Канал VPN Liberty утверждает, что нашли модуль удаленного управления в MAX.
Многие месяцы с момента появления MAX разгоняются теории о том, что мессенджер вовсе не простой, а троянский — то есть внутри него вшито много вредоносного. Слухи ходили разные: от наличия бэкдоров к чатам, до того, что апп буквально выкачивает всё с устройства, читая переписки из других приложений через фоновый доступ к экрану. История, конечно, красивая, но было одно "но" - отсутствие доказательств. Да, внутри находили какие-то метрики и трекеры, но на той же iOS все приложения работают в жесткой изолированной среде (песочнице), поэтому версии про чтение чужих переписок на этом этапе отпадали.
И вот, случилось то, что должно было - появились конкретные доказательства.
На профильном форуме NTC пользователи препарировали сетевой трафик приложения. Эти данные появились у нас в комментариях еще в декабре (если ты читаешь — низкий поклон за любознательность). На прошлой неделе это расследование шумело везде, но для понимания картины мы кратко повторим суть:
1. Мессенджер MAX пробивает ваш IP-адрес и делает он это необычно. Нормальное приложение стучится на, очевидно, собственный STUN-сервер, но наш родной Максимка простукивает 6 разных IP-чекеров (3 российских и 3 иностранных). Зачем? Сейчас поймете.
2. MAX проверяет доступность. Кого? Галя, ты сейчас упадешь: Telegram и WhatsApp. Проверив доступность заблокированных ресурсов и сверив IP, мессенджер отправляет эти данные на трекеры VK и OK (Одноклассники). Более того, внутри файла, который он отдает, есть строчка VPN со значениями да/нет. Фактически он отслеживает VPN и палит сплит-роутинг - когда туннель покрывает только заграничные соединения, не трогая внутрироссийские - для этого он и сравнивает адреса на разных чекерах.
После скандала пресс-служба мессенджера заявила, что никаких запросов не было. Ну это классика: «блокировок нет», «вам показалось», «сервера устарели».
Думаете, это всё? Нет.
Мы были бы не мы, если бы просто пережевали материал, который уже облетел все СМИ и каналы. Мы получили этот материал до его публикации везде и всюду, изучали его, но к вечеру того же дня его уже выложили все. Мы решили, что простое подтверждение - не интересно. Не в нашем это стиле.
Анализируя логи, мы заметили странность: есть дампы, где вышеуказанные проверки есть, а есть те, где они не проводятся. Мы стали искать в чем отличие и разница нашлась быстро: получение неких данных с домена st.max.ru, который вообще не фигурирует в срезах трафика, если проверки не запускались.
Вот как это выглядит в логах:
• В 17:46:54 уходит крошечный запрос (8 КБ) к st.max.ru от приложения MAX.
• В 17:47:11 открываются сразу 8 параллельных HTTPS-соединений к этому домену на 1,06 МБ! Интересный нюанс: 4 из 8 соединений сразу упали в ошибку, и приложение потянулось открывать их снова, сменив порты.
• В 17:47:29 получив свой увесистый мегабайт(а для простой служебной команды это размер целой книги!), MAX послушно запускает проверки IP и доступности запрещенки, а затем сливает собранный JSON на внутреннюю api.oneme.ru. То есть для передачи этих данных мессенджер не использует отдельные сессии, а хитро замешивает их в легитимный трафик самого приложения.
Вот оно, то, на что никто не обратил внимания, но то что на самом деле еще важнее: st.max.ru - это домен удаленного сервера который точно умеет руководить и руководит приложением в вашем смартфоне, приказывая ему сделать то, что попросят, загружая полновесные скрипты, команды и инструкции, которые содержат в себе действие, субъект действия (в отношении кого произвести действие) и форму отчетности о действии.
И поскольку эта "особенность" воспроизводится далеко не у всех подряд, а инициируется удаленно, мы делаем однозначный вывод: похоже, что это управляемый бэкдор.
А выводы сделайте сами.
Ссылка на пост в Телеграмме.