Привет, Хабр!
Сегодня в сети есть много дискуссий о мессенджере Макс. Недавно я наткнулся на один пост в гитхабе с анализом Android-приложения, где приводятся страшные выводы о слежке за пользователями. Поскольку интерес к этому вопросу лично у меня велик, я решил разобрать важный файл приложения — его AndroidManifest.xml — и проверить факты.
Сам по себе AndroidManifest.xml — это своеобразный декларативный контракт приложения с Android: в нем зашиты его идентичность, модель доступа, поверхность атаки, аппаратные и сетевые зависимости, а также внешние взаимодействия. По одному этому файлу уже видно, к каким данным приложение может проситься, что оно имеет право делать в фоне, какие входные точки открыты наружу и под какие правила безопасности платформы оно подпадает. Манифест задает границы возможностей и рисков, а код и выданные пользователем разрешения решают, воспользуется ли приложение этими возможностями.
Основные атрибуты манифеста и SDK
Первый тег манифеста указывает версию приложения, пакет и целевой SDK. Например:
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="ru.oneme.app"
android:versionCode="6392"
android:versionName="25.8.1"
android:installLocation="0"
android:compileSdkVersion="34"
android:platformBuildVersionCode="34"
android:platformBuildVersionName="14">Эта часть содержит общую информацию: название пакета и версию. compileSdkVersion="34" и platformBuildVersionCode="34" означают, что приложение собрано с использованием API уровня 34. Это говорит о том, что разработчики адаптировали приложение под новые правила Android 14: например, весь механизм запросов к «опасным» разрешениям должен проходить через систему runtime-пермишенов, а не через старую модель «установить или отказать».
Атрибут installLocation="0" указывает, что установка возможна на внутренней памяти устройства. В целом эти параметры лишь сообщают системе версии и настройки сборки.
Разрешения для работы с сетью и уведомлениями
Далее в манифесте перечислены разрешения для разных нужд приложения. Начнём с сетевых возможностей:
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.CHANGE_NETWORK_STATE" />
<uses-permission android:name="android.permission.CHANGE_WIFI_STATE" />Эти разрешения нужны практически всем сетевым приложениям. INTERNET даёт доступ к сети и является нормальным разрешением, которое автоматически предоставляется при установке приложения.
ACCESS_NETWORK_STATE и ACCESS_WIFI_STATE позволяют проверять, подключены ли мы к Интернету или Wi‑Fi. Они тоже обычные и выдаются сразу.
Разница между ACCESS и CHANGE в том, что вторые позволяют изменять настройки сети или Wi‑Fi. Тем не менее даже эти разрешения не способны тайно отправлять ваши данные без сетевого доступа; они лишь позволяют приложению включать/отключать Wi‑Fi или менять точку доступа при необходимости, что к слову, может быть полезно, например, для улучшения качества звонка.
Разрешение android.permission.POST_NOTIFICATIONS появилось в Android 13 и выше: оно нужно для отправки уведомлений. По дефолту на Android 13+ приложение не может сразу слать уведомления – сначала надо запросить у пользователя это разрешение.
Поэтому строка:
<uses-permission android:name="android.permission.POST_NOTIFICATIONS" />гарантирует, что приложение сможет вывести уведомление (например, о входящем сообщении) после того, как пользователь согласится на уведомления.
Ещё одно особое разрешение – REQUEST_INSTALL_PACKAGES:
<uses-permission android:name="android.permission.REQUEST_INSTALL_PACKAGES" />Оно позволяет приложению предлагать пользователю устанавливать новые APK-файлы. Например, чтобы обновиться или добавить модули, тот же Макс может попросить установить пакет. Однако система Android не даёт такое право автоматически: даже если оно объявлено, приложение должно показать системный диалог для установки другого приложения. Без явного одобрения пользователя установка не произойдёт. Это разрешение часто встречается в магазинах приложений и мессенджерах, которые могут обновлять себя вне Google Play.
Среди первых строк манифеста также присутствуют многочисленные коннекторные разрешения для значков уведомлений (badge count) на разных лаунчерах Samsung, Huawei, Sony, Oppo, HTC и т.д. Например:
<uses-permission android:name="com.sec.android.provider.badge.permission.READ" />
<uses-permission android:name="com.sec.android.provider.badge.permission.WRITE" />
<uses-permission android:name="com.sonyericsson.home.permission.BROADCAST_BADGE" />
<uses-permission android:name="com.sonymobile.home.permission.PROVIDER_INSERT_BADGE" />
<uses-permission android:name="com.android.launcher.permission.UPDATE_BADGE" />
...Они нужны только для отображения счётчика непрочитанных сообщений на иконке приложения в разных фирменных лаунчерах. На Android нет единого стандарта для цифр на иконке, ведь у Samsung, Huawei, Sony свои реализации, поэтому разработчики включают множество рамок на чтение/запись badge-значков. Это не доступ к вашим сообщениям или контактам, а всего лишь способ сообщить лаунчеру, сколько уведомлений ждать. Само приложение не может без диалога получить что-то из системы – лишь обновить собственный значок в зависимости от событий.
Блок с сетью и базовыми сервисами в манифесте вполне объясним и соответствует заявленным функциям мессенджера. А то, что приложение объявляет множество разрешений в манифесте, вовсе не означает скрытую активацию всех этих возможностей.
Локация, контакты и данные аккаунтов
Далее в манифесте видим разрешения, связанные с личными данными и местоположением:
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />
<uses-permission android:name="android.permission.AUTHENTICATE_ACCOUNTS" />
<uses-permission android:name="android.permission.MANAGE_ACCOUNTS" />
<uses-permission android:name="android.permission.USE_CREDENTIALS" />
<uses-permission android:name="android.permission.READ_PHONE_NUMBERS" />Эти разрешения считаются опасными и требуют отдельного разрешения пользователя при запуске приложения (с соответствующими диалогами).
