер, что там кластер нужен только чтобы он как-то запустился бы.
Wesha
А вот Matrix, например, предлагает любому желающему запустить свой собственный сервер. (Нежелающие, для которых эта слишкам сложна, могут пользоваться уже существующими.)
vvzvlad
Так, и где толпы желающих использовать защищенный мессенжер со своим сервером?
Sazonov
Я бы не был таким категоричным. Развернуть свой сервер конечно сложнее чем поднять собственный впн. Но не сильно. Оглянитесь назад - лет 6 назад мало кто из пользователей мог поднять собственный впн с обфускацией траффика. А сейчас это может сделать чуть ли не любая домохозяйка, немного владеющая смартфоном.
Первые шаги уже есть, некоторые хостинги уже предлагают установку matrix в пару кликов.
RTFM13
И что?
Доверие серверу бессмысленно без доверия клиенту. При этом клиент первичен. Клиент несет все те же риски что и сервер плюс еще куча своих. Наприме тот же клиент скама может скриншотить и отправлять на сервер переписку в вацапе и телеге.
Wesha
А доверие клиенту бессмысленно без доверия серверу.
Uporoty
Если клиент нормально делает e2e encryption и не сует нос куда не надо, то сервер может даже передаваемый трафик в открытом виде на pastebin.com выкладывать.
Единственное что в этом случае будет незащищенным - сам факт связи A и B, но не содержимое их связи, и не другие данные, которые были на их устройствах.
microtheft
Для гос. мессенджера нормальное шифрование это предлагаемое государственным стандартом, что не пользуется взаимностью у противников Max'а по умолчанию...
Uporoty
Ну разумно сделать возможность выбора из нескольких вариантов, как это позволяют делать Jabber-клиенты, например.
Опять же, если клиент опенсорсный, то и сделать форк с другими видами шифрования желающие тоже найдутся.
VADemon
Много "если": Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service
RTFM13
e2ee? не, не слышал.
FreeNickname
Что бы мы делали без Вас ¯\_(ツ)_/¯
Wesha
«Наверное, заработали бы немножко больше денег!» ©
sharpmaster
Во. Жму руку.
Wesha
А вот это, детектив, правильный вопрос!
GoodWiner
Маtrix, для узкого круга знакомых. Будет поактуальней, со звонками и тд
FreeNickname
А прочитать вееееееткуууууу?
egorodinsky
А сервера открыт у хмпп и матрикса, ну и у параноидального сигнала тоже.
kma21
Да что толку с этого открытого кода. Кто-то регулярно проводит аудит этого кода, делает билды и сверяет контрольные суммы билда из исходников и в маркетах (всех)?
А этому "кто-то" вы конкретно доверяете, чтобы сказать, что его работа достоверна и не является ложью?
Ну открыт код и открыт, можно считать его open source приложением. Круто, чё.
namikiri
Толк открытого кода в том, что на его основе делают форки приложения с добавленной/убранной функциональностью, желаемым дизайном, да даже размером приложения и его производительностью.
kma21
В контексте e2e шифрования это мало помогает. Можно прикрутить отдельно, то возникает вопрос как скоро заблокируют за "нечитаемость сообщения" =)
GDragon
У телеги вообще довольно долго была смешная ситуация.
Открытый код есть, а клиент из этого кода не собирался)))
FreeNickname
Утверждение было: "Код закрыт у всех". А до этого выше дополнительный контекст про "хотя бы клиента". Ответ: "У Telegram открыт код клиента". Я вижу, что у Вас много вопросов, и хороших, но это не ко мне)
ruslan_sverchkov
Толк в том что у вас есть принципиальная возможность это всё сделать, что само по себе делает махинации с вашими данными бессмысленными (один любопытный гик один раз что-то нашел -> продукт скомпрометирован навсегда). Но конечно только при условии что у создателей есть инстинкт самосохранения)
kma21
NPM смотрят на ваш комментарий вопросительно =)
https://www.opennet.ru/opennews/art.shtml?num=63894
https://www.opennet.ru/opennews/art.shtml?num=63845
А если на том же опеннете посмотреть новости по тегу npm, то там регулярно мелькают новости с уязвимостью.
А знаете, почему при всей опенсорсности каждой библиотеки такие большие масштабы атаки? Потому что никто не читает исходники и уж тем более, никто не проводит их анализ.
Я не против опенсорса. Это одно из лучших изобретений человечества. Я лишь пытаюсь донести, что сам по себе опенсорс не делает магии. Люди должны делать всё своими руками. И если нет такого человека, то открытость кода сама по себе не решает проблемы с безопасностью.
ruslan_sverchkov
не вижу никаких противоречий =)
есть разница между ноунейм опенсорсом, который существует силами энтузиаста vasyan123 по модели "мы никому ничего не должны" и корпоративным опенсорсом, который является таковым только потому, что для него жизненно важно доказать свою безопасность. В случае компрометации первого vasyan123 просто пожмет плечами и скажет че вы мне сделаете я в другом городе (и будет прав), в случае компрометации второго будет огромный ущерб (в теории). Это не гарантирует что в ПО нет закладок, но является мощнейшим стимулом для создателей их не делать.
Представьте что история браузера васяна является публично доступной для любого, кто знает как его зовут. Этот факт не запрещает васяну искать гей порно, но если у васяна таки есть моск и какая-то минимальная способность просчитывать последствия, он всё таки постарается найти какие-то другие способы удовлетворить свой интерес. Потому что крошечная вероятность что батя посмотрит историю, помноженная на экзистенциальный масштаб последствий, дает очень даже большую величину риска =)
protenab
Мне нравится когда говорят, что у Telegram открыт код клиента, но опускают одно важное замечание: порой этот самый исходный код не обновляют годами (например, на macOS и с задержками на Android). Так что если хотите пользоваться новыми версиями, то придется забить и доверять и не опираться ни на какие исходные коды :)
IlyaBorisov
1) У Telegram bugbounty программа действует с 2014 года (https://core.telegram.org/bug-bounty)
2) Код клиентских приложения открыт (https://telegram.org/apps#source-code) и доступен на github.
И п.1 и п.2 находятся с помощью любого поисковика за пару минут.
Chumikov Автор
Спасибо, что нашли. Теперь все это будут знать )
thehuze
У телеги вроде можно собрать приложеньку из исходников? Не особо в теме, просто видео где-то у них в доке
D_Dementy
даже на Хабре пролетало. собирали и пилили под свои нужды, добавляя фенечек
vvzvlad
Да этих клиентов только на ios штук пять.
funca
Если вы не доверяете клиенту, то сквозное шифрование ни чем не поможет. Ведь в клиенте сообщения отображаются незашифрованными. Значит при определённых обстоятельствах вся переписка может быть слита клиентом в открытом виде.
