Re: так ли страшен Max, как его малюют ? - О жизни

SC>вот пишут тут всякое про него — и что шпионит, и что не шифрует и т.д. и т.п.
SC>Бог с ним с нешифрованием, а если я буду использовать на ПК только веб-версию, то шпионаж остается актуальным или тут уже возможности для него существенно сужены ?

Как уже писали в теме был разбор на хабре: https://habr.com/ru/articles/1006666/
Т.е. в коде присутствует удаленно управляемый модуль для сбора данных о:
1) задействовании VPN Service в Android OS. Само по себе это не является прямой уликой, т.к. API VPN Service предназачено для любой обработки/фильтрации трафика, не обязательно для туннелирования, а например для блокировки рекламы, файерволов, снифферов
2) доступности некоторых из блокируемых ресурсов
3) внешний IP

Информация отправляется на сервера VK и потенциально может быть использована для выявления факта и средств обхода блокировок.
Важно также то, что сбор этих данных можно в принципе встроить в любое приложение или веб-страницу.

Самое простое решение: использовать средства обхода блокировок на отдельном устройстве исключительно с доверенными приложенями (поставщик вне юрисдикции РФ).

Альтернативное решение: использовать сторонние клиенты. Есть как написанные с нуля (https://4pda.to/forum/index.php?showtopic=1112164), так и в виде патча на оригинал.
(однако это не спасет от других потенциально шпионящих приложений)

Здравствуйте, bnk, Вы писали:

D>>Я, к примеру, Макс вообще не могу установить — у меня очередной российский номер примерно через пол года пропадает. Соответственно и госуслуг нет.

bnk>У меня последний российский номер больше 5 лет, проблем нет.
bnk>Билайн, тариф без абонентской платы. Если тебя не смущает "Z" в названии то рекомендую.
bnk>Отправляешь раз в 3 месяца СМС (можно самому себе) и все.

отправить смс чтобы номер не протух, кажется, скоро будет уже недостаточно, его нужно привязать к госуслугам, иначе есть риск блокировки. Как мне yota с моим 10-летним номером начала слать смс о блокировке после смены паспорта. И даже когда пришел в офис обновил данные, всё равно слали некоторое время, пока не раздуплились

Хотя нет, я вру, нужно просто подтверждение ПД, а номер на госуслугах появится сам. Проблема была как раз в том, что данные при регистрации перестали совпадать с данными госуслуг, и без личного визита эта проблема не решалась. У Билайна может быть по другому, и номер будет работать до самого апокалипсиса

bnk>Отправляешь раз в 3 месяца СМС (можно самому себе) и все.

Добавлю, что можно обойтись и без отправки SMS (например чтобы не вставлять SIM в аппарат).
Достаточно зайти в ЛК и подключить/отключить услугу с посуточной оплатой (например эту).
Правда ЛК иногда глючит и не принимает пароль, либо требует дополнительно SMS код.

(имеет смысл сохранять куки.)

Здравствуйте, m2user, Вы писали:

SC>>вот пишут тут всякое про него — и что шпионит, и что не шифрует и т.д. и т.п.
SC>>Бог с ним с нешифрованием, а если я буду использовать на ПК только веб-версию, то шпионаж остается актуальным или тут уже возможности для него существенно сужены ?

M>Как уже писали в теме был разбор на хабре: https://habr.com/ru/articles/1006666/
M>Т.е. в коде присутствует удаленно управляемый модуль для сбора данных о:
M>1) задействовании VPN Service в Android OS. Само по себе это не является прямой уликой, т.к. API VPN Service предназачено для любой обработки/фильтрации трафика, не обязательно для туннелирования, а например для блокировки рекламы, файерволов, снифферов
M>2) доступности некоторых из блокируемых ресурсов
M>3) внешний IP

Внимательно прочитал и как эксперт по сетевой безопаснсти скажу так — статья заказуза и в целом подкормка для параноиков/щизофоеников, так как ничего не доказывает.