ACCESS_FINE_LOCATION и ACCESS_COARSE_LOCATION дают приложению данные о геопозиции (GPS или сети). Наличие этих строчек означает лишь, что при необходимости приложение может запросить координаты. Но пользователь сам решает, дать это разрешение или нет, и может отказать. Если пользователь не дал разрешение на локацию, приложение просто не будет иметь к ней доступа. Это стандартная модель Android по безопасности – без явного одобрения мессенджер не сможет читать GPS или Wi-Fi.
Разрешения для контактов READ_CONTACTS, WRITE_CONTACTS позволяют считывать и изменять адресную книгу. В мессенджерах это нужно для импорта друзей или быстрых вызовов. Но опять же – без согласия пользователя доступ к контактам не даётся, система покажет диалог при первом запросе. Аналогично с разрешениями учётных записей (GET/MANAGE_ACCOUNTS и т. д.): они позволяют создавать/управлять учетками в системном менеджере аккаунтов. Вообще эти разрешения обычно нужны, если приложение синхронизирует контакты через общий сервис или интегрируется с системным аккаунтом. Но сами по себе они не передают чужие данные на сервер автоматически. Более того, начиная с Android 6.0, при первом запросе доступа к аккаунтам или контактам пользователь видит системный запрос и может его отклонить.
Разрешение READ_PHONE_NUMBERS (требуется Android 11 и выше) позволяет считывать собственный номер телефона устройства. Опять же, это отображается системе как «опасное», и пользователь должен согласиться. Макс может запрашивать номер для идентификации или настройки, но если разрешение не дать, он просто не получит эти данные. .
Камера, микрофон, биометрия
Следующая группа разрешений связана с аппаратными датчиками и мультимедиа:
<uses-permission android:name="android.permission.CAMERA" />
<uses-permission android:name="android.permission.RECORD_AUDIO" />
<uses-permission android:name="android.permission.USE_BIOMETRIC" />
<uses-permission android:name="android.permission.USE_FINGERPRINT" />
<uses-permission android:name="android.permission.MODIFY_AUDIO_SETTINGS" />
<uses-permission android:name="android.permission.WAKE_LOCK" />
<uses-permission android:name="android.permission.DISABLE_KEYGUARD" />
<uses-permission android:name="android.permission.FOREGROUND_SERVICE" />
<uses-permission android:name="android.permission.FOREGROUND_SERVICE_CAMERA" />
<uses-permission android:name="android.permission.FOREGROUND_SERVICE_MICROPHONE" />
<uses-permission android:name="android.permission.FOREGROUND_SERVICE_MEDIA_PROJECTION" />
<uses-permission android:name="android.permission.FOREGROUND_SERVICE_MEDIA_PLAYBACK" />Первая пара очевидна: они дают доступ к камере и микрофону. Для видеозвонков и записи голосовых сообщений нужны кадры и звук. Эти разрешения – опасные, их получит приложение только после того, как пользователь даст согласие в рантайме (и может позже отозвать). Если пользователь не разрешит, звук и видео просто не будут работать. Нельзя разрешить камеру тихо, без диалога – всегда выскочит запрос Android, напоминая о конфиденциальности.
USE_BIOMETRIC/USE_FINGERPRINT позволяют приложению использовать аппаратную биометрию (отпечатки, лицо) для собственной аутентификации. Это тоже запросится у пользователя и позволяет только местное подтверждение личности, но никак не передаёт эти биометрические данные. Это обычная практика для мессенджеров – защищать доступ PIN-кодом или отпечатком.
MODIFY_AUDIO_SETTINGS, WAKE_LOCK, DISABLE_KEYGUARD – технические разрешения. MODIFY_AUDIO_SETTINGS используется, например, чтобы автоматически переключать звук в нужный динамик при звонке (разрешается даже без одобрения, это обычное право). WAKE_LOCK не даёт спать процессору во время фоновой работы (тоже обычное для длительных задач). DISABLE_KEYGUARD позволяет временно снять экранную блокировку – например, чтобы показать экран входящего звонка поверх блокировки. Именно DISABLE_KEYGUARD и WAKE_LOCK часто требуются звонковым приложениям, но их можно вызывать только с подтверждённой пользователем активностью (например, экран звонка). Они не дают прав лечить устройство, только управлять экраном.
Новые разрешения FOREGROUND_SERVICE, FOREGROUND_SERVICE_CAMERA, и т. п. появились в последних Android (12+). Они нужны, чтобы запускать службы в фоновом режиме с перечисленными типами активности (микрофон, камера, запись экрана, синхронизация). Это означает, что Макс может начать сервис фоновой записи или стриминга, но при этом всегда будет видимое уведомление, и пользователь сможет закрыть приложение. Android ввёл эти метки, чтобы повысить прозрачность фоновым сервисам. Само наличие этих строк говорит о том, что приложение может запустить фоновые задачи, но к тому же это публично указывается – любая служба такого типа будет с пометкой (не скроется).
Подключение Bluetooth
Разрешения для Bluetooth вынесены отдельно из-за особенностей Android 12+. В манифесте видим:
<uses-permission android:name="android.permission.BLUETOOTH"
android:maxSdkVersion="30" />
<uses-permission android:name="android.permission.BLUETOOTH_ADMIN"
android:maxSdkVersion="30" />
<uses-permission android:name="android.permission.BLUETOOTH_CONNECT" />Google в Android 12 поменял модель Bluetooth-разрешений. Приведённый код – рекомендуемый способ поддержки сразу старых и новых версий Android. Разрешения BLUETOOTH и BLUETOOTH_ADMIN используются на Android 30 и ниже (для классического Bluetooth), поэтому у них указан maxSdkVersion=30. Разрешение BLUETOOTH_CONNECT – это новая «Runtime Permission» (должно запрашиваться у пользователя) для Android 12+.