Если вы не доверяете разработчику, то и открытые исходники ни чего не гарантируют. Код может быть модифицирован на этапе сборки или пропатчен в рантайме по команде с сервера.
Spyman
Открытые исходники гарантируют многое - можно собрать самому, а патчинг в рантайме можно увидеть (в коде) и как минимум очень сильно заподозрить неладное. (Гугл кстати вообще такое публиковать запрещает по правилам, но зачастую всем поднять).
Сравнить собранную руками и разработчиками версию тоже кстати можно - чтобы определить что они что-то мутят.
Syrex
Строго говоря тут придется всем контактам тоже устанавливать версию собранную из исходников. Ибо версия из плей маркета может сильно от нее отличаться, а компрометации хватит и с одной стороны чата. А телегу, естественно, 99% пользователей ставят из плей маркета, ещё и автоматическое обновление не выключает.
Но да, в теории если себе и собеседнику поставить апкшку собранную лично из исходников, то можно доверять секретным чатам. Только вот в большинстве случаев переписка идёт в облачном чате и клиент у собеседника стоит из маркета, а не из исходников)
rombell
Ну в этом случае можно и что-то совсем кастомное поставить. И попасть на карандаш сразу ко всем.
Syrex
XMPP+PGP хватит с головой для безопасной переписки. зачем для этого использовать сторонние решения ума не приложу)
rombell
Это и есть кастомное. Всё, что не ширпотреб.
Dywar
Ага , ещё Наталья Касперская много лет назад говорила что для безопасников нет разницы между открытым и закрытым кодом. Дыру можно спрятать в 10 строчках кода , попробуй найди. https://youtu.be/pScPkgGGT9Q?t=2744
По мне у людей сформирован плохой образ на Макс , кем то по заказу . Никакие техни��еские доказательства не сработают. Вам просто скажут - тут есть подвох , они точно что то скрывают , и все , не нужны ни какие доказательства. С этим надо ещё и в другом направлении работать, возможно психологам с их трюками. Битва управленцев массами, одним надо чтобы боялись, другим чтобы ставили :)
Lord_Ahriman
Интересно, почему же это? Ведь никаких причин нет, да? Людям же не ломали привычные мессенджеры, педагогов не заставляли отчитываться за установку Макса и перевод на него родителей, бюджетникам не крутят руки, чтобы регистрировались там и т.п.? Вот просто на пустом месте и сразу плохой образ этого божественнейшего, надежнейшего и современнейшего мессенджера, не имеющего аналогов в мире? УжОс какой, явно по заказу недружественных иноагентов и врагов народа!
Dywar
Вот об этом я и говорю :)
Даже если вам предоставят 100% доказательства чистоты клиента Макс, люди станут говорить про сервер, что там ничего не известно. Ок, дайте 100% мониторинг сервера (каким то чудом), они скажут что подвох в чем то еще, в другом.
Надо сделать так чтобы человек поверил что он сам принял решение, что он точно знает где хорошо а где плохо. Whatsapp который слил все данные несколько лет назад (Nov 25, 2022), продает метаданные по сей день, люди ему доверяют. Как им это удалось? :)
Lord_Ahriman
О чем? То, что вы написали, к тому, что написал я, отношения не имеет. Вы правда не понимаете, что изначально людей возмутили не какие-то технические вещи, которых большинство не понимает, а именно "ВНЕЗАПНАЯ деградация WhatsApp и Telegram" и насильное пропихивание MAX? Что люди в принципе не любят, когда у них отбирают что-то привычное и начинают "железною рукою загонять к счастию"? Что отношение к MAX определилось именно этим, а все последующее, про сливы данных и ненадежность и прочее - уже следствие изначально необратимо подорванной репутации, этакий confirmation bias? Ну и хотелось бы все таки про "заказ" послушать.
merkel
Попробую сделать предположение, что причина деградации не то чтобы именно в максе. Телега и вацап не делились трафиком с СОРМ. То что их слушали при нужде - факт, пожалуй, уже общеизвесный. Но слушать, телегу достаточно дорого и можно лишь имея на то серьезные основания (просто так тратить такие ресурсы никто не будет). А не трогали их из-за отсутствия альтернатив. Как только альтернатива появилась - сделали +/- неработоспособным этот какнал связи. При желании абонент, конечно, может обеспечить себе работоспособнойсть, но тут скорее важно то, что абоненту, специально не предпринимающему никаких мер по обходу блокировки голосовых вызовов - входящий звонок не пройдет.
Высказанное предположение не стоит рассматривать как истину, это лишь мои измышления.
uuger
Вот тут хотелось бы увидеть немножко пруфов
sloww
Ничего, что слиты были только номера телефонов и никаких доказательств утечек в принципе других данных найдено не было?
Или вы в ВК работаете балаболом?
Groh
Там, вроде как, надо было принять обновлённое соглашение на слив всего? Кажется, были статьи здесь
Uporoty
И правильно сделают. Это называется "репутация". Которая и у компании-разработчика мессенджера, и у тех, кто его проталкивает всеми силами административным ресурсом - прямо скажем, так себе.
RTFM13
Фарш (в данном случае репутацию) не провернуть назад.
doitagain
на мессенджер макс репутация влияет как шашечки на такси
Groh
Это людям все нашептали враги по фамилии Common и Sense
Maccimo
Я тут полистал ваши комментарии и раньше у вас не было проблем ни с частицей «-то», ни с пробелами перед знаками препинания. Из чего я делаю вывод, что исходный хозяин аккаунта потерял над ним контроль. Ваше звание и место службы?
Lord_Ahriman
Тоже, кстати, заметил, что грамотность и стиль после последнего комментария (в мае) сильно изменились.
ef_end_y
Стиль простой: псевдо взвешивание противоположных аргументов с выводом поддержать тот, который требует партия
max1960
Жалко плюс не могу вам поставить.
Belking
Сделал это за вас, и в карму ему плюс добавил. UPD: да и вам, чего уж мелочиться...
anticyclope
Не можете поставить плюс – поставьте Max
RTFM13
Штирлиц еще не был так близок к провалу.
Wesha
...кроме как когда собирал деньги на его ремонт!
Viacheslav01
У касперской у самой такой такой образ, что видя ее как эксперта, все что идет дальше автоматически считается брехней.
DvoiNic
Недавно ютубчик порекомендовал ее выступление. Я начал слушать, а там....
