| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 19 лет 5 мес.
Сообщений: 6320
Ratio: 25.214
Поблагодарили: 13380
100%
|
Общая информация о приложении "Макс": Приложение "Макс" позиционируется как быстрый и лёгкий мессенджер для общения. Заявлены функции высокого качества звонков, анимированные стикеры, отправка файлов до 4 ГБ, а также наличие чат-ботов и мини-приложений. Распространяется на различных платформах: Android (через Google Play, RuStore, AppGallery), iOS (через App Store) и десктопные версии. Заявленный пакет приложения - ru.oneme.app (согласно AndroidManifest.xml). Обфускация кода: Значительная часть кода приложения, особенно в модуле com.my.tracker.obfuscated, подвергнута обфускации. Имена классов ( e0, c1, y2, b3, f1 и т.д.), методов (a(), b(), c()) и переменных в этих обфусцированных файлах являются бессмысленными и короткими, что делает анализ логики работы приложения крайне затруднительным без деобфускации. Обфускация часто используется для затруднения обратной разработки и скрытия истинных функций кода.
Собираемые данные (модуль MyTracker): Модуль com.my.tracker (судя по MyTracker.java, MyTrackerConfig.java, MyTrackerParams.java) отвечает за обширный сбор пользовательских данных и событий. Основные категории собираемых данных: Пользовательские события: Рекламные события (trackAdEvent): Информация о взаимодействии с рекламой.
События покупок (trackAppGalleryPurchaseEvent, trackPurchaseEvent): Детали о приобретениях, включая ID продукта, цены, валюты, и дополнительные параметры.
Общие пользовательские события (trackEvent): Универсальный сбор произвольных событий с настраиваемыми параметрами (например, название события, категория, значение).
События приглашений (trackInviteEvent): Отслеживание приглашений пользователей.
Запуски приложений (trackLaunchManually): Фиксация каждого ручного запуска приложения.
События уровней (trackLevelEvent): Прогресс пользователя по уровням.
События входа (trackLoginEvent): Информация о входах пользователя, включая ID и метод входа.
События мини-приложений (trackMiniAppEvent): Активность пользователя в мини-приложениях.
События регистрации (trackRegistrationEvent): Детали о процессе регистрации пользователя.
Время, проведенное в приложении/на событии (incrementEventTimeSpent, startAnytimeTimeSpent, stopAnytimeTimeSpent, startForegroundTimeSpent, stopForegroundTimeSpent): Детальная статистика использования приложения. Персональные данные пользователя:Возраст (getAge, setAge).
Пол (getGender, setGender).
Пользовательские ID (getCustomUserId/getCustomUserIds, setCustomUserId/setCustomUserIds).
Адреса электронной почты (getEmail/getEmails, setEmail/setEmails).
ID из мессенджеров и соцсетей: ICQ ID (getIcqId), OK.ru ID (getOkId), VK Connect ID (getVkConnectId), VK ID (getVkId).
Номера телефонов (getPhone/getPhones, setPhone/setPhones).
Язык интерфейса (getLang, setLang).
Специальные ID, связанные с MRGS (getMrgsAppId, getMrgsId, getMrgsUserId).
Произвольные кастомные параметры (getCustomParam, setCustomParam): Позволяют разработчикам собирать любую дополнительную информацию. Данные атрибуции:Диплинки (getDeeplink из MyTrackerAttribution): Источники перехода пользователя в приложение (например, из рекламных кампаний или внешних ссылок).
Данные системы и действия с ней (AndroidManifest.xml): Файл AndroidManifest.xml описывает запрошенные разрешения и компоненты, которые позволяют приложению взаимодействовать с операционной системой и собирать системные данные. Основные запрашиваемые разрешения:Доступ к сети и местоположению:android.permission.INTERNET: Полный доступ к сети.
android.permission.ACCESS_WIFI_STATE, android.permission.ACCESS_NETWORK_STATE, android.permission.CHANGE_NETWORK_STATE, android.permission.CHANGE_WIFI_STATE: Доступ к состоянию Wi-Fi и сотовой сети, возможность изменять их состояние.
android.permission.ACCESS_FINE_LOCATION, android.permission.ACCESS_COARSE_LOCATION: Получение точного и приблизительного местоположения пользователя (GPS, Wi-Fi, сотовые сети). Доступ к данным пользователя:android.permission.READ_CONTACTS, android.permission.WRITE_CONTACTS: Чтение и изменение списка контактов.