Строка <uses-permission android:name="android.permission.BLUETOOTH_CONNECT" /> позволяет приложению связываться уже с парными устройствами. Но даже это разрешение выдается только при подтверждении пользователя (появляется обычный запрос «Разрешить максу доступ к Bluetooth?»). Если пользователь не разрешит — Bluetooth останется недоступен. Никакой прослушки через Bluetooth без спроса не получится. Опять же, документация прямо указывает, что такое оформление необходимо для приложений, которые нуждаются в управлении Bluetooth. Сам факт наличия этих разрешений лишь говорит о том, что мессенджер умеет работать с Bluetooth-гарнитурами или устройствами, но не о слежке.
Другие аппаратные особенности
Манифест также содержит множество тегов <uses-feature>:
<uses-feature android:name="android.hardware.touchscreen" android:required="false" />
<uses-feature android:name="android.hardware.telephony" android:required="false" />
<uses-feature android:name="android.hardware.location.gps" android:required="false" />
<uses-feature android:name="android.hardware.camera" android:required="false" />
...
<uses-feature android:glEsVersion="0x20000" android:required="true" />Эти строки информируют Google Play и систему Android о том, какими аппаратными функциями приложение может пользоваться.
Атрибут android:required="false" означает, что фича не обязательна. Т.е приложение может использовать сенсорный экран, GPS, камеру, Bluetooth и т.д., но способно работать и без них. Все функции объявлены как опциональные.
Единственная обязательная фича здесь – OpenGL ES 2.0 (glEsVersion="0x20000"), без которой не запустится большая часть графики. По сути, <uses-feature> сам по себе не даёт никаких привилегий – он лишь описывает требования приложения. Если вы видите в манифесте android.hardware.camera required="false", это не значит, что приложение внезапно получит доступ к камере без разрешения. Это просто декларация: «если у устройства есть камера, мы её можем использовать». А разрешение CAMERA всё равно запрашивается отдельно у пользователя.
Объявление взаимодействий через
В Android 11+ для взаимодействия с другими приложениями (для поиска других установленных приложений) используют элемент <queries>. В манифесте MAX он выглядит так:
<queries>
<intent>
<action android:name="android.intent.action.SEND" />
<data android:mimeType="*/*" />
</intent>
<intent>
<action android:name="android.support.customtabs.action.CustomTabsService" />
</intent>
<intent>
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.BROWSABLE" />
<data android:scheme="https" />
</intent>
<package android:name="com.google.android.apps.maps" />
</queries>Эти теги не предоставляют доступа ни к чему сами по себе. Они лишь сообщают Android, что приложение намеренно взаимодействует с определёнными интентами или пакетами. По документации, <queries> «указывает на набор других приложений, с которыми приложение предполагает взаимодействие». Например, здесь явно указан пакет com.google.android.apps.maps – это говорит системе, что приложение может запускать Google Maps (например, чтобы показать карту или маршрут). Есть также интент-фильтры для ACTION_SEND и CustomTabs, чтобы открыть ссылку. Если бы <queries> не было, с Android 11+ Макс не смог бы видеть ни Google Maps, ни настраивать себя как приложение, открывающее ссылки – система бы блокировала. То есть это просто декларация видимости и нужна для корректной работы функций: она не считывает у пользователя данные других приложений.
В документации сказано:
«
<queries>задаёт множество других приложений, с которыми ваше приложение намерено взаимодействовать».
Обработка ссылок и диплинков
Изменимся на уровне <application> – здесь у MAX определены компоненты Activity, Service и т.д.. Есть специальная активность LinkInterceptorActivity с двумя <intent-filter>, примерно такими:
<activity android:name="one.me.android.deeplink.LinkInterceptorActivity" ...>
<intent-filter android:label="max" android:autoVerify="true">
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.DEFAULT" />
<category android:name="android.intent.category.BROWSABLE" />
<data android:scheme="http" />
<data android:scheme="@string/web_scheme" />
<data android:host="@string/app_host" />
</intent-filter>
<intent-filter android:label="max">
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.DEFAULT" />
<category android:name="android.intent.category.BROWSABLE" />
<data android:scheme="@string/app_scheme" />
<data android:host="@string/app_host" />
</intent-filter>
</activity>На первый взгляд это выглядит пугающе: захват http/https трафика. Но на деле это механизм «Глубоких ссылок» (App Links).
Первая фильтрация с android:scheme="http" и autoVerify="true" срабатывает только при конкретном host (@string/app_host – это домен приложения). Это позволяет Максу автоматически открывать свои web-ссылки внутри приложения, минуя браузер, после проверки сайта на доверие.
Вторая фильтрация ловит собственную схему (например, max://app_host). И оба случая работают только для ссылок, относящихся к этому приложению. Это стандартный способ реализовать открытие ссылок «например, https://max.example.com/xyz» прямо в мессенджере.
Система Android обрабатывает это так: если пользователь нажимает на ссылку того домена, система спрашивает, куда её открыть – в браузере или в этом приложении. Атрибут android:autoVerify="true" сообщает ОС автоматически проверить права приложения на владение сайтом. Если проверка не прошла, то ссылка просто откроется в браузере как обычно. То есть сама по себе активность с диплинками – это нормальная практика для интеграции веб-ссылок и вовсе не означает, что приложение перехватывает произвольный интернет-трафик. В той же документации Android говорится, что autoVerify ставится именно для верификации домена приложения.
Что было бы тревожным
Если у обычного приложения внезапно заявлены вещи уровня BIND_ACCESSIBILITY_SERVICE, SYSTEM_ALERT_WINDOW, REQUEST_INSTALL_PACKAGES, MANAGE_EXTERNAL_STORAGE, QUERY_ALL_PACKAGES, PACKAGE_USAGE_STATS, — это красный флаг. Первые два дают серьезный контроль над экраном и вводом, третий — установку APK, «MANAGE_EXTERNAL_STORAGE» — доступ ко всем файлам, QUERY_ALL_PACKAGES — видимость всего, что у тебя стоит, а USAGE_STATS — телеметрию использования других приложений. Сами по себе строки ещё не преступление, но для фонарика и диктофона — звучит странно.
