15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще
zarazaexe 1 час назад 15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще Средний 13 мин 3K Реверс-инжиниринг * Информационная безопасность * Аналитика...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. zarazaexe 1 час назад 15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще Средний 13 мин 3K Реверс-инжиниринг * Информационная безопасность * Аналитика Привет, ХабрЕсли читали мои предыдущие статьи - знаете контекст. Если нет - кратко:С 1 сентября 2025 MAX предустанавливается на все продаваемые в РФ телефоныДомен max. ru - в белом списке ТСПУ.
Пока скрипт-кидиdom находят по одной мелкой дырке и пишут об этом статьи и сайты я взял APK МАХ и реверснул его целиком. Кратко что я нашелМакс отправляет на сервера VK то какие у вас скачаны приложенияДетекцию VPN - приложение проверяет наличие VPN-соединения и по команде сервера может полностью заблокировать вам доступ к чатам и мини-аппам, пока вы его не выключите. Тотальный трекинг адресной книги - MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.
Технические детали
Обход Google Play и жесткий Force Update - сервер может заблокировать работу текущей версии приложения и принудительно установить апдейт со своего CDN, причем в коде заложена возможность ставить APK в обход системы. Управление NFC-чипом из мини-апп - любое внутреннее мини-приложение может без предупреждения передать на NFC-терминал свой кастомный payload (например, имитировать пропуск или карту). Фейковые чаты Удаление сообщений из базы пушами - сервер может отправить скрытый пуш-запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа, или незаметно запросить ваши координаты.
Отключение TLS-валидации и RCEПередачу номера (Mobile ID) по открытому HTTP - для авторизации без SMS мессенджер шлет запросы операторам в незашифрованном виде, чтобы те вписывали ваш номер в заголовки. Этот же механизм доступен системным мини-аппам без вашего ведома. Скрытый SDK деанонимизации и запись звука - обфусцированный модуль trace_flow собирает реальные IP-адреса в обход VPN, а функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.
Аппаратный фингерпринт через Widevine DRM - для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства. ZipSlip уязвимость в DownloadService (Удаленное исполнение кода)И много всего другогоMyTracker сливает список ваших приложений на сервера VKВ MAX встроен MyTracker SDK от VK (Tracker ID 34982109644049932883, инициализация в defpackage/d6. java при старте OneMeApplication).
Отраслевые последствия
И в нём есть отдельный модуль для сбора того, что у вас установлено. f (AppsDataProvider). private static List b(List list) { ArrayList arrayList = new ArrayList(); for (PackageInfo packageInfo : list) { ApplicationInfo applicationInfo = packageInfo.
applicationInfo; if ((applicationInfo. flags & 1) == 0) { // не-системные arrayList.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