Эксперт мирового уровня по кибербезопасности, Президент группы компаний "InfoWacth" Наталья Касперская рассказала , почему мы до сих пор не можем массово выпускать собственные компьютеры, оказывается , еще в Советском Союзе было принято решение отказаться от компьютерного суверенитета и осваивать IBM.
Выступление состоялось на научно-практической конференции в рамках XXXI Международных Рождественских образовательных чтений 23-24 января 2023 года в Москве под общей тематикой «Глобальные вызовы современности и духовный выбор человека».
Прошел цикл мероприятий общественной, научно-образовательной и культурной направленности - всероссийские научно-практические конференции, музыкальный и поэтический вечера. Главными организаторами мероприятий выступили Межрегиональная просветительская общественная организация «Объединение православных ученых», Общественный центр по защите традиционных семейных ценностей «Иван Чай», Московский финансово-юридический университет и Российский православный университет св. Иоанна Богослова. К участникам научно-практических конференций с приветственным словом обратились первый проректор Российского православного университета св. Иоанна Богослова, кандидат философских наук, доктор политических наук, профессор А.В. Щипков, сенатор Совета Федерации М.Н.Павлова, депутат Государственной Думы VIII созыва, член Генерального Совета партии «Единая Россия» Р.И. Терюшков, депутат Государственной Думы VIII созыва Я.В. Лантратова, ректор Московского финансово-юридического университета А.Г. Забелин, епископ Можайский, викарий патриарха Московского и всея Руси, наместник Оптиной пустыни Иосиф, протоиерей, председатель МПОО «Объединение православных ученых», доктор теологии, настоятель храма в честь Покрова Пресвятой Богородицы с. Отрадное Г.В. Заридзе, заместитель председателя Комитета по науке и высшему образованию ГД ФС Российской Федерации, доктор экономических наук, профессор Е.В. Харченко, Президент группы компаний «InfoWatch» Н.И.Касперская и другие С докладами на конференциях выступили: епископ Можайский, викарий патриарха Московского и всея Руси, наместник Оптиной пустыни Иосиф, депутат Государственной Думы VIII созыва Р.И. Терюшков, депутат Государственной Думы VIII созыва Лантратова Я.В., председатель МПОО «Объединение православных ученых» Г.В. Заридзе, сенатор Совета Федерации М.Н. Павлова, эксперт Патриаршей комиссии по вопросам семьи, защиты материнства и детства А.Б. Шафран, председатель правления РОО «Общественный центр по защите традиционных семейных ценностей «Иван Чай» Э.Ю. Жгутова, президент группы компаний «InfoWatch» Н.И. Касперская, доктор юридических наук, профессор А.А. Васильев, , руководитель Центра трансграничных правовых исследований Е.В. Сафронова, ведущий научный сотрудник Научно-исследовательского института ФСИН России Г.И. Пещеров, главный редактор РИА «Катюша» А.Б Цыганов, актриса, режиссер, общественный деятель О.А. Будина, профессор, доктор медицинских наук, член-корреспондент Академии военных наук В.А.Шафалинов, профессор Департамента правоведения Международной академии бизнеса и управления Г.П. Шайрян и другие. Особое место на конференциях было уделено вопросам, связанным с глобализацией российского государства, глобальными вызовами современности и духовным выбором России, новыми вызовами цифровой трансформации, политическим экстремизмом в информационном обществе, защитой детей в цифровом пространстве, необходимостью смены парадигмы семейной политики Российской Федерации, ВОЗ как угрозы национальной безопасности и суверенитету страны, ее немедицинских инициатив, правовыми проблемами выхода из Всемирной Организации Здравоохранения. Естественным культурным завершением каждого дня стали поэтический (23.01.2023) и музыкальный (24.01.2023) вечера, прошедшие под единым названием - «Духовным выбор России» - символически подчеркивающим следование важнейших сфер культурного влияния высоким духовно-нравственным приоритетам суверенного российского государства.
Итоги проведенных 23-24 января 2023 мероприятий отразятся в изданных сборниках научно-практических конференций, принятой, в результате широких общественных обсуждений, Резолюции о защите православных духовно-нравственных ценностей, отдельных информационных материалах, статьях, видео и фотоматериалах, размещенных в СМИ и открытых Интернет-источниках.
Wesha
Дыру можно и в одном символе спрятать
MetallDoctor
Кампания против Макса точно идёт. Вот прямо на 97,4% уверен.
Сразу было ощущение, что очень рьяно на него набросились, что о выходе я узнал из статей на пикабу о том, что он плохой. Так раньше вели себя люди со светлыми лицами, которые летом запросили денег потому, что Трамп (ну вы понели). Но было только ощущением, пока не нашёлся ролик, в котором двух буэлохеров ( dslash (https://www.instagram.com/reel/DMsGmwhoz0v/?igsh=Y3gxZnhzMTM3NHVt) и Ashleyvpn (https://www.instagram.com/reel/DMl3_vjIYjc/?igsh=MWs3cHYxeDQ4b3J4NA==) ) смонитровали, они просто безыскустно зачитывали темник так что повторили друг за другом слово-в-слово. Но если те спалились, то те, кто ругал Макс палясь не так явно (да ещё и с самого старта, когда объективно не было вариантов его успеть проверить) -- с очень большой вероятностью отрабатывали тот же грант по тому же темнику, только более изобретательно.
vvzvlad
Да никто не был против макса, ну мессанжер и мессенжер, чуть кринжово, чуть от правильной компании, ну ок.
Но вот когда, блин, начали ломать другие мессенжеры, это треш.
K0styan
Вот-вот. К тому же ВК Мессенджеру вопросов ноль: есть и есть, можно пользоваться, а можно игнорировать.
Тут же игнорировать не получается.
edo1h
почему не получается?
Knightt
так.. отдайте докторскую колбасу и хлеб отдайте (крепко привязываю к стулу).. а теперь откройте рот, сейчас я вас буду кормить "вот этим"... а вы чего вырываетесь? аааа, понятно - это все кампания против меня... а ведь я хороший осенезатор...
// вы же сразу подумали, что я вам бутер с икрой предлагаю
п.с. ну серьезно, у вас своего мнения никогда не было что ли? все только по "указке от кого-то" делаете? любите, ненавидите?
Galkihtuw
Когда тебе ломают работающие мессенджеры и силой навязывают "отечественную альтернативу", трудно сформировать хороший образ
MetallDoctor
Да ладно! Поносить Макс стали минимум за месяц до первых слухов о том, что что-то там будут ограничивать! При чём синхронно, типичная картина заказа, их столько за последние десятилетия было, что не узнать почерк может либо слепой, либо идейный русофоб. Ну или тот, кто в интернетах второй день и прошлых рейдов просто не видел.
