Не так давно я писал у себя в канале о том, что считаю истерию по поводу мессенджера MAX раздутой и что я не видел ни одного исследования на тему того, насколько он реально опасен и насколько он отличается от других мессенджеров, которыми мы в России повсеместно пользуемся.

В этом посте я попробовал разобраться, настолько ли опасен MAX с точки зрения аналитика и что нам всем с этим делать.

Начнем с того, что я не нашел ни одного вменяемого исследования кроме одного поста на Хабре, где ноунейм автор разобрал APK Макса на запчасти и показал нам, что прячется в файле AndroidManifest.

Из этого поста мы узнали, что в нем есть такое:

• REQUEST_INSTALL_PACKAGES — может устанавливать другие приложения
• SYSTEM_ALERT_WINDOW — может показывать окна поверх других приложений
• RECEIVE_BOOT_COMPLETED — автозапуск при старте системы
• DISABLE_KEYGUARD — отключение блокировки экрана
• USE_FULL_SCREEN_INTENT — полноэкранные уведомления
• READ_CONTACTS, WRITE_CONTACTS — полный доступ к контактам
• ACCESS_FINE_LOCATION — точная геолокация. Постоянное отслеживание точного местоположения пользователя в реальном времени.
• CAMERA — доступ к камере
• RECORD_AUDIO — запись аудио
• READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE — доступ к файловой системе
• READ_MEDIA_IMAGES, READ_MEDIA_VIDEO — доступ к медиафайлам
• READ_PHONE_NUMBERS — доступ к телефонным номерам
• GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS — полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.
• USE_FINGERPRINT — доступ к биометрии
• INTERNET — полный доступ в интернет
• ACCESS_WIFI_STATE, ACCESS_NETWORK_STATE — мониторинг сети
• Bluetooth разрешения — полный контроль Bluetooth
• CHANGE_WIFI_STATE — изменение состояния Wi-Fi.

И еще всякое разное и на этом этапе я хочу остановиться потому, что автор не разобрал суть и логику таких доступов, а просто накидал тезисов и типа думайте сами. В моем понимании, это чистая манипуляция с целью хайпануть, что автор в итоге и сделал.

Например:

• Доступ к контактам нужен для того, чтобы можно было связаться с кем-то из своей записной книжки.
• Доступ к камере и микрофону — понятная опция, которая нужна мессенджеру.
• Запись аудио нужна для того, чтобы писать долбанные голосовухи.
• Доступ к геолокации, который так тревожит многих, нужен для того, чтобы размечать те же фотки геометками и чтобы можно было поделиться геометкой как пассивной, так и активной.
• Полный доступ в интернет со всеми опциями мониторинга сети — тоже понятная опция, ведь мессенджеру надо понимать в какой среде он находится.
• Держать трубку постоянно включенной — тоже понятная опция т.к. иначе во время видеозвонков телефон бы просто блочился прямо во время разговора.
• Ну и вишенка с тем, что данные отправляются на сервера ВК. Лол, вас же не волнует, что данные с Whatsapp отправляются прямиком в Штаты? или это другое, понимать надо? 🙂

Что касается экзотичных “полный доступ к аккаунтам”, “устанавливать приложения”, “root доступ” и все в этом духе, то автор тактично умолчал о том, что разработчики мобильных ОС далеко не дебилы и приложения в них запускаются внутри так называемых песочниц (sandbox), суть которых заключается в том, чтобы любое пользовательское приложение запускалось в изолированной среде.

То есть, все приложения имеют доступ только к собственному окружению и библиотекам. Окружения других приложений и системные ресурсы для них недоступны.

Когда вы выдаете на своем Android смартфоне доступ к местоположению, например, то приложению ядром назначаются идентификаторы заранее определенных разработчиками ОС групп. Приложение не может само взять и добавить к своему UID группу root, необходимую для доступа к процессам и окружению других пользовательских и системных приложух.

Кроме того, в Apple трубках есть аппаратное шифрование AES, которое шифрует всё с помощью изолированного независимого чипа. То есть, даже если MAX сможет вытащить какие-то файлы из айфона, то он просто не сможет их прочитать. О том, как работает магия Apple в плане защиты данных, можно прочесть вот тут.

Во-первых — проводить собственные исследования! DYOR или Do Your Own Research!

Если тема для вас чувствительна, то исследуйте ее сами. Даже то, что я накопал, я взял не из воздуха, а опирался на мнение разных комментаторов и потом копал. Особенно мне помогла верификацией Николая Якимова с VCгде по сути он выдал базу и оставалось только её верифицировать через другие источники. Респектую и благодарствую!

Во-вторых — надо понимать, что MAX уже здесь, в него вложено огромное количество ресурсов и он никуда не уйдет, разве что другим владельцам. Никто не будет разрывать интеграции с сервисами, никто не скажет: “Блин, не получилось, давайте вернем все как было”. Максимум, через какое-то время разблокируют звонки в Телеге, но MAX с нами и он уже встроен в цифровую архитектуру государства.

Можно долго и упорно сопротивляться потому, что кто-то там сказал, что MAX за вами следит и вы ему поверили на слово, вместо того, чтобы разобраться в теме, но здесь вы сами стреляете себе в ногу потому, что пока все гоняют на классных электробусах, вы будете ходить пешком потому, что все идет к аналогу китайского WeChat, который будет пронизывать вообще все сферы жизни.

Хотите приватности, которой уже давно нет? Не общайтесь через MAX на чувствительные темы, а лучше вообще встречайтесь где-то лично и обсуждайте, хотя везде же камеры с распознаванием лиц и нейронки, которые умеют читать по губам 🙂

Приватность сейчас дорогого стоит, но нужна ли она вам в повседневности? Вы думаете, что товарищу майору интересно знать, что вас попросили купить в магазине или что вы шутите с другом гейские шутки? Уверен, что нет.

Скорее всего вы подумаете, что Костю проплатили и вообще, но на самом деле мне просто было интересно понять и я для себя разобрался, а то, что я выложил инфу в паблик — это просто жест доброй воли для тех, кто исследует тему.

У меня нет задачи навязать вам MAX и убедить его установить. Я просто говорю о том, что рано или поздно, с высокой вероятностью, возникнет ситуация, когда вы его сами установите потому, что через него решить задачу будет быстрее и удобнее, чем без него, а время ждать не будет.

Это не только наш прикол, который мы взяли у китайцев. В ЕС абсолютно та же история, просто они, как обычно, тормозят. Можете сами погуглить. Если гуглить хорошо, то 1984 Оруэлла, которым всех пугают, больше будет похож на них, чем на нас 🙂

Я еще чуть глубже копнул потому, что мне напомнили, что мессенджеры работают как по модели Peer-To-Peer, когда сообщения идут в обход сервера, так и по модели Client-Server, когда сообщения сначала попадают на сервер, а потом перенаправляются на получателя.

В случае с MAXом исользуется модель Клиент-Сервер, как и в случае с WhatsApp, но вот в Телеграме релизована модель Peer-To-Peer с End-To-End шифрованием и если у вас какие-то чувствительные к утечкам разговоры, то лучше их вести в Телеге. К тому же, Телеграм в России заблокирован частично, поэтому им все еще можно спокойно пользоваться.