Проверяют так:
apkanalyzer manifest print base.apk | grep -E "BIND_ACCESSIBILITY_SERVICE|SYSTEM_ALERT_WINDOW|REQUEST_INSTALL_PACKAGES|MANAGE_EXTERNAL_STORAGE|QUERY_ALL_PACKAGES|PACKAGE_USAGE_STATS"
# фактическая выдача и время последнего использования
adb shell appops get com.package.name | sed -n '1,120p'Второй тип проблемы — экспортированные activities/services/receivers/providers без permission= или со слишком широкими фильтрами. Так взламывали приложения через публичные broadcast-receiver’ы и content-provider’ы без read/write-пермишенов.
Ищется простым грепом:
apkanalyzer manifest print base.apk | sed -n '1,2000p' > manifest.txt
rg -n "<(activity|service|receiver|provider)[^>]*exported=\"true\"" manifest.txt
rg -n "<provider[^>]*exported=\"true\"(?![^>]*readPermission)(?![^>]*writePermission)" manifest.txtДальше уже предметно: есть ли intent-filter на широкие системные интенты, нет ли grantUriPermissions на весь мир.
Еще две вещи, которые часто пропускают: android:usesCleartextTraffic="true" и кастомный networkSecurityConfig, разрешающий пользовательские корневые сертификаты и HTTP.
Проверка:
rg -n "usesCleartextTraffic|networkSecurityConfig|debuggable" manifest.txt
# если есть ссылка на xml-конфиг сети — смотрим его:
apktool d -s base.apk -o out && sed -n '1,200p' out/res/xml/network_security_config*.xmlВыводы
Манифест у Макса длинный, но это нормально для мессенджера. Камера, микрофон, гео и контакты работают только после вашего разрешения, а звонки/шаринг экрана идут с видимым системным уведомлением. Приложение собрано под Android 14: отдельное разрешение на уведомления, новые Bluetooth-права, READ_MEDIA_* вместо старых файловых. По самому манифесту по тотальной слежке у нас отмена.
Далее планирую разбирать дальше мессенджер в рантайме и посмотреть глубже другие механизмы.
Комментарии (64)
daniillnull
22.08.2025 14:31Уже не в первый раз натыкаюсь на подобные статьи на хабре, и даже не могу отрицать, что тема с анализом MAX довольно актуальная, нооо...
Где же настоящий анализ? Не "давайте посмотрим манифест", "ой я посмотрел и увидел много разрешений" или "джява-классы обфусцированы какой ужас", а уже настоящий разбор того, что этот мессенжер делает: как и когда взаимодействует с сервером и какие данные передает (хотя бы общее представление), для каких конкретных сценариев запрашиваются сомнительные разрешения (та же разблокировка экрана) и другие факты, по которым можно справедливее оценить степень доверия к этому приложению.
А то сейчас от таких разборов складывается лишь разочарование (не в обиду автору)
alex1478
22.08.2025 14:31Вы что. Сейчас в тренде набросы от вайб-журналистов с ИИ экспертами по всем вопросам. А тем, кто может нормальный анализ провести - это не интересно
Недавно вот только была статья про телегу в таком же ключе - автор ни в чём не разобрался, но имел своё очень важное экспертное мнение. Пришлось за автора в комментариях дать ответ на тревоживший всех вопрос - почему, в тг не текстовый протокол внутри tls, как у всех. Жаль статью снесли, мне там столько плюсиков понаставили :(
SiGGthror
22.08.2025 14:31Таки почему же? Стало интересно
alex1478
22.08.2025 14:31Николай всегда любил придумывать оптимизированные протоколы. Это ещё со времен ВК. Про тг они когда-то, очень давно, на самом старте самого тг ответили, что Николай ещё во времена ВК придумал mtproto, но не было возможности его внедрить, хотя было желание. По этому тг они с самого начала сделали на mtproto, который уже тогда давно "лежал в столе".
И ещё я ответил, что mtproto, по сравнению с tls, не требует установки сессии с рукопожатием, а сразу начинает слать поток байт событий (сообщения, чанки файлов, статусы). А тк события в mtproto представлены в похожем на grpc виде, они не занимают много байт. И если в варианте с http api внутри tls нужно установить сеанс, запросить json с обновлением, отправить свой json с обновлением и всё это должно быть выполнено в рамках цельного сеанса связи, то тг при открытии соединения начинает слать и принимать поток байт, который в любой момент может быть прерван и продолжен уже в рамках следующего сеанса связи. Последнее позволяло тг работать при плохом интернете, что раньше часто отмечали в комментариях тут же на хабре. И в той же статье кто-то отметил, что во время последнего блэкаута в Европе, только через тг получалось текстовыми сообщениями обмениваться
polotenze
22.08.2025 14:31Все верно, но когда появились первые "анализы" макса, где чел дошел до того, что код обфусцирован, поэтому дальше не стал, и при этом только при наличии дефолтных разрешений сделал выводы, что "а значит может делать что-то нехорошее", большое количество людей повелось, и каждый считал своим долгом написать что макс небезопасен =)
Как говорится, ложечки нашлись, а осадочек остался.
xirahai
22.08.2025 14:31Недавно тут была статья, где Max сравнивался с Телегой и Ватсапом. Для объективности хотелось бы сравнить Max в плане возможностей сбора информации, с нативным майлрушным приложением ВК, которым давно пользуются миллионы граждан.