Uporoty
Выздоравливайте.
MetallDoctor
Чего и вам желаю.
K0styan
Вот как раз только тот, кто в интернетах второй день, не мог узнать почерк пропихивания буквально сквозь гланды, начиная с первых, июльских ещё реляций о достижении миллион��в пользователей, и непонятных блогеров, рассуждающих о лифтах и парковках (такие же 3 года назад, помнится, про "всего 1%" рассуждали).
Блокировок тогда ещё не было, да, но предугадать их было вообще нетрудно - правда, тогда ожидали, что Вацап с концами закроют с 1 августа.
Весь негатив к в общем-то вполне заурядному пока продукту - просто здоровая имунная реакция на вот это пропихивание.
tellvil
Справедливости ради можно отметить только то, что, в отличии, например, от сферума, этот макс не заставили установить, используя в качестве административного ресурса министерство образования, там да- по команде почти все родители школьников были вынуждены ставить мерзость- дневник.ру и сферум безальтернативные ( а дневник- еще и платный продукт, который собирает данные, которые обязательно потом утекут, авторизаиция через госуслуги обязательная- кому-то же очень надо, чтобы в даркнете можно было пробить не только адреса и паспорта пользователей всяких яндекс доставок, но еще и детей). Прошлый негативный опыт вызвал здоровое отторжение, вместо нытья выгодоприобретателям Макса можно поучиться грамотному пиару и будет им счастье, как одной фруктовой корпорации, что и не так мягко своих клиентов дрессирует.
Lord_Ahriman
ШТА? Именно что Макс, именно что заставили, именно что используя минобр, сначала школы до 1 сентября, а они родителей, ибо Сферум теперь слит с Максом. Многие ВУЗы и колледжи тоже.
tellvil
Значит мне с этим повезло. Сферум заставили поставить, но потом дружно забили (видимо нужен был факт установки, но не использования), а Макс уже не заставляли, осталось обязательным только мерзкое поделие- дневник.ру.
tellvil
Плохой образ Макс сформировали те, кто сделал крайне затруднительными звонки через другие мессенджеры в аккурат при выходе этого Макс. Лично я не доверяю никаким мессенджерам, но пользуюсь ими, как неизбежным злом. Точно также, как не доверяю банкам и страховым компаниям - но есть ситуации, где в силу законов и подзаконных актов без них не обойтись, надо только размыть риски.
MetallDoctor
��тобы не копировать текст:
https://habr.com/ru/articles/939550/comments/#comment_28871500
wl2776
Вы уверены, что в Андроиде такое возможно?
Если да, не могли бы Вы поделиться небольшим фрагментом кода, который это делает? Например, в исходнике написано, что в textView должна быть сумма 2+2 (`textView.text = "${2+2}"`), а в рантайме слагаемые меняются на 3 и 5.
sergeyns
Кодом не поделюсь, но брокерское приложение от газпромбанка умеет обновляться само, и регулярно это делает. При этом странно что банковское приложение от ГПБ так себя не ведет..
wl2776
Так обновление приложения - это не патчинг кода в рантайме.
Автор не зря версии приводит.
То, что какого-то функционала нет, не означает, что он не появится в следующей версии, это очевидно.
max1960
Навскидку как минимум PWA и SDUI позволяют это делать
Tishka17
Открываете WebView, дальше продолжать?
wl2776
Да, пожалуйста.
randomsimplenumber
В приложении размером в 100 Мб можно разместить виртуальную машину с интрепретатором какого нибудь brainfuck. Код, который якобы считает 2+2, на самом деле написан на brainfuck, скачан с сервера и является данными.
wl2776
А что так сложно? Почему не JS, Python или Lua?
Для JS уже есть https://developer.android.com/jetpack/androidx/releases/javascriptengine, однако, она в песочнице работает.
В любом случае, это не патчинг кода в рантайме.
randomsimplenumber
А что же? Код на js может делать много интересного. И его можно скачать.
wl2776
Я чуть выше уже набросал кусочек кода. Продолжите его, пожалуйста, подтвердите свою мысль.
Можете дать ссылку на репозиторий на гитхабе, если продолжение получится слишком длинным.
Этот пропатченный код все равно будет выполняться в песочнице. Если у приложения, которое ее запустило, не было разрешений на чтение файлов, код ничего не прочитает
randomsimplenumber
Ну я могу представить реализацию sin(x) на js. Или еще лучше rand(). И в нужный момент rand начинает возвращать 42, а sin = 4. Если нет исходников - можно много чего спрятать. Можно вектор инициализации rand подшаманить, чтобы случайные числа стали не такими случайными.
wl2776
randomsimplenumber
Виртуальная машина с js возможна? Ей можно передать на исполнение кусок скачанного с интернетов js-кода? Из нее можно вернуть хоть 1 байт результата? Если на все вопросы ответ да - какого еще кода нужно?
wl2776
https://developer.android.com/reference/kotlin/androidx/javascriptengine/JavaScriptSandbox
Что-то там как-то куце совсем.
Если кто-то захочет через это взять без спроса файлы с файловой системы телефона или подключиться к микрофону во время звонка и записать разговор, боюсь, ему придется изрядно попотеть.
Zolg дал ссылку на Frida framework - это гораздо интереснее.
Однако, Макс есть в PlayStore, и я сомневаюсь, что Гугл пропустил бы приложение, в котором есть куски Frida.
Wesha
А разве кто-то утверждал, что это будет просто?
randomsimplenumber
Обходить защиту android сложно, бесспорно. Но кроме записи микрофона есть и другие векторы атаки.
Wesha
Так и задумано — это MVP!
domix32
Чтобы быть sneaky-sneaky как еврей.
tldr. NSO используя хак в легаси системе рендеринга печатного текста скрафтила виртуальную машину, которая беспалевно следит за всей остальной ОС. И ты даже об этом не можешь узнать, ибо всё это срабатывает при получении сообщения, отображение которой перехватывает всё та же виртуалка.
Tishka17
Нет, приложение заранее должно быть написано с расчетом на подмену кода в будущем. Например так
wl2776
А дальше?
https://developer.android.com/reference/android/webkit/WebView
Какие из методов этого объекта могут стырить файл из флеш-памяти телефона или незаметно включить микрофон и записать разговор?
evaluateJavascript? А он разве не в песочнице?
Tishka17
В песочнице, но вы можете расширять доступное ему api, даже если из коробки мало что доступно (а вообще, как-то же приложения на ReactNative работают). Выдавая права к ФС вы автоматом даете права всему прилжению включая все что он там evaluate делает.
wl2776
Следующий вопрос: а что, Гугл со своими security policies на это никак не реагирует?
