а еще у меня в доменах запрос DNS mtalk.google.com
Забавное поведение. еще ICMP на mtalk.google.com и gstatic.com
И TLS тоже на mtalk.google.com
DNS и HTPS на api.ipify.org
А вот попыток подключения на сервера ifconfig, вотсапп, телеграмм, амазона не было. Может мало жду. Если что, версия из гуглплея
Вроде как Google Push.
Пинговались VK, госуслуги, telegram, google.
Я несколько раз перезапускал. Лазил по меню, настройкам. По моему, тоже не сразу появилось.
Кстати, main.telegram.org редиректит на core.telegram.org, однако core.telegram.org запросов не было.
На хабре появилась статья Российский мессенджер MAX замечен в обращении к иностранным сервисам определения IP и серверам конкурентов
Народ, поделитесь методикой, какие вы инструменты используете для анализа происходящего, в какой среде это делаете, что делаете с приложением - заходите или просто запускаете, чтобы можно было воспроизвести. Запускаю последнюю версию APK и слушаю весь трафик на свежей x86_64 виртуалке Android 14 и не вижу ни ping, ни обращений к хостам TG.
Пробовал кто-нибудь перехватить его запросы через обход SSL pinning? Системные сертификаты он не использует, поэтому перехватить просто так не получится. Было бы интересно посмотреть, куда он эти собранные данные отправляет. У меня пока навыков не хватает такое провернуть.
Я уже сделал, напишу статью как будет время. Если коротко - самые конспирологические теории в этом треде оказались реальными
проглядывается строчка “vpn“. По анализу трафика при запуске приложения отправляет и “ip“ (при отправке первого сообщения)
вот так вот смешно зашифровали куда оно срет запросами (см. ASCII таблицу)
f38221d = mtalk.google.com
f38223f = calls.okcdn.ru
f38225h = gosuslugi.ru
f38227j = main.telegram.org
f38229l = mmg.whatsapp.net
f38231n = https://ipv4-internet.yandex.net/api/v0/ip
f38233p = https://ipv6-internet.yandex.net/api/v0/ip
f38235r = https://ifconfig.me/ip
f38237t = https://api.ipify.org
f38239v = https://checkip.amazonaws.com
f38241x = https://ip.mail.ru/
f38219b = gstatic.com
На Android не страшно, ибо split tunneling, а на IOS я так понимаю проще блокировать MAX и его сервера, чем пытаться бороться со сканированием.
У кого-то есть хоть сколько-нибудь полный список адресов MAX-а, чтобы их просто в 0.0.0.0 завернуть на сервере?
еще что можно выделить по всему этому: такие чекеры активны у меня только на ру номере, а с армянским номером ничего из этого не отправляется (ну и соответственно писать можно только написавшим тебе и госуслуг нет, что логично)
а что по приложениям яндекс или т-банку, например? Они в исключениях сплит туннеля, но регулярно пишут «с впн могут быть ошибки». как они это делают? видят TUN? или у меня порядок правил не тот в клиенте?
Они видят состояние VPN в системе: включен или нет, условно как вы в иконках в статус-панели. Больше они ничего о нем не знают.
Это не так. Оно работает с любым номером и отправляет MCC И MNC оператора.
PS - не вводите людей в заблуждение пока сами не разберетесь.
Это не шифрование, это просто так jadx работает. На самом деле это C string, то есть просто массив символов. JADX слишком умный и зачем то пытается подставлять туда константы из HTTP.
Я постараюсь опубликовать статью с разбором и распаковкой протокола, дампами сообщений и тд утром.
все-таки да, отправляет на любом акке, но я почему и проглядел - то ли у них ротация, то ли баги, то ли запросы не все захватывались. Не на все домены отправляет и не всегда если судить по pcapng и действиях в приложении
Он отправляет это при сворачивании приложения, но не каждый раз
надеюсь прям с lz4 и MessagePack
при отправке сообщения наблюдал
Конечно, и с самописным аддоном для mitmproxy, который это распаковывает на лету
Чтобы наверняка все AS VK
судя по исходникам весь этот спам просто проверяет параллельно доступность доменов (hosts) и отправляет статусы в виде цифр (0-3)
IP вычисляет проходя по порядку пока хоть какой-то чекер не выдаст валидный IP. Если забанить все чекеры, то оно тупо не отправит IP в их метрику
Срабатывает эта “аналитика“ при отправке сообщения точно (или при каком-то event), просто перезаход из фона или сворачивание не влияли. В конфиге аппа есть опция host-reachability и у hosts есть проверка, будут ли чекеры запускаться. Конфиг прилетает от сервера, применяется после перезахода в приложение, поэтому при первом входе с логином ничего еще не будет спамить. Так что у них есть вариант разновидности конфигов в зависимости от юзера. При перезаходе в приложение происходит ревалидация конфига (отправляет хеш конфига)
я еще не разобрался или все верно?