EmoCube
22.08.2025 14:31Если у обычного приложения внезапно заявлены вещи уровня
BIND_ACCESSIBILITY_SERVICE,SYSTEM_ALERT_WINDOW,REQUEST_INSTALL_PACKAGES,MANAGE_EXTERNAL_STORAGE,QUERY_ALL_PACKAGES,PACKAGE_USAGE_STATS, — это красный флаг.Да, это очень подозрительно, когда приложение использует эти разрешения....
Но что более странно, что у макса эти "подозрительные" разрешения видны через VirusTotal... (для справедливой оценки взята версия за июль до шумихи, когда всю слежку можно было "вырезать")
Есть этому какое-нибудь объяснение, почему так?
P.S. - разрешения разрешениями, это всё понятно.. Непонятно, почему яростно игнорируется факт, что разрешения можно использовать в любых целях... Но хотелось бы разбор, что, куда и какие данные макс передает на сервера..
AWE64
22.08.2025 14:31Отличная статья! Благодаря ей я понял, что нет повода для беспокойства!
Я думаю, в заключение неплохо бы смотрелось напоминание о том, что анализ анализом, а нужно доверять своему Государству и Отечественным разработчикам и не забивать голову ерундой, ведь, в конце концов, добропорядочному гражданину нечего скрывать и нечего бояться!
saidelman
22.08.2025 14:31Поэтому добропорядочные граждане не вешают шторы на окнах, не запирают двери и не блокируют телефон. Особо добропорядочные ещё и номер банковской карты вместе с пином и cvc/ccv на лбу татуируют /s
p07a1330
22.08.2025 14:31Вы бы уточнили что сарказм, а то если не понять - воспринимается своеобразно. Чуть чуть топорнее, чем искренние комменты выше
mosinnik
22.08.2025 14:31раз по тотальной слежке отмена, то не могу понять, почему нет ссылки на канал (или как там оно у них называется) в максе?
fisfordump
22.08.2025 14:31Да даже допустим "служба безопасности" будет следить за мной, и что тут такого? Мне нечего скрывать, ставлю и пользуюсь. Кому нужны твои фотки семьи и всякого рода банальных вещей?
Nengchak
22.08.2025 14:31Я недавно читал статью (не могу дать, ссылку, не помню), где просто бабушке шлют фотку ребенка , годовалого, голого. И в теории это уже относится к распространению кое-чего, что запрещено.
Zhabrozavr
22.08.2025 14:31Скопипащу чужой каммент
Куда, когда и по какой дороге ходит ребёнок.
Где задержалась жена.
Когда и на какой срок поехали в отпуск и квартира осталась без присмотра.
Когда купили какую-нибудь дорогую вещь.
Когда вам отдали большой долг.
Как зовут вашу собаку (чтобы раскрутить вашу маму отдать все деньги мошенникам дабы "спасти" вас от вымышленной беды.
И тд и тп.
Обычная бытовуха. Которая при попадании в чужие уши становится для вас небезопасной.Да, это собирается и так, но это вас нужно специально пасти. А тут автоматический сбор, автоматическая классификация и анализ. Товарищ майор продаст вас с потрошками и целеуказаниями как вас поиметь наиболее эффективным способом.
vitiok78
22.08.2025 14:31Товарищ майор, который проверяет ваши сообщения в Whatsapp, находится где-то на Вашингтонщине. А товарищ майор, который проверяет ваши сообщения в МАКСуте, живёт в вашем городе, может быть даже в шаговой доступности. А если у этого товарища в квартире лежит 9 миллиардов, и ему срочно понадобилась вот именно ваша квартира, чтобы положить туда ещё 9 миллиардов, которые уже не помещаются в первой? Думаете, такого товарища остановит ваша законопослушность? Ведь у таких товарищей есть девиз: "Был бы человек, а статья найдётся".
И вот в вашем мессенджере вдруг находят что-то такое, что очень сильно нарушает наши любимые законы. И все ваши жалкие попытки лепетать, что вас подставили, не имеют никакого влияния на самый справедливый суд в мире, потому что доказательства налицо...
kartashov_aa
22.08.2025 14:31Стоит заметить, что
android.permission.CHANGE_WIFI_STATEна том target, что указан, не позволит, например, включить WIFI, а лишь попросить пользователя подключиться к конкретной WIFI сети с уведомлением
DikSoft
Установится ли и запустится ли приложение, если ему не дать все эти разрешения?
Предположим, что всё хорошо и лишних (?) доступов оно не получает.
Идём далее:
Вопрос доверия к сервису не ограничивается доверием к клиентскому приложению.
Через сервер идёт вся информация в незашифрованном виде, т.е. всё что говорится и пишется проходит через контролируемый государством сервер и там и хранится.
Вы бы доверили личную переписку такому сервису?
IgnatF
Если есть недоверие, то нужно какие то другие инструменты для связи использовать. А не мессенджеры.
xZeddushka
А лучше доверить тем, кого даже государство не контролирует? Я просто замечу пару фактов:
Стоит написать в популярных мессенджерах фразу, явление - тебе через время в рекламе оно начнёт попадаться
Заблокированный телефон лежит экраном вниз (не важно, это работает на iOS и Android). Вы говорите фразу. Через 3-5 дней вам будет попадаться реклама с этой фразой.
В приложениях (особенно, бесплатных) и играх вы даже не читаете EULA - всё спокойно сливается и торгуется.
В общем, это как замечать сор в комнате гостей, когда у тебя дома просто свалка.
ИМХО, конечно, но больше вопросов в плане:
А зачем новый мессенджер от mail.ru, если уже есть у них vk, мессенджер vk и недавно убитая аська?
Уже бы давно закрыли этот гадский зоопарк мессендежров, а то одни пишут в один мессенджер, другие - в другой, третьи в третий, "куриные" чатики детсадов и школ - в следующем...
djton1k
Попробуйте возле телефона говорить менее очевидные для себя вещи - аренда крана-манипулятора, снять квартиру в Хабаровске, виза в Аргентину и тд. И увидите, что рекламы на эту тему у вас не будет
GordonFreemann
Может никто не готов платить за рекламу аренды в Хабаровске?
