19.05.2026 10:10
😈 Большой брат всегда рядом: реверсер рассказал о тайной работе мессенджера Max — Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор…
😈 Большой брат всегда рядом: реверсер рассказал о тайной работе мессенджера Max
— Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор APK мессенджера Max и обнаружил:
1. Макс отправляет на сервера VK то какие у вас скачаны приложения.
2. Детекцию VPN — приложение проверяет наличие VPN‑соединения и по команде сервера может полностью заблокировать вам доступ к чатам и мини‑аппам, пока вы его не выключите.
3. Тотальный трекинг адресной книги — MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.
4. Обход Google Play и жесткий Force Update — сервер может заблокировать работу текущей версии приложения и принудительно установить апдейт со своего CDN, причем в коде заложена возможность ставить APK в обход системы.
5. Управление NFC‑чипом из мини‑апп — любое внутреннее мини‑приложение может без предупреждения передать на NFC‑терминал свой кастомный payload (например, имитировать пропуск или карту).
6. Фейковые чаты.
7. Удаление сообщений из базы пушами — сервер может отправить скрытый пуш‑запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа, или незаметно запросить ваши координаты.
8. Отключение TLS‑валидации и RCE.
9. Передачу номера (Mobile ID) по открытому HTTP — для авторизации без SMS мессенджер шлет запросы операторам в незашифрованном виде, чтобы те вписывали ваш номер в заголовки. Этот же механизм доступен системным мини‑аппам без вашего ведома.
10. ❗️ Скрытый SDK деанонимизации и запись звука — обфусцированный модуль trace_flow собирает реальные IP‑адреса в обход VPN, а функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.
11. Аппаратный фингерпринт через Widevine DRM — для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства.
12. ZipSlip уязвимость в DownloadService (Удаленное исполнение кода).
13. И много всего другого
На сколько информация правдива пока не понятно
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
— Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор APK мессенджера Max и обнаружил:
1. Макс отправляет на сервера VK то какие у вас скачаны приложения.
2. Детекцию VPN — приложение проверяет наличие VPN‑соединения и по команде сервера может полностью заблокировать вам доступ к чатам и мини‑аппам, пока вы его не выключите.
3. Тотальный трекинг адресной книги — MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.
4. Обход Google Play и жесткий Force Update — сервер может заблокировать работу текущей версии приложения и принудительно установить апдейт со своего CDN, причем в коде заложена возможность ставить APK в обход системы.
5. Управление NFC‑чипом из мини‑апп — любое внутреннее мини‑приложение может без предупреждения передать на NFC‑терминал свой кастомный payload (например, имитировать пропуск или карту).
6. Фейковые чаты.
7. Удаление сообщений из базы пушами — сервер может отправить скрытый пуш‑запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа, или незаметно запросить ваши координаты.
8. Отключение TLS‑валидации и RCE.
9. Передачу номера (Mobile ID) по открытому HTTP — для авторизации без SMS мессенджер шлет запросы операторам в незашифрованном виде, чтобы те вписывали ваш номер в заголовки. Этот же механизм доступен системным мини‑аппам без вашего ведома.
10. ❗️ Скрытый SDK деанонимизации и запись звука — обфусцированный модуль trace_flow собирает реальные IP‑адреса в обход VPN, а функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.
11. Аппаратный фингерпринт через Widevine DRM — для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства.
12. ZipSlip уязвимость в DownloadService (Удаленное исполнение кода).
13. И много всего другого
На сколько информация правдива пока не понятно
🗣 Ссылка на чтиво
🧑💻 Этичный хакер