WebView это же часть Android SDK, его Гугл контролирует, вроде как.
funca
Не лучше-ли спросить про это у гугла? В гугле) Политики не дают приложениям воровать данные друг у дружки, а не у пользователя - чтобы создавались возможности стричь деньги по несколько раз за по сути одно и то же. Пользователь это товар.
Stariy2003
В Андроиде пропатчен в рантайме?
wl2776
Ага. "Talking is cheap, show me the code" (c)
Stariy2003
Весьма сомневаюсь, что в Андроиде можно именно "патчить в рантайме" в классическом понимании. По крайней мере, я такой возможности не нашел и был бы очень признателен, если бы в нее потыкали носом. Максимум, что удалось найти - возможность скачивания и запуска своего класса в формате *.dex. Но это и близко не патчинг.
2. Тогда уж и код нет смысла смотреть, пусть сразу бинарь показывают...
funca
А в неклассическом?
Вообще ответ был в контексте e2e шифрования. Приложению не нужны дополнительные разрешения, чтобы в один момент слить историю в незашифрованном виде налево - к которой у него и так есть доступ. Это вопрос чисто бизнес-логики, а не permissions.
Код есть смысл смотреть, просто это недостаточное условие.
Вообще получить надежный evidence того, что вот этот вот конкретный бинарь, работающий на вашем устройстве, был собран именно из вот этого кода - довольно замороченная задача. По пути много звеньев и переменных, где можно устроить supply chain attack - случайно или нарочно.
Zolg
https://frida.re/
wl2776
А frida-gadget есть в Максе?
Zolg
Вы не про макс спрашивали, а про пример кода, выполняющего runtime patching в андроид.
Получив исчерпывающий пример вы скатываетесь на то, что "а вот в максе конкретно этого примера нет" ? Серьезно ?
frida-gadget - не магический артефакт, а кусок кода. Очень универсальный фреймворк (в т.ч.) для рантайм патчинга чужого исполняемого кода. Это чуть более общая задача, чем вполне конкретно патчить свой собственный код.
Если выполнима общая задача, то тем более выполнима и частная, причем в данном случае, думаю, с на порядки меньшим объемом реализации.
Выполняли ли ее в максе, или нет - понятия не имею и не интересуюсь.
wl2776
Да, я от общего к частному иду. Началось всё с "патчинга кода Макса в рантайме". Сначала я выяснил, что такое вообще возможно, дальше вернулся к изначальному вопросу.
Stariy2003
Так невозможно ж вроде?
wl2776
Как выясняется, возможно, правда со всякими "если". Там вверху ссылка на фреймворк Frida, он умеет.
https://github.com/frida/frida
https://github.com/dweinstein/awesome-frida
Zolg
Никаких там "если".
БОльшая часть фриды посвящена тому, как внедриться в чужое приложение, как найти в нем места для патчинга и api для этого самого патчинга.
Патчить в рантайме собственный код мягко говоря несколько менее объемная задача.
И при желании код, по зелёному свистку скачивающий нужный payload и его исполняющий можно размазать так, что даже при беглом просмотре исходников он будет неочевиден, не то что при анализе гугл-плея.
padvei
Для изменений в рантайм необходимы рут права, встраивание без рут прав в frida осуществляется перепаковкой пакетов, так что ответ на изначальный вопрос, никакой рантайм патчинг невозможен. Рассматривать случаи с наделением рут правами своего ПО в данном треде не корректно.
Zolg
Вы тёплое с мягким путете.
Для рантайм патчинга кода этот код должен иметь код, осуществляющий этот самый патчинг. Ожидаемо, что в чужих бинарниках такого кода (по крайней мере доступного для использования сторонним исследователем) нет и его нужно засунуть.
Именно для внедрения куска кода, отвечающего за патчинг в чужое приложение нужен рут или перепаковка пакетов. Сам рантайм патчинг никаких рут прав не требует.
Очевидно, что если вы собираете своё собственное приложение, то нет смыслаперепаковывать свой собственный пакет: можете хоть тот же фрида гаджет при первоначальной паковке засунуть.
Впрочем для обсуждаемых целей засовывать именно фриду глупо: получится стрельба по воробьям из трудномаскируемой пушки.
Достаточно нескольких десятков строк кода. При некотором желании делаемых безобидно выглядищими при беглом просмотре.
Soprin
Что бы frida работала на устройство должно быть установлен сервер и сертификат к тому же разработчики не идиоты и знают про это и ставят защиту. Без доступа к устройству это бесполезно
Zolg
Напомню, что первоначальный вопрос стоял "возможно ли под андроид патчить в рантайме собственный код"
Рут/встраивание гаджета нужны фриде не для рантайм патчинга как такового, а для того, чтобы сделать чужой бинарный код как бы немного своим.
Сертификат на устройстве вообще из оперы "слышал звон, не знаю где он": то, что фрида очень часто используется для обхода ssl-пининга (для одной из методик которого на устройство все же нужно вкрячить свой серт) не значит, что этот серт нужен самой фриде (и тем более той ее небольшой части, что отвечает за патчинг в рантайме)
wl2776
Первоначальный вопрос был немного другим. Строго говоря, это был даже не вопрос, а утверждение, что мессенжер Макс в какой-то момент может пропат��ить сам себя "по команде сервера".
Далее возникло обоснованное сомнение, что под Андроид это вообще возможно. Вы привели ссылку на Frida - сомнение развеялось, по крайней мере, частично.
Идём от общего к частному, возвращаемся к Максу. Что там - никто не знает.
В итоге, все потеоретизировали, но работающего PoC никто так и не показал.
Zolg
PoC чего? Наличия/отсутствия закладок в максе ? Это полноценный аудит нужно проводить. Который может показать либо наличие закладок, либо то, что в процессе аудита они не обнаружены (что вовсе не эквивалентно их отсутствию).
Подозреваю, что деятельно заинтересованных в таком публичном аудите нет. Не в смысле "власти скрывают" (при наличии ресурсов можно и бинарник по байтам разобрать), а в смысле отсутствия практического ответа на вопрос "потратить энное количество средств для того чтобы что?"
wl2776
Макс есть в PlayStore. Я сомневаюсь, что Гугл подобное пропустит.
fhunter
Раньше скачивание бинарников вполне работало. На этом работал тот же termux. Сейчас вроде закрыли и google требует, чтобы все бинарники были вложены в apk при скачивании с play?
Можно ли вне play - не знаю, но на 13-й android termux вполне встал, пакеты ставит.