Arris
Я попробовал... и вы знаете, теперь мне предлагают снять квартиру в Хабаровске (во множестве вариантов), рассказывают где можно арендовать кран-манипулятор и да, "как быстро получить визу в Аргентину" тоже на повестке дня.
... но это ерунда.
А вот когда после примерно такого звонка через телеграм (пару лет назад):
-- Где лекция-то?
-- Библиотека молодёжи.
-- Адрес скажи!
-- Да не помню я, на черкизовской где-то
-- Понял, найду
Яндекс-такси предложил мне ехать именно по нужному адресу, причем по точному адресу, а не "где-то на черкизовской"...
... у меня появились большие вопросы.
JustFunnest
А пруф скинуть? Мы на слово должны тебе поверить?
Arris
Джентельменам верят на слово.
Но ты, анон, можешь не верить, разрешаю.
net_racoon
Я понимаю что 15 р. это 15 р. Ну вы им скажите уже чтоб методичку то обновили. Нормальные люди давно поняли, что всплывающий баннер на озоне гораздо лучше штрафа/повестки на госуслугах.
YuriyPashkov
Перестаньте пожалуйста разгонять эту глупость. Никаких ресурсов даже у условных Apple/Google не хватит собирать, хранить и анализировать всю вашу болтовню 24/7. Контекстная реклама же по-другому формируется. Можете статью почитать полезную, к примеру
aMster1
В этот момент ( когда я слышу/вижу вопрос "Вы бы доверили личную переписку такому сервису?") у меня возникает встречный вопрос - а что такого вы обсуждаете в личной переписке? Размер трусов вчерашней подруги или где вещества, расширяющие сознание, прикупить? Я еще могу понять если вы обсуждали бы какое-то корпоративные, рабочие моменты, но и то с натяжкой, но вот личную переписку... кому она нужна? Если она действительно личная? Более того, если вещи обсуждаются чувствительные, никто их не пишет, максимум - голосом, а в большинстве случаев - тет-а-тет. Ибо в таких обсуждениях невозможно все выразить букавками.
Поэтому, повторюсь еще раз, люди прибегающие к данному аргументу сразу вызывают у меня сомнения - а что же ТАКОЕ они обсуждают в переписке, что им страшно что это кто-то прочитает...
fr33zy
Что обсуждают сегодня - завтра может стать вне закона или уже, просто вы пропустили. Скучающий товарищ майор сделает SQL-запрос и получит медальку, а вы - срок.
menz1
Типичная демагогия. То, что мне нечего скрывать не означает, что я готов всю свою жизнь делать достоянием общественности. Даже потенциально. Можете начать с себя и опубликовать всю свою переписку вот прям сейчас, вам же нечего скрывать.
Bonus2k
Помню, когда интернет был по-настоящему свободным и только принимали закон о СОРМ, люди тоже говорили: «Что вам скрывать? Это для вашей же безопасности». В итоге безопасности не прибавилось: но появился «пакет Яровой» с кольцевым месячным буфером всего трафика, запретами на публикации, на чтение. Но и этого товарищу майору оказалось мало — он уже лезет в телефон. А особо одарённые индивиды всё ещё продолжают вещать о том, что нам нечего скрывать.
theult
Тут вопрос, нужен ли будет такой мобильный интернет с постоянными отключениями, целыми районами полностью заглушенными, каждый день дорожающий и деградирующий. А с приложениями все проще. Когда-то Сбербанк отказался работать без разрешения на доступ к файлам и звонкам. Удалил неработающее приложение и нет проблем
avost
Куда, когда и по какой дороге ходит ребёнок.
Где задержалась жена.
Когда и на какой срок поехали в отпуск и квартира осталась без присмотра.
Когда купили какую-нибудь дорогую вещь.
Когда вам отдали большой долг.
Как зовут вашу собаку (чтобы раскрутить вашу маму отдать все деньги мошенникам дабы "спасти" вас от вымышленной беды.
И тд и тп.
Обычная бытовуха. Которая при попадании в чужие уши становится для вас небезопасной.
Да, это собирается и так, но это вас нужно специально пасти. А тут автоматический сбор, автоматическая классификация и анализ. Товарищ майор продаст вас с потрошками и целеуказаниями как вас поиметь наиболее эффективным способом.
archohan
то есть, по-вашему, это все делается, чтобы снизить cost'ы? Ваши опасения связаны с целенаправленной атакой на вас/семью, а в этом случае за небольшие средства вас продадут "с потрошками" владельцы приложений, установленных на вашем телефоне.
avost
Нет, не для этого. Но вопрос был чего люди боятся. Вот этого.
Нет. Внимательнее. Я же написал, что как раз в случае целенаправленной атаки это не особо важно. Речь о ковровых бомбардировках. Типа, - сегодня идём брать дом 25 по третьей улице Строителей, так, Барбара Брыльска из двенадцатой на работе до 19...
Коммерческим компаниям это не выгодно. Особенно, зарубежным. А, вот принудительно устанавливаемые приложения спецслужб, разработанные с целью перлюстрации - это оно и есть.
archohan
а что за ковровые бомбардировки на улице Строителей? Первый раз такое слышу
Насчет кристально честных зарубежных компаний вы сильно ошибаетесь. Задайте себе вопрос: за счет чего живут производители бесплатных программ, которые вы массово установили себе на телефон? Они сливают всю инфу о вас и на то и живут
avost
Господи, ну это утрированый пример же. Вместо того, чтобы узнавать, что фамилия богатого стоматолога - Шпак, определять где он живёт, звонить справляться о часах его приёма, тут обратный ход. Смотрим кого гарантированно нет дома в час Че, тех и обносим. Ага, попался Шпак - ну, пусть будет Шпак. А к соседнему Шурику не ломимся, да и, как показывают данные, брать у него нечего.