Что бы отловить пользователей классического VPN не нужен никакой нахрен максик — просто сделать фейковые днс сервера, наблюдать за подключением и все.
Тунелировать VPN трафик можно и через https и ты вообще его никак не обнаружишь.
Можно тунелировать в 10 тунелей одновременно — и ты вообще ничего не сможешь понять.
То есть шпион на телефоне не нужен.
Кроме того сущестуют VPBox, Private Space и прочие виртуалки, никто не будет тратить деньги на то что не будет хоть скольнибудь эффективно.

M>Самое простое решение: использовать средства обхода блокировок на отдельном устройстве исключительно с доверенными приложенями (поставщик вне юрисдикции РФ).

M>Альтернативное решение: использовать сторонние клиенты. Есть как написанные с нуля (https://4pda.to/forum/index.php?showtopic=1112164), так и в виде патча на оригинал.
M>(однако это не спасет от других потенциально шпионящих приложений)

Умора, советы выдают експерта — просто слов нет какой бред.
Что-то на уровне шапочки из фольги. ))

Здравствуйте, system.console, Вы писали:

Кстати качество звука и видео вообще немного удивляют — просто очень хорошее и задержка маленькая.

Здравствуйте, velkin, Вы писали:

V>Здравствуйте, system.console, Вы писали:

SC>>так ли страшен Max, как его малюют ?

V>Да.
ну хорошо, а что по второй части вопроса ? — веб-версия так же страшна, как и десктопная ?

I>Ну я тут так рассуждаю — идешь ты с подругой по улице и громко так орешь "Маша, я ПИН код поменял на карточке и он новый 2134" ...
I>Ну так же никто не делает. Ну вот и представляй себе что ты, когда по Максу обшаешся разговариваешь с подругой в супермаркете.
I>Если надо что-то секретное — ну встретьтесь в кафе.)
ну так и я так же рассуждаю, но это касается обмена сообщениями, а как с другим быть ? — типа, куда я заходил с другой вкладки браузера, какие там пароли вводил, кому деньги отправлял, от кого получал ?

Здравствуйте, imh0, Вы писали:

I>Здравствуйте, system.console, Вы писали:

I>Кстати качество звука и видео вообще немного удивляют — просто очень хорошее и задержка маленькая.
так вот и я про то же

wl.>Из того, что я читал на хабре — он определяет что сидишь через КВН и палит их адреса, так что даже приватные квн-ы подыхают очень быстро
Полный список таких приложений выглядит так: Сбер», «Яндекс», VK, Wildberries & Russ, Ozon, «Газпром‑Медиа», «Авито», X5, «2ГИС», ivi, Wink, HeadHunter, «Литрес», ЦИАН, Lamoda, «Магнит Маркет», «Всеинструменты.ру», «Гисметео», «Рамблер», «Лемана Про», «Туту», «Вкусвилл», «Ленту» и другие

Вы собираетесь прямо вообще ничем не пользоваться больше?

Здравствуйте, Deskny, Вы писали:

__>>А технически как этот шпионаж выглядит? Гнать на Макс сейчас просто модным стало, как цветные лосины. Потом успокоятся все. Собно как с лосинами и случилось
D>Лосины же вроде добровольно покупали? Или я что-то пропустил?
Я говорю гнать на Макс стало модным. Я помню еще времена когда все с официального клиента аськи сваливали

Здравствуйте, __kot2, Вы писали:

wl.>>Из того, что я читал на хабре — он определяет что сидишь через КВН и палит их адреса, так что даже приватные квн-ы подыхают очень быстро
__>Полный список таких приложений выглядит так: Сбер», «Яндекс», VK, Wildberries & Russ, Ozon, «Газпром‑Медиа», «Авито», X5, «2ГИС», ivi, Wink, HeadHunter, «Литрес», ЦИАН, Lamoda, «Магнит Маркет», «Всеинструменты.ру», «Гисметео», «Рамблер», «Лемана Про», «Туту», «Вкусвилл», «Ленту» и другие