android.permission.GET_ACCOUNTS, android.permission.AUTHENTICATE_ACCOUNTS, android.permission.MANAGE_ACCOUNTS, android.permission.USE_CREDENTIALS: Доступ к учетным записям на устройстве, управление ими и использование учетных данных.
android.permission.READ_PHONE_NUMBERS: Чтение телефонных номеров с устройства.
android.permission.READ_EXTERNAL_STORAGE, android.permission.WRITE_EXTERNAL_STORAGE (до SDK 28/32): Чтение и запись файлов на внешнем накопителе.
android.permission.READ_MEDIA_IMAGES, android.permission.READ_MEDIA_VIDEO, android.permission.READ_MEDIA_VISUAL_USER_SELECTED: Доступ к изображениям и видео. Доступ к аппаратным возможностям:android.permission.CAMERA: Доступ к камере.
android.permission.RECORD_AUDIO: Доступ к микрофону для записи звука.
android.permission.BLUETOOTH, android.permission.BLUETOOTH_ADMIN, android.permission.BLUETOOTH_CONNECT: Полный контроль над Bluetooth-соединениями.
android.permission.USE_BIOMETRIC, android.permission.USE_FINGERPRINT: Использование биометрических данных (отпечатков пальцев). Управление системой и уведомлениями:android.permission.POST_NOTIFICATIONS: Отправка уведомлений.
android.permission.SYSTEM_ALERT_WINDOW: Отображение контента поверх других окон.
android.permission.RECEIVE_BOOT_COMPLETED: Автозапуск при включении устройства.
android.permission.WAKE_LOCK: Предотвращение перехода устройства в спящий режим.
android.permission.DISABLE_KEYGUARD: Отключение блокировки экрана.
android.permission.MODIFY_AUDIO_SETTINGS: Изменение настроек звука.
android.permission.REQUEST_INSTALL_PACKAGES: Запрос на установку других приложений.
android.permission.DOWNLOAD_WITHOUT_NOTIFICATION: Загрузка файлов без уведомлений.
Разрешения для работы со значками уведомлений на различных лаунчерах (Samsung, Sony, Huawei, Oppo, HTC и другие). Интеграция с сервисами Google:com.google.android.gms.permission.AD_ID: Доступ к рекламному идентификатору Google.
com.android.vending.BILLING: Работа с платежной системой Google Play.
com.google.android.c2dm.permission.RECEIVE: Получение push-уведомлений.
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE: Получение данных о реферере установки. Основные компоненты и их функции:Activity:
MainActivity: Основной экран, может принимать интенты для обмена данными (android.intent.action.SEND).
LinkInterceptorActivity: Перехватывает HTTP/HTTPS и кастомные схемы (max) для обработки диплинков, потенциально контролируя веб-трафик.
CallNotifierFixActivity: Отображает информацию о звонках на экране блокировки.
Service:
ContactsSyncService: Служба синхронизации контактов.
NotificationTamService, FcmMessagingService, FirebaseMessagingService: Службы для обработки push-уведомлений.
OneMeMediaSessionService, OneMeDownloadService, MediaProjectionService: Службы для работы с медиа-контентом, загрузками и захватом экрана.
UploadService: Служба для загрузки аналитических данных.
CallServiceImpl: Служба, связанная с функциями звонков.
androidx.work.impl.foreground.SystemForegroundService: Использует службы переднего плана для microphone|camera|location|mediaPlayback|dataSync, что означает, что эти функции могут работать в фоне с уведомлением.
Receiver:
BootCompletedReceiver: Запускает приложение при загрузке системы.
TimeChangeReceiver: Реагирует на изменение системного времени.
CallsMediaButtonReceiver: Обрабатывает нажатия на медиа-кнопки (например, на гарнитуре).
Provider:
FileProvider, NotificationsImagesProvider: Предоставляют контролируемый доступ к файлам.
Используемые аппаратные особенности (uses-feature): Приложение может использовать: сенсорный экран, функции телефонии, геолокацию (GPS и сетевую), акселерометр, камеру (с автофокусом), датчики света, компаса, гироскопа, барометра, приближения, а также Bluetooth. Детальный отчёт по анализу приложения "Макс"Сравнение безопасности мессенджеров Telegram, WhatsApp, MAX Messenger |
|
|
 |
Starck
Стаж: 16 лет 4 мес.