Я не говорил о кристально честных. Я говорил, что это невыгодно (стратегически). Ещё раз внимательнее.
Можете доказать, что программа, гммм, гммм, ну, скажем, Kindle, сливает мои разговоры и перемещения моих детей? Думаю, если сможете, станете героем дня во всех мировых интернетах ))
archohan
То есть мой вопрос о том, на что живут производители бесплатных программ, вы проигнорировали
Про брокеров данных тоже не слышали, видимо.
Требуете доказательства? Само наличие брокеров данных - доказательство. А вот вы докажите пожалуйста, что данные из Max будут использоваться в преступных целях.
avost
Вопрос настолько
глупыйнаивный, что я счёл его риторическим (чтобы вам не было обидно).Но если вы настаиваете... Так какой "брокер данных" киндла торгует моими разговорами и перемещениями моих детей? Или, хотя бы, собирает их. И какое мне дело до того, что брокер в Сиэтле узнает, что я вчера смотрел (по совету друзей) тех характеристики автомобиля москвич?
Да, и не надо мне рассказывать как зарабатывают на бесплатных приложениях - я разрабатывал (за деньги) одно опенсорсное и далеко не одно не опенсорсное, но вполне бесплатное(бесплатные) приложения. И, нет, ни разговорами, ни переписками, ни перемещениями и фотографиями детей мы не торговали ;). Возможно, это потому, что я не работал во фконтагте. Возможно, там у них профдеформация и
всё вокруг выглядит гвоздём, если в руке молотокони считают, что если они всё продают и доносят на собственных пользователей, то и все так делают, но это далеко не так.Почему "будут"?
МВД РФ: мошенники убеждают граждан перевести общение в Google Meet, FaceTime и мессенджер Max
https://forum.kaspersky.com/topic/не-пропадают-индикаторы-использования-камеры-51960/
Петербурженка потеряла 2,5 млн рублей через мессенджер MAX из-за мошенников
И это только начало.
archohan
брокер в сиэтле внезапно продаст данные Васе из подворотни; глобализация ёпта
вопрос не такой уж и глупый, как вам кажется. Откуда у брокеров данные? Ваш аргумент такой: я разрабатывал и там не было, а значит нигде нет; вот это наивно
ваши ссылки указывают на что вообще? что некоторые преступные пользователи пытались использовать Макс? что за глупые ответы
avost
Может и "внезапно продаст", но не продаёт. Внезапно. Наверное, потому, что он не продажная скотина из фконтагта и фсб.
Я тоже могу внезапно тюкать старушек топором за 20 копеек прибыли. Но не делаю это. И не утверждаю бездоказательно, что #фсетакделают.
Именно поэтому я попросил подтвердть ваши глупые выдумки фактами. Ответа, как я уже понял, не будет. Подтвердить вам нечем, а признаваться в преднамеренной лжи обидно. Живите с этим.
И это не аргумент, а ответ на ваш же вопрос знаю ли я на что живут разработчики бесплатных программ. Знаю. Причём не с потолка, а из неоднократного личного опыта.
Это ответ на ваш вопрос.
Включая втихушку его камеру? Да, именно так - преступные разработчики Хама незаконно собирали информацию.
Это у вас вопросы глупые. Помните свой вопрос? А вот вы докажите пожалуйста, что данные из Max будут использоваться в преступных целях. - так, свот, данные из Хама не "будут" использоваться, а уже широко используются.
А ответов у вас вообще никаких нет. Только горлопанство и пустобрёхство. #фсетакделают . ага. Все преступники так делают. Но не все - преступники. Внезапно.
archohan
Откуда взялось, что брокер из некоего сиэтла не продает/не продаст? Это какой-то "белый" брокер имеется ввиду? Ну и наивная простота. Про даркнет и досье на каждого не слыхали?
Далее. Какие факты вам нужны? Что в даркнете можно купить личные данные? Это требует доказательства разве?
Про ответ на вопрос чем живут разрабочики бесплатных программ. Как я и указал, ваша аргументация сводится к тому, что вы не замечали, что ваш заказчик этим занимается. И отсюда весело выходит, что все очень хорошие и никто не сливает в даркнет. Ну... комментировать эту чушь - зря время терять.
avost
,>Откуда взялось, что брокер из некоего сиэтла не продает/не продаст?
Оттуда, что вы так и не подтвердили свои выдумки.
Я много чего слыхал от таких как вы. С одним и тем же неизменным результатом. Все слились.. Вот, вам же не должно составить никакого труда подтвердить свои слова, опубликовав те данные про меня, что собрал из бесплатной программы киндл и продал в это "досье" про меня амазон. Ведь не составит же?
А вы не комментируйте. Вопрос был задан несколько итераций назад. Очень простой. Но вы как со4ивались, так и сливаетесь.
Воу, воу! #фсетакделают!
Это вы слились на вопросе, который сами же задавали. Но, мне не трудно, я вас в него ещё раз носопыркой потычу:
Помните свой вопрос? А вот вы докажите пожалуйста, что данные из Max будут использоваться в преступных целях. - так, вот, данные из Хама не "будут" использоваться, а уже широко используются.
Кроме того, чвы что, отрицате собственное утверждение о том, что #фсетакжелают? Все продают данные брокерам, кроме единственного Хама-Скама? Серьёзно? Как же так??? Громкие крики оказались на пустом месте?!?
Да, да, всё так, ведь мы просто антивирус не обновили на идеологически исправленную версию :facepalm :
В начале 2025 года вышла новая версия антивируса с исправлением этого бага. Вероятно те пользователи, у кого все ещё вылезает подобная плашка, не обновили приложение антивируса.
Итак, вам же не составляет труда подтвердить свои слова? Ведь не составляет же?! И, заодно, пояснить почему все продают, а только мессанджен Скам не продаёт.