Yrninibg
Открытые исходники это не гарантия, а возможность проверки
Если код открыт, то сообщество может его проаудировать, собрать и сравнить с версией в сторе - это на порядок повышает доверие. С закрытым кодом у вас такой возможности просто нет
milkground
Ну вот есть у одного мутноватого мессенджера исходники клиента и шифрование. Вы проверили весь код? Вы каждый раз собираете мессенджер из тех исходников, которые проверили? Каждый раз включаете шифрование, которое по какой-то интересной причине не только спрятано, но и по умолчанию отключено? Знаете, что происходит на сервере? Допустим. А обычный пользователь?
Spyman
Исходники телеги как минимум смотрю периодически (на предмет заимствования идей, но все же). Есть люди которые их изучают (хотя бы те, кто делают форки клиента со своими функциями). Если бы там что-то нашлось (или при сравнении обнаружилось бы что клиент в маркете отличается например от клиента из гита) - об этом бы трубили из каждого утюга, и это б�� означало конец существования телеграмма скорее всего. Т.е. риски для компании очень высоки, а бонусы минимальны. Код Вацап какого нибудь - посмотреть никто не может - там может быть что угодно, но даже если это сольют - доказать что оно там будет невозможно - риски минимальны и компания может спокойно их игнорировать)
MTyrz
Единственное, в чем вы неправы - не будет это означать никакого конца существования. Два десятка гиков уйдут, остальным будет пофиг. Основной массе, по-моему, вообще на все пофиг...
Wesha
А из двух десятков гиков реально мозгами пользуется от силы пяток...
Donkeyhot_kgd
А должно быть иначе? Я должен постоянно, ежесекундно во всем разбираться? В том, из чего сделаны сосиски, как собран клиент мессенжера, какой тип анестезии у зубного лучше? Голова не лопнет от такого? Жить-то когда?
Wesha
(Задумчиво:) Ну, как бы это Вам помягче сказать... Клиенты АО «МММ» тоже не хотели ни в чем разбираться, а всего‑навсего хотели без усилий бабло рубить. «Конец немного предсказуем.» ©
По своему опыту заверяю: не лопнет.
А Вы автомобиль водите? А почему? Это ж постоянно думать надо, какую педаль нажать, куда руль повернуть... «Жить‑то когда?» © @Donkeyhot_kgd
dom1n1k
Вы действительно не понимаете по какой "интересной причине" телега устроена так, как она устроена? Или просто паясничаете?
Syrex
По какой?
konst90
Потому что 99% пользователей между удобством (хранение чатов на сервере и их синхронизация со всеми клиентами) и безопасностью (сквозное шифрование) выберут удобство. А те, кто понимает, что ему нужно именно сквозное шифрование, смогут включить его самостоятельно.
Syrex
Ну так потому, что 99% пользователей плевать на то, что их переписку прочитает товарищ майор. Лет 10 назад все переписывались в ВК и никого совершенно не волновало, что там все хранится на сервере и доступно спецслужбам, а сейчас с Максом, который по сути тот же ВК в другой обёртке, всех резко заволновал этот нюанс) хотя сквозным шифрованием в телеге пользуются скорее всего даже не 1%, а 0.01% пользователей. А в Вотсапе это вообще просто надпись, которую никак не проверить, ибо исходники клиента не открыты.
StrausZloy
Потому что лет 10 назад, как вы выразились, обстоятельства в стране были несколько иными, чем сейчас. Отсюда и беспокойство по поводу безопасности.
konst90
Потому что десять лет назад у товарища майора было намного меньше причин вами заинтересоваться, и риски были совершенно другие.
inkelyad
Шифрование в процессе передачи и работа с уже полученными сообщениями, вообще говоря - разные вещи.
Можно получить, зашифровать, положить в криптоконтейнер и уже его - хранить на сервере и при необходимости отдавать другим клиентам.
Для синхронизации - ключи расшифровки отдельно между клиентами обменяться. Для примера смотри как у некоторых програм-заметочников оно сделано.
Собственно, большую часть этого, кажется(могу ошибаться, подробно не смотрел), прямо Гугл предлагает, приложению надо только оформить область хранения, которая автомагически синхронизироваться будет.
Удобство не столько в синхронизации, сколько в том, что можно ее сделать, когда у тебя нет на руках другого твоего устройства. Т.е. для того, чтобы не было 'ааа.... все пропало... вся переписка за n лет потерялась'. Хотя и тут можно было бы ее стащить из устройств собеседников.
aamonster
Да, вацап недавно выбесил неумением это сделать – даже при наличии устройств. С андроида на айфон перенести историю чатов – нормальных путей нет, хотя оба устройства в руках.
dom1n1k
Помимо синхронизации, это дает ещё другие удобные фичи типа отложенных сообщений. А ещё каналы с взаимной пересылкой сообщений между каналами и чатами.
Нельзя сказать, что с E2E это невозможно реализовать вообще никак, но намного-намного сложнее и всё равно будут компромиссы в удобстве.
Groh
В чем проблема хранить историю на сервере, а ключи шифрования при этом передавать между устройствами пользователя?
dom1n1k
Самый банальный кейс - устройство собеседника сейчас не в сети.
NizhnikovEvgeny
Вы абсолютно правы. Накину сверху. Реализовать нормальный поиск по тексту сообщений при сквозном шифровании тоже без шансов. (хотя я понял, что вы намеренно не все проблемы описали)
Wesha
А если устройство собеседника сейчас не в сети — зачем Вам ключи, с кем Вы разговаривать собрались?
konst90
С тем же собеседником, но асинхронно.
aamonster
Мы просто считаем его мутноватым и учитываем риски.
edo1h
сквозное шифрование означает, что мессенджер нельзя использовать с нескольких мест, что прямо-таки большой минус к удобству
edo1h
непонятно с чем именно несогласны минусующие.
в той же телеге для меня киллер-фича, что один и тот же аккаунт можно открыть и на телефоне и на компьютере, даже на нескольких компьютерах (притом даже ничего ставить не надо, работает в любом браузере). можно начать диалог с рабочего места, а продолжить потом с телефона в дороге, закончить на ноутбуке дома. и если я захожу в свой аккаунт с нового устройства, то сразу получаю доступ ко всем имеющимся перепискам с историей.
разумеется, это не эксклюзивная фича телеграма, многие мессенджеры предлагают то же самое.
и, разумеется, всё это удобство несовместимо с end-to-end шифрованием.
я не говорю уже про то, что всякие группы плохо совместимы со сквозным шифрованием.
по какому именно пункту есть возражения?