__>Вы собираетесь прямо вообще ничем не пользоваться больше?

ну да, на основном телефоне не буду. но вокруг меня много устройств, куда можно поместить симку. 6, если быть точнее. Правда тот же планшет с собой особо не потаскаешь.
Основная симка нужна разве что на этапе логина, дальше будет работать и так, от отпечатка пальца

I>Внимательно прочитал и как эксперт по сетевой безопаснсти скажу так — статья заказуза и в целом подкормка для параноиков/щизофоеников, так как ничего не доказывает.

А какое ты хочешь доказательство?
Выявлены недокументированные возможности.
А дальше уже каждый сам решает приемлимо ли это для него или нет.

I>Что бы отловить пользователей классического VPN не нужен никакой нахрен максик — просто сделать фейковые днс сервера, наблюдать за подключением и все.

Не совсем понял мысль, как именно это сработает.
Кроме того перехват DNS ответов невозможен в случае использования DoH.

I>Тунелировать VPN трафик можно и через https и ты вообще его никак не обнаружишь.

Вообще уже обнаруживают, например через active probing выявляют маскировку туннеля под веб-сайт.
Ну и по tls fingerprint конечно.

I>Можно тунелировать в 10 тунелей одновременно — и ты вообще ничего не сможешь понять.

В данном случае речь идет об обнаружении выходного узла туннеля (одного или нескольких) и блокировки доступа к нему из РФ.

I>То есть шпион на телефоне не нужен.
I>Кроме того сущестуют VPBox, Private Space и прочие виртуалки, никто не будет тратить деньги на то что не будет хоть скольнибудь эффективно.

Средний пользователь смартфона виртуалки не использует.
Для блокировки выходного узла туннеля достаточно "телеметрии" с устройства хотя бы одного пользователя.
Наоборот получается весьма эффективное решение, по сравнению с анализом трафика на ТСПУ.
Ты же сам выше пишешь, что задача обнаружения замаскированных туннелей сложна (ресурсоемка).

I>Умора, советы выдают експерта — просто слов нет какой бред.
I>Что-то на уровне шапочки из фольги. ))

Попробуй напрячь мозги и подобрать слова. Желательно аргументацию технического характера. Ты ж эксперт

Здравствуйте, __kot2, Вы писали:

wl.>>Из того, что я читал на хабре — он определяет что сидишь через КВН и палит их адреса, так что даже приватные квн-ы подыхают очень быстро
__>Полный список таких приложений выглядит так: Сбер», «Яндекс», VK, Wildberries & Russ, Ozon, «Газпром‑Медиа», «Авито», X5, «2ГИС», ivi, Wink, HeadHunter, «Литрес», ЦИАН, Lamoda, «Магнит Маркет», «Всеинструменты.ру», «Гисметео», «Рамблер», «Лемана Про», «Туту», «Вкусвилл», «Ленту» и другие

__>Вы собираетесь прямо вообще ничем не пользоваться больше?

Я не пользуюсь (и не пользовался ранее) ни одним приложением из этого списка и отлично себя чувствую.

Здравствуйте, system.console, Вы писали:

SC>Бог с ним с нешифрованием, а если я буду использовать на ПК только веб-версию, то шпионаж остается актуальным или тут уже возможности для него существенно сужены ?
Относительно шпионажа — все твои контакты практически гарантированно есть у тех, кому надо. Переписка через всякие одноклассники вконтакте скорее всего твоя тоже есть у всех, кому надо. Вроде с максом даже контора таже самая. Все url всех сайтов, которые ты посещаешь — тоже есть у всех, кому надо. Все твои телефонные переговоры тоже записываются и все это есть у всех, кому надо.

И я ОЧЕНЬ сильно сомневаюсь что макс там может чем еще дополнительным делиться.

