Чем может быть опасен "национальный мессенджер MAX"?

[T0R_US3R]

ВНИМАТЕЛЬНО ЧИТАЕМ ПЕРЕД ПРОЧТЕНИЕМ ОСНОВНОЙ СТАТЬИ!!!



В данной статье будет говориться о гипотетических(или же теоретических) рисках использования «национального мессенджера MAX». Бесспорно, практически всё, о чём я здесь напишу может произойти и с другими мессенджерами, но в связи с тем что данный мессенджер нам навязывают как многофункциональный сервис с возможностями госуслуг(по аналогии с китайским WeChat), риски использования здесь намного выше.

Всё написанное в данной статье является исключительно мнением автора, с которым вы можете как согласиться так и поспорить



Прочитали? Молодцы!





Оглавление​

Мессенджер MAX от VK, что о нём известно на сегодняшний день? Ну например что есть закон

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Дума приняла его 10 июня 25 года, СовФед — 18 июня, а уже 24 июня на сайте

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

появилась новость о том, что президент подписал данный закон. И то что данный софт выпущен именно под этот закон нет никаких сомнений. Ещё известна хохма о том, что для продвижения будут использоваться исключительно рыночные методы конкуенции(найду видео, обязательно вставлю ссылку). Также известно о том что данный софт уже вскрыли и обнаружили некоторые неприятные сюрпризы. Я не буду тут рассказывать о том что он запрашивает доступ ко всем файлам или уведомлениям. Подобные разрешения есть и у других мессенджеров(например у того же Telegram), однако не могу не отметить что так же есть и разрешения, которые явно не нужны обычному мессенджеру. Например разрешение на изменение состояния сети, или же более простыми словами — включение/отключение интернета. У телеграма такого нет, а у MAX’а есть. И не буду говорить о то что некоторые куски его кода взяты из библиотек американского, польского и украинского происхождения. И даже не буду пугать тем, что чуть ли не каждые 5 минут

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, ибо лично у меня доказательств нет. Об этом уже и так везде и всюду сказали.

Давайте теперь перейдём к теме статьи.

Чем может обернуться использование MAX?​

Спойлер: 1. Мошенники

Не спорю, пункт довольно спорный, учитывая что мошенники были и до Макса. Однако в то же время я напомню, что блокировку звонков в WhatsApp и Telegram

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Что интересно, ЦБ РФ умудрился разбить данное оправдание опубликовав «

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

» со статистикой. В том числе в статье приводится круговая диаграмма с процентным соотношением использования тех или иных «каналов обмана». По этим данным выяснилось, что в мошенничестве лидирующую позицию занимает телефонная связь. Это к вопросу о честном продвижении макса за счёт рыночного конкуриования.

Более того, уже стало известно о нескольких случаях мошенничества с применением данного мессенджера. И речь даже не о краже аккаунта на госуслугах, об этом ещё поговорим. Речь о деньгах. Уже известен случай кражи 12 лямов рублей. Много ли это? Да! И поверьте, его станет ещё больше.
И сразу отвечу скептикам, мол, „ваабще-та, машеники не смогут заригистрироваца в максе, патаму шта у них нет расийских намиров“. Аргумент слабее некуда. Потому что существует куча сайтов, позволяющих получить временный номер любой страны, в том числе и России. Да блин, даже телеграм позволяет оформить есим для звонков и приёма смс, в том числе и для россии.

Спойлер: 2. Интеграции

Есть информация о том, что в макс собираются встроить сервисы от банков для оплаты и чуть ли не полноценные онлайн-банки, где можно будет проверять баланс, переводить деньги и так далее. Однако лично у меня остаются вопросы к безопасности соединения, через которое будут передаваться данные. Серьёзно, я буду сильно угарать, если через время выяснится, что никакой шифровки трафика при передаче данных не будет и провернуть какую-нибудь MITM-атаку будет как нефиг делать. Также я советую вспомнить о том, что в него собираются интергрировать госуслуги. Думаю вы понимаете чем такое может обернуться. Кстати, насколько мне известно, уже сейчас в мессенджер добавили возможности Госключа(электронная подпись) и госуслуги активно предлагают пользователям получать коды для подтверждения входа не по смс, а через макс.

Спойлер: 3. Госуслуги

Как я и написал чуть выше, госуслуги уже активно предлагают при каждой авторизации получать код для авторизации не по смс, а через мессенджер Макс. И это только начало. Как я и говорил, речь идёт о полноценной интеграции госуслуг в функционал данного приложения и чуть ли не привязки аккаунта в мессенджере к аккаунту госуслуг. И с этой интеграцией есть две опасности:

Спойлер: 3. Госуслуги

1. Шифрование трафика.
   Я уже говорил про это в предыдущем пункте.​
2. Более лёгкий доступ к аккаунту.
   Раз уж будет такая интеграция, то вполне реален и тот вариант, что злоумышленник, просто украв телефон, сможет по полной использовать чужой аккаунт, ведь всё что ему для этого нужно у него уже есть. А уж что будет при сливе данных… но об этом чуть позже​