Сообщений: 561
Ratio: 163.659
Поблагодарили: 73
100%
|
Много всего. А есть что-то среди всего этого многообразия, что он не собирает и доступ к чему не имеет? |
_________________
Смешно с всемирной тупостью бороться, - реплика графа Резанова рок опера Юнона и Авось
|
|
|
|
IcedEarth
Стаж: 16 лет 3 мес.
Сообщений: 725
Ratio: 1.564
Раздал: 2.94 TB
16.37%
|
Ой ну фсе, теперь и гитхаб прикроют как "иносранного агента"  |
|
|
|
|
Starck
Стаж: 16 лет 4 мес.
Сообщений: 561
Ratio: 163.659
Поблагодарили: 73
100%
|
IcedEarth писал(а):  | Ой ну фсе, теперь и гитхаб прикроют как "иносранного агента" |
Эмм... Не хочу расстраивать, но GitHub уже внесен в реестр запрещенных сайтов Роскомнадзором. Не скажу когда, но вроде бы достаточно давно. |
_________________
Смешно с всемирной тупостью бороться, - реплика графа Резанова рок опера Юнона и Авось
|
|
|
|
my33oh
Стаж: 11 лет
Сообщений: 329
Ratio: 2.109
0%
|
"отчет" конечно забавный  кто не шарит - схавают на ура. афтар, а где такие же "отчеты" по телеге с вацапом? |
|
|
|
|
ElSwanko
Куратор Аниме
Модератор Музыки
Стаж: 19 лет 5 мес.
Сообщений: 22124
Ratio: 1474.568
Поблагодарили: 95416
100%
Откуда: ур-пространство преконтинуума
|
| my33oh писал(а): | кто не шарит - схавают на ура. |
На то и расчёт. Вон как хомячьё забегало и заверещало, такие смешные. А то, что это системные разрешения, которые запрашивают чуть ли не все приложения - об этом умалчивают. |
|
|
|
|
Minor748
Стаж: 10 лет 1 мес.
Сообщений: 344
Ratio: 1149.198
Раздал: 264.1 TB
97.27%
Откуда: Из роддома по талонам
|
Этот разбор — способ накинуть на вентилятор 😔 | Цитата: | Месяц назад выходил "глубокий анализ" мессенджера MAX. Но какой в этом толк, если нет сравнения с другими приложениями? Да и это больше походит на сырой материал, потому что часть информации не так важна, а то что важно — не прокомментировано должным образом и закопано среди остального.
А знаете в чём подвох? Этот "анализ" сгенерирован ИИ. Картинки в репозитории (там не только текст) ничего не значат (одна из них — скриншот ChatGPT). А "автор" у себя в профиле рекламирует свой закрытый телеграм-канал.
Честно, месяц назад и сам не сразу понял подвоха. Я так устал от этого MAX-слопа, что мне совсем не хочется разбирать эту тему. Вчера эту ссылку опубликовали в телеграм-помойке на 2,2 млн подписчиков. Но сегодня её запостили в одном профильном канале. Сказали, что сами изучили, и вывалили обыкновенные придирки, применимые к любым приложениям. Хотя в issues уже указали на фальшивость, и в комментариях сразу об этом сообщили, но пост ещё висит в нетронутом виде.(Ссылки в альт-текстах)
|
Источник | Цитата: | Тут вышел небольшой (большой) технический разбор лучшего мессенджера MaxПосмотрели сами и тут много любопытного: Во-первых, сам исходный код, значительная часть которого подвергнута обфускации. Намеренно скрыты структура и назначение отдельных компонентов. Во-вторых, сбор данных (MyTracker), про него все вокруг и говорят. Здесь собирается возраст, пол, телефон, e-mail, идентификаторы социальных сетей, а также фиксируются все события в приложении – регистрация, вход, покупки, использование мини-приложений, рекламная активность. В-третьих, разрешения приложения и компоненты (AndroidManifest). Макс запрашивает доступ к геолокации, контактам, файлам, камере, микрофону, Bluetooth, уведомлениям, биометрии, используется автозапуск, возможность установки APK и отображения окон поверх других приложений. Еще задействованы фоновые службы для звонков, синхронизации контактов, уведомлений и загрузки данных. Самое интересное начинается на моменте, что приложение обеспечивает автозапуск при старте устройства, а также использует foreground-службы с постоянным доступом к камере, микрофону и геоданным. Сам разбор большой и деталей тоже много, изучить можно тут. В целом же опасения подтвердились и оно буквально постоянно собирает пользовательские данные, а требуемые разрешения позволяют приложению осуществлять захват экрана устройства в фоновом режиме, то есть собирать абсолютно все действия. На активность камеры в фоновом режиме уже начали жаловаться и сами юзеры, об этом предупреждают даже уведомления антивируса "Касперского". Сами разработчики Макса утверждают обратное, впрочем, контактов для связи с ними для репортов о багах тоже не обнаружилось. Вывод: такое мы не устанавливаем, вот опенсорс – другое дело |
Источник |
|
|
|
|
Fiory
Стаж: 11 лет 7 мес.
