Эксперты протестировали мессенджер Max на безопасность: «Есть вероятность, что с течением времени приложение может начать делать запросы на доступы или же несанкционированно вторгаться в устройство»
Команда экспертов в области свободы интернета RKS Global протестировала «национальный» мессенджер Max, чтобы выяснить, насколько безопасно его использовать. Тестирование проводилось как на iPhone, так и на смартфонах Google Pixel на Android.
Что тестировали
Задачей было проверить когда и какие разрешения запрашиваются приложением Max на телефоне пользователей, как приложение пользуется этими разрешениями, делает ли что-то без разрешения и как приложение связывается со своими серверами.
Тестирование длилось двое суток. На обоих устройствах приложению сначала был разрешен доступ ко всему, что приложение запрашивало — камере, микрофону, контактам, местоположению, звонкам, файлам, фотографиям и видео. В это время за тем, что происходит на телефоне наблюдали эксперты и фиксировали аномалии.
По прошествии двух суток у приложения были отозваны все ранее выданные разрешения — теперь наблюдение шло за тем, будет ли Max запрашивать их снова и при каких условиях.
Что выяснилось
На протяжении двух суток наблюдения ни в одной из конфигураций тестирования не было выявлено неправомерного доступа к камере, местоположению, микрофону, уведомлениям, контактам, фото и видео.
Технически, у приложения была возможность собирать эти данные и отправлять их, но эксперты не зафиксировали, что такое происходило.
После отзыва разрешений у приложения не зафиксировано попыток получить эти доступы снова через запросы или несанкционированно.
Исследование экспертов RKS Global показывает, что в настоящее время приложение Max не ведет слежку по умолчанию за пользователями.
Тем не менее эксперты говорят о том, что есть вероятность, что у разных пользователей, находящихся в разных географических точках, приложение может вести себя по-разному.
Также есть вероятность, что с течением времени приложение может начать делать запросы на доступы или же несанкционированно вторгаться в устройство. Требуется более детальный анализ трафика, его расшифровка, а также более глубокий анализ действий приложения.
Также следует помнить, что любые приложения и сайты получают IP-адреса, которые косвенно могут указывать на геолокацию.
То есть любые российские приложения, включая Мax, могут фиксировать, где приблизительно находится пользователь. Это означает, что силовики с помощью СОРМ тоже могут получить эту информацию.
Рекомендации
Эксперты RKS Global напомнили, что через мессенджер Max не стоит вести конфиденциальную переписку и пересылать чувствительные документы. Необходимо помнить, что у Max есть большой потенциал к слежке, так как вся информация в нем, все переписки могут быть доступны государственным органам в реальном времени.
В любой момент поведение мессенджера, связанного с государством, может измениться, он может просить больше доступов или пытаться получить их самостоятельно, может передавать больше информации для анализа и слежки.
Эксперты рекомендуют по возможности использовать безопасные аналоги (Google Meet, FaceTime, Jitsi, Zoom) или восстановить доступ к привычным звонкам через WhatsApp и Telegram с помощью устойчивых к блокировке VPN.
Подпишитесь на Telegram Дождя