Syrex
Я не минусил, но в теории ничто не мешает реализовать функцию выгрузить ключ сквозного шифрования в файлик, а потом загрузить его на другом клиенте чтобы позволить ему подключиться к секретному чату созданному на первом клиенте. Только в телеге такого функционала нет, но в принципе идея не самая сложная для реализации
randomsimplenumber
Если есть возможность вытащить ключ - значит она доступна и для товарища майора.
Syrex
Так если у товарища майора есть доступ к устройству, на котором есть ключ от секретного чата, то он и так может его прочитать не вытаскивая ключ
vikarti
Если.
Локальный доступ почему то угрозой не считают (как убеждением дать пин-код/палец так и использованием локальных дыр(в то что экслуатируемых дыр нет я поверить могу...на полностью обновленных iPhone'ах и телефонах с GrapheneOS)
d7s2di
Примерно так оно было реализовано в Element (бывший riot.im).
aamonster
Всё это удобство прекрасно совместимо с e2e, если вы разделите ключ между своими устройствами (сканированием qr-кода, например).
ReadonlyTmp
Минусующие (я минус поставить не могу, но если бы мог, поставил) не согласны с тем, что это невозможно. Относительно популярный Matrix и его многочисленные опенсорсные клиенты (Element, Shildi, FluffyChat и так далее) это прекрасно реализуют - можете сидеть одновременно с компьютера и двух телефонов и все будет прекрасно работать со сквозным шифрованием. Передача ключей проще, чем вход в аккаунт телеграма - просто по QR
Wesha
“Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.” ©
StrausZloy
Я удивлён, что кто то минусит ( а следовательно не согласен с ним) это фундаментальное высказывание
hagenvontronje
Я не минусил, но в контексте обсуждения это действительно хорошее высказывание воспринимается как "кто не кулхацкер , тот лох" и отсылает нас к другой нескончаемой дискуссии : в какой мере среднестатистический обыватель должен разбираться в умениях печь хлеб, проводить хирургические операции и предотвращать компьютерные угрозы.
Maccimo
Реальность такова, что лучше хоть в какой-то мере разбираться. Чтобы понять, например, что если дантист сильно настаивает на замене родного запломбированного зуба, кторый в таком статусе уже лет 10 и не создаёт проблем, на имплант за 100500 денег, то скорее всего что-то тут не чисто и стоит получить второе мнение в другой клинике.
Kanut
Для этого не надо особо в чём-то разбираться. Достаточно просто идти за вторым мнением если врач хочет 100500 денег :)
П.С. Ну и как бы в целом ряде стран вас либо сам врач должен предупреждать что имеет смысл получить второе мнение, либо медицинская страховка предлагает это сделать.
RTFM13
Проверка поступающей информации на внутренние противоречия отсеивает значительную часть скама. Для этого вообще не надо погружаться в тему.
Wesha
«А когда не знаешь — надо у кого‑нибудь спросить, извините...» ©
rombell
и надо доверять этому кому-нибудь, да ещё и чтобы этот кто-нибудь не оказался тем самым лоховодом.
Wesha
Так это ж старо как мир: спрашиваете у двух-трёх и сравниваете ответы.
rombell
в тему
эти два-три могут быть тесно связаны, но спрашивающий об этом не знает
RulenBagdasis
Вы абсолютно правы! Хотите я подготовлю список у кого спросить? Могу вам сделать его в виде pdf файла.
zartarn
Там посыл сильно отличается от того к чему его сейчас пытаются притягивать) https://www.brookings.edu/wp-content/uploads/2016/06/0921_platform_security_wittes.pdf
YMA
Тоже не минусил, но высказывание считаю пустым - оно "за все хорошее и против всего плохого".
Я вот хочу свободу брать с собой на борт самолета ножницы, перочинный ножик, кинжал, пистолет, немного взрывчатки (10 кг)... Но меня ограничивают почему-то. Ату их, душителей свободы!!! :)
Или насчет оружия в частных руках. Тоже даешь свободу и короткоствол в каждый карман!! Но понимаю, что за очень редким исключением типа Швейцарии или Техаса, где это исторически сложилось - уровень самосознания людей этого не позволяет - перестреляют-с друг-друга.
randomsimplenumber
Кстати , да. С ножницами можно в метро, театр, детский сад. Нельзя в тюрьму (но не точно) и в самолет. Что плохого с ножницами можно сделать в самолете но нельзя в театре?
Kanut
Если ножницами угрожать директору театра, то он при всём своём желании не сможет направить театр на World Trade Center. У пилота самолёта в этом плане немного больше возможностей :)
randomsimplenumber
Пилот за бронированной стенкой. Как он поймет что ему кто то угрожает?
Kanut
А почему в самолёте бронированная стенка есть, а в театре нет? :)
Вопрос то в том почему в самолёте м театре разные требования по безопасности. И это в общем-то вполне себе понятно.
А так дверь в кабину вполне себе открывается. Можно угрожать стюардессе и/или шантажировать пилота чтобы он её открыл. Или ещё что-то придумать.
randomsimplenumber
А что такого демонически страшного в ножницах? Кмк шнурки от ботинок или палочки от суши куда опаснее.
Kanut
Ну вам кажется так, кому-то иначе. Почему вы считаете что именно ваше мнение надо учитывать в первую очередь?
randomsimplenumber
Ок, ножницами никто пилоту не угрожал, но на всякий случай запретим. Шнурками от ботинок и розовым дилдо тоже никто не угрожал, но мы их не будем запрещать.
Театрцирк безопасности.Kanut
Зато угрожали ножом. И некоторые ножницы можно использовать точно так же.
DvoiNic
В энтих самых, "розовых", помнится, пытались взрывчатку на борт пронести...
Наверняка можно придумать множество способов превратить обычный предмет в оружие (типа, заточить край монеты, и т.п.), но верны оба утверждения - и что "необходимы разные уровни безопасности", и что "на 100% никогда не защитишься"
DvoiNic
"демонически страшного" в них то, что их обычно используют для отрезания... поэтому их и боятся. а если вы будете угрожать палочкой от суши (хотя умертвить человека ей не сильно сложнее), то вас могут и не воспринять как серьезную угрозу..
Т.е. если вам нужно "угрожать" - эффективней ножницы. а если сделать дело без угроз - палочки для суши, карандаш, "писанка"...
YMA
Между прочим, бронированная стенка появилась примерно тогда же, когда запретили ножницы в самолетах. А потом появилось требование, что в кабине всегда должно быть два человека.
Я еще успел полетать самолетами с открытой дверью в кабину пилотов. Эгегейскими (Aegean) авиалиниями в Грецию, например - было прикольно. И у нас на рейсах в азиатские республики СССР в Аэрофлоте не всегда дверь закрывали.