Сообщений: 419
Ratio: 6.723
100%
|
Это всё конечно занимательно, но где заявленные российские разработки? Пока вижу только что он сотоит из кусков кода различных приложений, причём так ненавистных государству, от тех же мета, собраных по сусекам |
|
|
|
|
Kalex
Администратор
Стаж: 18 лет 6 мес.
Сообщений: 48467
Ratio: 260.696
Поблагодарили: 15877
100%
|
| Fiory писал(а): | Это всё конечно занимательно, но где |
Шашечки, или ехать? (с) |
|
|
|
|
volcano1640
Стаж: 11 лет 8 мес.
Сообщений: 487
Ratio: 5.266
12.96%
Откуда: CCCP
|
| ElSwanko писал(а): | | my33oh писал(а): | кто не шарит - схавают на ура. |
...Вон как хомячьё забегало и заверещало, такие смешные... |
и это куратор и модератор на nnm)) ясненько)  | ! | Примечание от NorthOn: | 2.3. Флейм, флуд, троллинг.
2.3. Переход на личности.
И куратор и модератор могут иметь свое мнение, которое... | |
|
|
|
|
Иван Кутейко
Стаж: 12 лет 11 мес.
Сообщений: 354
Ratio: 4.312
0.2%
|
Кто уж совсем боится, ставьте его на какой нибудь Google Pixel c GrapheneOS, ну или на Samsung в Knox папку , в общем в песочницу |
|
|
|
|
Likcaon
Стаж: 15 лет 4 мес.
Сообщений: 53
Ratio: 1.407
100%
|
А есть подобный анализ (вайбер, ватсап, телега) чтоб сравнить можно было, или уже готовые сравнительные анализы сабжа этой тройкой??? |
|
|
|
|
Bitter Fly
Стаж: 19 лет 4 мес.
Сообщений: 148
Ratio: 8.945
Поблагодарили: 558
100%
|
| Likcaon писал(а): | А есть подобный анализ (вайбер, ватсап, телега) чтоб сравнить можно было, или уже готовые сравнительные анализы сабжа этой тройкой??? |
В указанных выше источниках наткнулся на такой разбор. Если коротко - доступ к данным такой же, как у всех мессенджеров, ну и то что сыроват продукт. |
_________________
Two beer or not two beer?
(c)William Shake's Beer
|
|
|
|
emuxa
Стаж: 15 лет 4 мес.
Сообщений: 213
Ratio: 6.661
Поблагодарили: 5
100%
|
А что тут не так? Всё вполне ожидаемо, как и у остальных мессенджеров. По-моему, ничего подозрительного.
Если начнёте говорить о том, что "нас слушают, данные утекают" и т.д. - тогда возникает вопрос: на какие деньги живёт, например, WhatsApp? Или вы считаете, что Telegram зарабатывает только на премиум-подписках?
В итоге всё сводится к выбору: кто именно будет использовать ваши данные. Помните, если продукт бесплатный, то, возможно, продукт - это вы. |
|
|
|
|
fibi768
Стаж: 13 лет 4 мес.
Сообщений: 2113
Ratio: 1.606
100%
Откуда: Союз нерушимый
|
Справка для хомяков, Обфускация - процесс преобразования исходного или исполняемого кода программы в форму, которая сохраняет функциональность, но значительно затрудняет его анализ, понимание алгоритмов работы и модификацию. |
|
|
|
|
|
|
|
