Мешканців окупованих територій, зокрема й Мелітополя, примушують користуватись російським держмесенджером Max. Втім, у додатку виявили черговий набір функцій, які викликають питання щодо приватності користувачів.
Як повідомляє російське опозиційне видання The Moscow Times, за результатами технічного аналізу APK-файлу застосунку месенджер може збирати значно більше даних, ніж повинен.
Що саме знайшли в Max
Відтак, Max може отримувати доступ до:
списку контактів користувача;
переліку встановлених додатків;
геолокації;
мікрофона та камери;
історії повідомлень;
технічних логів пристрою.
Також застосунок здатний приховано робити скриншоти переписок, створювати фейкові чати, видаляти повідомлення без сліду на пристрої, записувати звук у прихованому режимі, визначати реальний IP-адрес навіть при використанні VPN.
Більш того, шпигунський месенджер має можливість використовувати незмінний ідентифікатор пристрою, який не скидається навіть після видалення програми або reset смартфона.
Max може передавати дані без використання повноцінного end-to-end шифрування, тобто інформація потенційно доступна на сторонніх серверах. Крім того, у додатку є можливість вимкнення TLS-валидації - механізму перевірки безпечного з’єднання між пристроєм і сервером. Це може дозволити підміну серверів або перехоплення даних.
Мелітополь і примусова “maxимізація” зв’язку
Оператори зв’язку поступово впроваджують обов’язкову реєстрацію в месенджері Max. Паралельно інші сервіси - банки, державні платформи та навіть коди підтвердження - переводяться саме в цей застосунок.
Тому оминути встановлення месенджеру стає все складніше. Без нього майже неможливо отримати доступ до “Держпослуг”, частина банківських операцій вимагає підтвердження через Max, акаунти можуть спеціально блокуватися з пропозицією відновлення через Max.
Для мешканців окупації такий шпигун у телефоні може становити загрозу життю і свободі. Бо будь-яка інформація, яка не сподобається ФСБ може перетворитися на переслідування та арешт.
Що робити мешканцям Мелітополя
Раніше ми вже досліджували, які месенджери можуть працювати в умовах окупації та чим вони відрізняються за рівнем безпеки:
KakaoTalk - зручний, але частково без шифрування за замовчуванням (треба налаштовувати);
BiP - функціональний, але має питання до приватності (через турецького власника);
IMO - стабільний для дзвінків, але збирає дані для реклами;
Olvid - один із найбезпечніших, але менш зручний;
Delta Chat - працює через email, складніший у використанні;
XChat - залежить від екосистеми X (Twitter).
Втім, головний висновок залишається незмінним: жоден месенджер не гарантує абсолютної безпеки.Тож, мешканцям ТОТ не варто зберігати чутливу інформацію в месенджерах, не вести обговорення, які можуть становити ризик у разі перевірки телефону.
Якщо використання Max є неминучим - доцільно не встановлювати його на основний смартфон. Про таку схему розповідали читачі
У нас на підприємстві перевірки телефонів - це вже буденність. Просто можуть зайти посеред робочого дня заставити дістати все з сумочки і розблокувати телефон. А з кінця минулого року нам керівництво довело, що ми маємо встановити МАХ. І це не по бажанню - хочу-не хочу. А обов’язок через те, що ми держслужбвці. То мені довелось шукати свою стару давно закинуту “трубу”, щоб встановити той МАХ. Там мінімум інформації. Але для перевірок він потрібен”, - розповідає одна з наших читачок.
Але і хвалитися додатковим пристроєм не варто, адже в Росії вже пропонували заборону використання двох і більше смартфонів одночасно, а порушників - штрафувати на мільйон рублів.