Maccimo
Пилот тоже не сможет, World Trade Center был снесён ещё в прошлом тысячелетии. И направили самолёты в башни не пилоты, которым угрожали ножницами, а владельцы ножниц, специально выучившеся на пилотов. Такова официальная версия.
Kanut
А вы нам из какого тысячелетия пишите? :)
И поэтому в самолёте с ножницами можно сделать ровно то же самое что и в театре?
randomsimplenumber
Вот именно. Кому в салоне вы планируете угрожать маникюрными ножницами? Или даже страшными канцелярскими?
Я более чем уверен, что стюардес немного учат разным вещам. Плавать в спасжилетах точно учат.
Kanut
Например стюардессе или даже маршалу если таковой имеется.
Или можно взять в заложники кого-то из пассажиров. Например ребёнка.
Каким образом умение плавать в спасжилетах помогает если тебе угрожают колющим предметом?
randomsimplenumber
Можно взять заложников в театре. Или в детском садике. Целого маршала. И что дальше?
Угроза ножницами - чистая психология. Причинить серьезный вред проще без ножниц (если специально тренировался). Если не тренировался - ну, анекдот про слишком большую мушку все знают. Уверен, что стюардес учат успокаивать буйных пассажиров.
Kanut
В театр вы можете вызвать полицию. В летящем самолётк это не работает.
Театр не может улететь в другую страну. Самолёт может.
Театр нельзя направить на условную АЭС. Самолёт можно.
И так далее и тому подобное. Вы до сих пор не понимаете в чём разница между самолётом и театром?
Такая же как и угроза ножом. При помощи ножа самолёты угоняли.
Нет, не учат. В лучшем случае их учат с ними разговаривать. Но не останавливать их при помощи силы.
randomsimplenumber
И газом, газом всех.. Было уже.
Договориться о выдаче преступников или запретить ножницы? Выбор очевиден.
С помощью ножниц и напуганной стюардессы летчик за бронированной стенкой решает проблему вагонетки вот таким образом. Очевидное решение. Вот только таких прецедентов не было. А когда пилот сам по своей воле разбивал самолёт с пассажирами - было. Нужно, наверное, что-то запретить.
Разговор про ножницы. Ну, ок, допустим, страшный швейцарский нож со штопором. Угоняли? Правда? ;)
Kanut
Это единственный вариант, который приходит вам в голову?
Нет, не очевиден. С целым рядом стран договориться на эту тему либо вообще невозможно, либо очень сложно.
А вот запретить колющие и режущие предметы в самолётах действительно относительно просто.
Но почему-то всё равно умудряются угонять самолёты имея при себе только нож. Вроде бы даже в этом году такое уже было.
Ну если вас в гугле забанили, то например вот:
https://ru.m.wikipedia.org/wiki/Угон_Ту-154_в_Саудовскую_Аравию_(2001)
https://ru.m.wikipedia.org/wiki/Угон_Ан-24_в_Китай
https://amp.rbc.ru/rbcnews/society/17/04/2025/680162c19a794719ff28a70c
randomsimplenumber
Ну да, что ж за террорист без ножа..
"ножи, топоры, заточка, возможные взрывные устройства"
Ножницы где? :)
Kanut
В магазине.
Wesha
Над запретом пилотов сейчас усиленно работают.
p07a1330
Вероятно вы вкладываете не совсем релевантный смысл в слово "Маршал"
Daddy_Cool
В США "маршал" относится к агенту или сотруднику Службы маршалов США (United States Marshals Service, USMS), старейшего федерального правоохранительного ведомства страны, или к сотруднику Федеральной службы воздушных маршалов (Federal Air Marshal Service, FAMS). Основная деятельность маршалов США включает обеспечение работы федеральных судов, поиск и арест беглецов и преступников, защиту свидетелей и транспортировку заключённых.
/мимокрокодил
Semy
Можно всё такие уточнить, что вы имеете ввиду под "прошлом тысячелетием"? Год атаки - 2001, вроде даже текущий век.
IUIUIUIUIUIUIUI
И что?
В WTC погибло 2606 человек, судя по беглому гуглу. В крупнейшем театре моего относительно мелкого города может быть до 3000 человек, поэтому, например, если уговорить директора в вентиляцию пустить что-то нехорошее, то жертв будет больше.
Поэтому ножницы и ножи в театре тоже должны быть запрещены, ящетаю.
funca
На концертах или спортивных мероприятиях при входе обычно стоят металлодетекторы - с ножницами не зайти. В театрах, действительно, реже.
Kanut
И что с ними будет если направить на театр самолёт?
Для этого надо будет сначала директору дать это "что-то нехорошее". То есть в данном случае будет достаточно если мы запретим в театре не ножницы, а именно это "что-то".
K0styan
В авиационной безопасности масса перегибов, это факт. Т.е. могут запретить малюсенький острый предмет, но к обеду выдать стальную вилку.
Но при этом странно не понимать, что требования к безопасности в замкнутой трубе несколько иные, чем в помещении, из которого можно сбежать - ну или наоборот, куда могут в любой момент войти вооружённые люди. Ну, даже просто на уровне рамок сценария, даже без учёта захватов и 9/11.
Wolframium13
Фундаментальное и идеалистическое. Потому что само существование в обществе это размен свободы на безопасность. Вопрос только в балансе. А высказывание призывает жить в лесу - молиться колесу, если в лоб.
litalen
Уязвимости есть у всех. Весь вопрос только в том, что делают разработчики после их обнаружения. Пофиксили же?
(ни разу не пользователь iMessage, но исключительно справедливости ради ваш аргумент не аргумент)
vikarti
Можно. Просто чуть сложнее и думать надо при разработке.
Примеры:
Matrix (шифрованные чаты (для групп надо включать принудительно, для групп из 2 человек - работает по умолчанию), цена - вход новым устройством или сброс ключей или надо авторизовать с существующего или через ключ восстановления. аудиовидео в текущих версиях насколько помню использует другое механизм и там нет E2EE, пока)
iMessage
litalen
При аудиовидео на больше 2х человек Matrix использует Jitsi Meet, а там с 2020го есть e2e, правда по-прежнему в экспериментальном режиме. При звонке 1:1 e2e был изначально.
Получается Matrix покрыт e2e целиком :)
fhunter
Это на самом деле не так.
OMEMO в xmpp решает эту проблему ценой недоступности старых сообщений на новом устройстве. (Они подтянутся с сервера, но не будут расшифрованы. Если втянуть бэкап сообщений - будут и они).