Госуслуги
Как я и написал чуть выше, госуслуги уже активно предлагают при каждой авторизации получать код для авторизации не по смс, а через мессенджер Макс. И это только начало. Как я и говорил, речь идёт о полноценной интеграции госуслуг в функционал данного приложения и чуть ли не привязки аккаунта в мессенджере к аккаунту госуслуг. И с этой интеграцией есть две опасности:

1. Шифрование трафика.
   Я уже говорил про это в предыдущем пункте.​
2. Более лёгкий доступ к аккаунту.
   Раз уж будет такая интеграция, то вполне реален и тот вариант, что злоумышленник, просто украв телефон, сможет по полной использовать чужой аккаунт, ведь всё что ему для этого нужно у него уже есть. А уж что будет при сливе данных… но об этом чуть позже​

1. Персональные данные​

Несмотря на все рассказы о том, что персональные данные будут под защитой я в это не верю. Учитывая что разработкой занимаются люди из VK(а как мы знаем у вк есть много интересных багов и утечек данных о пользователях) я не могу быть уверен в том что данные будут в порядке. Более того, если вы почитаете пользовательское соглашение или политику конфиденциальности макса, то вы будете в шоке. IP адрес, какие запросы делали, что писали, номер телефона, история просмотра встроенного браузера — это лишь некоторая часть того что смогут видеть не только соответствующие органы по запросу, но и абсолютно непричастная к государству контора myTracker(таргетинговая реклама короче). Да, ко всему прочему, в Максе будет реклама. Не удивлюсь, если со временем там повится платная подписка, позволяющая отключить эту самую рекламу. Да и не будем забывать, что даже ели вы захотите удалить свой аккаунт, то сразу вам его не удалят, так плюс и ваши данные будут храниться какое-то время на серверах. Так что по сути, у макса будет что-то вроде «досье» на каждого пользователя.

1. Появление PDF-файлов​

Я знаю что это есть и в других мессенджерах, однако в другие мессенджеры меня никто не загоняет, в отличии от школьников и студентов. Кстати там есть даже какой-то перенос из Сферума(тоже недомессенджер от вк, на который активно пересаживали школьников в том году). Пару раз мне попадались новости о том, что в школьные чаты в сферуме могли заходить совершенно левые люди, и далеко не факт, что эти люди не остались в этих чатах и не смогут перенести информацию из сферума в макс. Помню даже где-то в Красноярском крае вроде, родители выступали даже против сферума из-за того что нужно регистрировать детей в вк и сетовали на то что в вк можно найти много всякого контента.

К слову о школе, в конце июля я написал обращение в электронную приёмную Министерства просвещения Российской федерации по поводу принуждения использования мессенджера Макс в школах. Я получил ответ состоящий из 4 листов, однако из всех 4 листов основная суть была изложена в двух пунктах:

1. Цифровые сервисы(в том числе и макс) не являются обязательными к спользованию в учебном процессе​
2. Использование мессенджера закрепляется в локальных нормативных актах школы и минпросвещения не имеет к этому никакого отношения(ага конечно, охотно верим)​

1. Слив данных​

Пожалуй это самое опасное что может случиться, если вы используете мессенджер MAX(сколько раз я уже написал это словосочетание?). Думаю если вы прочитали всё то что изложено выше, то вам не надо объяснять чем опасен слив данных.А если вы до сих пор не поняли, то сейчас объясню.

Предположим какой-нибудь хакер каким-нибудь образом получит доступ к базам данных пользователей (в которых будут номера телефонов, имена, какие сервисы привязаны, и самое угарное(потому что будет реально угарно, если это будет храниться в открытом виде) данные для входа в госуслуги(последний пункт конечно маловероятен, но всё же)), то как вы думаете, что он сможет сделать, зная даже эти данные? Думаю пользователи данного форума уже всё поняли. При самых мирных обстоятельствах хакер продаст эти данные рекламным компаниям для холодных звонков, а вы будете удивляться как так получилось, что вам звонят и предлагают свечи от геморроя, хотя номер вы нигде не оставляли. Однако это самый мирный сценарий. Более опасный сценарий выглядит так: хакер выгружает всю эту информацию и формирует что-то вроде архива, который:

1. Он может использовать сам для дальнейших действий, которые я опишу​
2. Он может продать эту информацию где-нибудь на просторах рударка и получить солидные деньги, а уже те, кто купил этот архив могут провернуть то, о чём я расскажу далее​

Независимо от выбранного им варианта будут происходить следующие вещи:

1. Создание баз для обзвона и дальнейшей продажи
   Надеюсь мне не надо объяснять что это может повлечь за собой для «клиентов» из этой базы?​
2. Использование полученной информации с целью наживы.
   Тут могут быть разные варианты: от парсинга пользователей с дальнейшей фильтрацией по полу и возрасту, чтобы сделать страничку человека типа „познакомиться“, а потом под любыми предлогами вытянуть деньги или ещё что-то чтобы потом шантажировать и вытягивать ещё больше денег, и до банального мошенничества с фишингом или вытягиванием аккаунта в максе и дальнейшем на госуслугах. Вы ведь не забыли о чём я писал в 3 пункте? Так вот, там есть строчк про получение кода для входа в госуслуги в максе. Примерно схема может выглядеть так: мошенник звонит под видом технической поддержки макса и всяким пиздежом добивается того что жертва даёт ему код для входа в макс, затем он чекает есть ли на аккаунте в истории сообщений коды для входа в госуслуги, и просто по тихой, через восстановление пароля и получение кода в максе, входит в госуслуги и меняет номер телефона и метод подтверждения авторизации. И всё. Дальше аккаунт может пойти на отработку по микрозаймам и букмекеркам или пойти на продажу. А даже если не найдёт, то в ход пойдёт вторая часть плана, и там ещё какими-нибудь неправдами выманят код для госуслуг, а дальше всё пройдёт так, как я описал выше. Да и думаю начнут заодно и доступ к аккаунтам макс продавать.​
3. Использование полученных данных для докса
   Ну, тут и так думаю понятно.​

Однако как мне кажется, хуже хакера будет если это сольёт кто-то из сотрудников. Ведь будем честны, несмотря на то что этот мессенджер нам преподносят как национальный — это не значит что его разрабатывает государство. Конечно можно долго говорить о том что вк под государством и всё такое, того факта что всё же его делает частная компания, и шанс того что в какой-то момент она кииет разработчиков на бабки всегда есть. И в таком случае какой-нибудь из этих разработчиков мало того что может слить базу данных, так ещё и может добавить какой-нибудь бэкдор, или если он уже есть, то обязательно продаст или распространит эту информацию, а уже остальные сделают остальную работу. И чем это может обернуться одному только разрабу, который это сольёт будет известно. А может это обернуться последствиями разных масштабов: от банальной кражи аккаунтов и до слива чужих переписок, фото, видео или кражи личных данных и денег.

Фух, ну вроде всё. Жду комментариев в духе „пиздец воды налил“

Заключение​

Какой из всего этого можно вынести итог? Да очень простой. Мало того что MAX является в какой-то степени шпионским ПО, так ещё и есть огромный риск потерять все свои данные, аккаунты и даже деньги.

Стану ли я пользоваться этим мессенджером? Нет.

Стоит ли пользоваться им вам? Решайте сами.

Ещё раз напомню, что всё сказанное является лишь мнением автора, с которым вы можете как согласиться, так и поспорить в комментариях.

Спасибо что прочитали​

 

[T0R_US3R]

Сорян за оформление. Пытался выправить, но не получилось.

 

[AVGUSTO]

Я этот мессенджер не устанавливал ни разу,более того кроме элемента другими не пользуюсь.

 

[hedgehog951]

Лучше с ним не связываться, очевидно, что это не для нашего блага делали.

 

[Me13]

Есть учителя в общеобразовательных школах, конечно далеко не все, которые под МАХ купили новый смартфон и симку. Даже они заморачиваются по этому поводу))

 

[Gasthouse]

Национальный мессенджер Max приравняли к паспорту: подтверждать возраст через Max можно будет при покупке алкоголя, энергетиков и сигарет

Теперь, если вы забудете документ, продавцы будут требовать показать аккаунт.

Норма оформлена как поправка ко второму чтению законопроекта о внесудебной блокировке сайтов с информацией об онлайн-продаже табачной и никотиносодержащей продукции. Поправки меняют сразу несколько федеральных законов: так, через Max можно будет подтверждать возраст не только при покупке сигарет или вейпов, но и, например, при участии в лотереях и посещении мероприятий.

 

[Stereotypes]

В инете есть разные отзыввы (на том же пикабу видел), то как после установки МАКС постоянно камера каждые 5 минут активируется, то как 6гигов данных за ночь сливается куда-то...

 

[Escape Especially]

Что, что, что что, тут происходит?????? Реально Макс шпиона????

 

[T0R_US3R]

Посмотреть вложение 2394062
Национальный мессенджер Max приравняли к паспорту: подтверждать возраст через Max можно будет при покупке алкоголя, энергетиков и сигарет

Теперь, если вы забудете документ, продавцы будут требовать показать аккаунт.

Норма оформлена как поправка ко второму чтению законопроекта о внесудебной блокировке сайтов с информацией об онлайн-продаже табачной и никотиносодержащей продукции. Поправки меняют сразу несколько федеральных законов: так, через Max можно будет подтверждать возраст не только при покупке сигарет или вейпов, но и, например, при участии в лотереях и посещении мероприятий.

Вот это плохо хотя бы потому, что для этого придётся привязывать аккаунт на госуслугах. А мошенники уже активно используют Макс для кражи аккаунтов госуслуг. Про продажу аккаунтов я промолчу.