На деле же, на десктопе у макса довольно фиговая обновлялка и занимает он много. Тупо неудобно. На мобильной версии видел баги. Ну и фич поменьше, чем в телеграмме. Объективно это все.

Меня ОЧЕНЬ веселит идиотизм, когда народ не боится пользоваться всякими VK клиентами с одноклассниками, на мобилах, и при этом волнуются за шпионаж в максах. Особенно меня веселит, когда ставят явную малварь "телега", которая классический классический man in the middle.

На деле, там без максов хватает малварей из числа того, что стоит у обычного обывателя на телефоне. При этом сливается все явным мошенникам, ибо откуда они знают телефон и ФИО как минимум. Плюс знают где работаешь. И это все знали товарищи, которые похуже и поотмороженнее, чем любые госорганы, знали это все задолго до максов.

Если что, у меня стоят вообще все мессенджеры. По максу мне один товарищ звонит периодически, ну и с родителями как резервный канал (основной сейчас Teams). А подчиняться стадному инстинкту и тупо очковать что то ставить, потому что кто то там влиятельный решил стадом поуправлять — не в моих принципах. На деле, если заниматься паранойей — инетом вообще пользоваться низя, по телефону разговаривать низя. А уж если разговариваешь, то иносказательно, шифровым кодом, известным лишь избранным и все такое.

Здравствуйте, Stanislaw K, Вы писали:

__>>Вы собираетесь прямо вообще ничем не пользоваться больше?

SK>Я не пользуюсь (и не пользовался ранее) ни одним приложением из этого списка и отлично себя чувствую.

Ну, без озоновского приложения не удобно

Здравствуйте, Marty, Вы писали:

SK>>Я не пользуюсь (и не пользовался ранее) ни одним приложением из этого списка и отлично себя чувствую.

M>Ну, без озоновского приложения не удобно

Неудобно делать спонтанные покупки.

а обдуманные удобнее делать с большого экрана с компа, где можно в другой вкладке тут-же погуглить отзывы и цены на других сайтах.

Здравствуйте, Stanislaw K, Вы писали:

M>>Ну, без озоновского приложения не удобно

SK>Неудобно делать спонтанные покупки.

SK>а обдуманные удобнее делать с большого экрана с компа, где можно в другой вкладке тут-же погуглить отзывы и цены на других сайтах.

Я покупаю с компа, приложение нужно, чтобы штрихкод в ПВЗ показать

E>На деле, там без максов хватает малварей из числа того, что стоит у обычного обывателя на телефоне. При этом сливается все явным мошенникам, ибо откуда они знают телефон и ФИО как минимум. Плюс знают где работаешь. И это все знали товарищи, которые похуже и поотмороженнее, чем любые госорганы, знали это все задолго до максов.
Но одни малвари могут только преступно обворовать, а другие ещё и официально подшить к делу за перепост в качестве виновного.
>очковать что
>то ставить, потому что кто
>то там влиятельный решил стадом поуправлять — не в моих принципах. На деле, если заниматься паранойей — инетом вообще пользоваться низя, по телефону разговаривать низя. А уж если разговариваешь, то иносказательно, шифровым кодом, известным лишь избранным и все такое.
Есть 2 большие разницы, узнал о твоём перепосте содержащем слово "в**на" шериф в Калифорнии или интернет-уполномоченный в задрищенском РОВД, у которого пары палок до премии не хватает.

От:	bnk	http://unmanagedvisio.com/
Дата:	25.04.26 08:54
Оценка:

	От:	m2user
	Дата:	25.04.26 09:04
	Оценка:

	От:	wl.
	Дата:	25.04.26 09:07
	Оценка:

	От:	m2user
	Дата:	25.04.26 09:13
	Оценка:

	От:	imh0
	Дата:	25.04.26 09:48
	Оценка:	2 (1) +1 -1

От:	Marty	https://www.youtube.com/channel/UChp5PpQ6T4-93HbNF-8vSYg
Дата:	25.04.26 14:59
Оценка:	+1