Да, кстати. Чтобы вас дополнительно мотивировать, я только что закинул в собственный чатик Saved messages креды от одной своей карты с несколькими сотнями тысяч (к сожалению, не долларов) рублей. Это вам приз. Как только достанете эти данные от брокера из даркнета они ваши.
archohan
Ну и брехня) С Max перескочил на Касперского) Доказал))
archohan
по вашим ссылкам. Про 2 ссылки из 3-х вы запамятовали. Отсылаете только на третью ссылку - форум Касперского. Там про баг в Касперском, ветка заканчивается еще в 2024 году, когда Max еще не вышел. То есть громкие крики оказались на пустом месте. Хоть чуть-чуть проверяйте ваши источники.
И кто теперь пустобрех и горлопан, вы таки мне скажите. Живите теперь с этим, как вы изволили выразиться
Darevids
Вы же дверь в туалет не оставляете открытой, когда занимаетесь там своими делами?
Цифровая гигиена ничем не отличается — её никто не отменял.
Для айтишника игнорировать такие правила выглядит как минимум странно, а чаще — попросту глупо.
net_racoon
Ну нет проблем. Давай так, ты ставишь камеру во все комнаты у себя дома и транслируешь их онлайн. А что? Тебе же нечего скрывать. Ну, если не хочешь тратиться на камеры, чтобы показать какой ты тут герой- скинь скрины своих чатов в мессенджерах сюда. Ну тебе же нечего скрывать.
aMster1
Мне почему-то кажется что вы передергиваете. Ходить с голой жопой по улице и ходить по квартире - это немного разные вещи. Да, некоторые товарищи строят себе подземные бункеры, ставят окна с зеркальной пленкой, трехслойные жалюзи. Они не понимают наверное что если кому-то потребуется заглянуть к ним в окошко, то он это сделает.
У меня на окнах простые шторы. Это не значит что я хожу с хозяйством наперевес, просто я веду себя как мне удобно. На ночь задергиваю штору блекаут - чтобы свет с улицы не мешал. Если кто-то решит рассмотреть мое нижнее белье - вооружится биноклем или подзорной трубой и будет меня рассматривать - пусть страдает, объективно есть более привлекательные зрелища. Но это не значит что я пойду в таком виде в магазин.
pvsur
Если случайно это увидит ребенок, то у вас будут большие проблемы. Есть прецеденты...
aMster1
Увидит что?
Вы действительно не понимаете что написано выше? К чему оно написано и почему выбрана именно такая аналогия?
net_racoon
А вы сами то понимаете?
Это не аналогия, это демагогия. Вы сначала такой герой, написали что вам нечего скрывать, а как дошло до дела- придумали про шторы и что вам там что-то удобно.
Речь не про заглянуть в окошко. А про то что к вам в квартиру придет дяденька с погонами и с блокнотами. Будет слушать и фиксировать все ваши разговоры, контакты, что вы читаете, что вы и ваши друзья говорят о текущей ситуации и т.д. А потом, когда всю эту информацию применят против вас и таких как вы, вы будете: "Товарищ Сталин, произошла чудовищная ошибка!"
Вы в каком времени и в какой стране живете? Вы не видите что вокруг происходит?
Syrex
Оператор Мах'а - это ВК. Если ты что-то готов обсуждать в личке в ВК, то глупо бояться это обсуждать в Мах. Ну и да, переписка не шифруется и доступна спецслужбам, это правда. Если обсуждаешь что-то незаконное - лучше выбрать другой способ связи или хотя бы предварительно шифровать сообщения самостоятельно
Arris
Но если вы обсуждали в личке аниме-девочек, а потом вдруг стали шифровать сообщения - в этот момент вы попадаете на карандашик.
Потому что ваш паттерн резко изменился.
Syrex
Ну так и в телеге если ты годами общался в облачных чатах, а тут вдруг секретный создал с кем-то - это подозрительно.
ReadOnlySadUser
Как показывает практика, что законно сегодня, завтра уже статья)
Syrex
Ну поэтому использовать Мах как корпоративный мессенджер в бюджетных организациях или для получения кодов подтверждения банков - норм. Но чатик где политику обсуждаешь с друзьями лучше в другом месте заводить)
net_racoon
В другом телефоне, а этот отключать.
geher
Если бы была такая возможность, я бы не доверял свою личную переписку вообще никому, кроме тех людей, которым она адресована (каждому в части, которая именно ему адресована). А иногда и самому адресату доверять не хочется. И не потому, что мне "есть что скрывать", а просто потому, что неприятно, когда кто-то может залезть в личное и порыться там.
Но жизнь таки вынуждает доверять эту самую переписку кому попало: телеге той же, вацапу, электронной почте или еще какому сервису, в котором сидит мой собеседник. Если мне будут писать с макса, придется таки отвечать через макс, точно так же, как я отвечаю сейчас через телегу и вацап и отвечал раньше через аську, жабу, какие-то сервисы гугла и т.п..
Banderlogin43rus
То есть WhatsApp, ТГ и другие приложения и мессенжеры доступа к камере, микрофону и т.п. не запрашивают считаешь? Поправь шапочку из фольги, на лоб сползла...
V1tol
Это хороший вопрос. В те времена, когда я делал iOS приложения, для прохождения аппстора одним из условий было - приложение должно иметь минимальный полезный функционал и не должно принудительно закрываться даже если ему не дать никаких разрешений. На своём айфоне для того же телеграма я сейчас могу спокойно отключить оставшиеся галочки и останется возможность текстовой переписки. Полагаю и для макса на айфоне можно сделать так же.
Grustok
Дайте, пожалуйста ссылку на факт подтверждающий ваше заявление «через сервер идёт вся информация в незашифрованном виде».
DikSoft
Сервис выполняет все условия пакета Яровой. ==> хранит всё ==> вся расшифрованная информация сохраняется на сервере. Этого достаточно?