Уже все, новость так или иначе попала в крупные сетки тг каналов, будет тряска
Я вот не понял. А что произойдет, если у Алисы VPN включена только для некоторых приложений (а для сабжа выключена)? Что Чарли сможет узнать?
Вот этот флаг все равно будет установлен в единицу или нет?
Да, будет.
Незачем покупать отдельный смарт. Еще деньги тратить из-за этой конторы п-ов. Поднимается виртуальная машина, на ней либо веб версия скама, либо андроид эмулятор (по потребностям). С основного телефона или ПК когда нужно заходишь на виртуалку по RDP, VNC или любым другим удобным способом.
Неюзабельно для обычного пользователя. У многих есть старые мобилки в ящиках. Или на сервисах по подаче объявлений, я думаю там цена будет 2-3к рублей
полезно изучить дальше. с целью выработки рабочих HEX для полезных целей
Ну, хотя бы это их объяснение
Запросы на серверы, например Apple и Google, необходимы для проверки доставки push-уведомлений пользователям.
бьется с хождением на mtalk.google.com.
По-моему уже где-то писали, но дело в том, что все эти пункты, в том же функционале, за исключением ICMP, можно реализовать и силами браузера, на любом российском сайте. Не совсем понятно, в чем здесь уникальность Макса? Какие дополнительные возможности он дает? Если мы действительно переживаем, то нужно не только его бояться.
Чмакс не уникален, а первопроходец. В браузере хотя бы можно через расширение сделать “белые списки“ у вкладки/открытого сайта, чтобы такого не происходило
А есть ли уверенность, что первопроходец? Вот у меня совсем нет. Для этого нужно аналогично проверить все российские приложения / весь XHR-трафик российских сайтов. Все это - для приложений от организаций, приближенных к государству. Формально-то и эта поделка негосударственная.
Просто интерес к Максу сейчас зашкаливает, поэтому и разбирают его по винтикам.
Хождение к telegram тоже бьется. Лично видел TCP запросы в шарке. А также много ICMP.
Другое дело, если они эту практику прекратили, действительно “мессенджер не отправляет”.
“мессенджер отправлял”.
Зато проверка IP не бьется совсем. В комментариях на Хабре тоже заметили, что для получения IP для звонков достаточно одного запроса на любой STUN сервер. Зачем нужна проверка сразу на нескольких внешних сервисах и даже зарубежных, непонятно.
Если верить автору, то запрос IP идет при старте приложения, но какой в этом смысл, если всегда может банально пропасть коннект с WiFi и IP изменится? Нужно узнавать IP непосредственно перед звонком и как можно быстрее, а не ждать, придет ли ответ от какого-нибудь amazon и прочих айпи чекеров.
Кстати, а оно api имеет? Можно же какой-то транслятор в условную телегу сделать, как минимум для уведомлений, как максимум для текстовой переписки в рамках одного чата с ботом.
Раньше доступ к ботам давали только по спец. разрешению, считай только для бизнеса и “кому надо”. Как сейчас там не знаю.
можно реализовать и силами браузера, на любом российском сайте
Можно, но это прямо гига-палево, кто угодно может открыть в браузере режим разработчика и посмотреть все скрипты и запросы, не говоря уже о невозможности ssl пиннинга в веб версии. В этом смысле софт с закрытым исходником намного вкуснее.
Да, это проще, чем разбираться с MITM и сертификатами, но не настолько, чтобы можно было пытаться таким образом что-то скрыть. Давно уже существует масса инструментов и статьей на тему. Да, то что сделал автор в данном случае не совсем уж тривиально, но даже близко не rocket science.
В любом случае, всегда достаточно одного человека, который разберется и напишет статью и конец всем секретам. Любой разработчик это понимает. В этом плане, что так, что так - не спрячешь. Обнаружат месяцем раньше или позже - погоды не сделает.
Кроме того, pcapdroid доступен каждому, даже root не нужен. А уже его в данном случае было достаточно, чтобы заметить, что-то не так.
Ок. И что тогда узнает злоумышленник? Только факт использования VPN? Заблоченное и так покажется заблоченным, ip VPN-сервера узнать не получится.
- узнает заграничный IP VPN если меньше 2-3 узлов в цепочке
- узнает доступность хостов, когда ты на мобильной сети с белыми списками, которые не должны быть доступны
- узнает включенный VPN в системе
если сплит-тунель, то только третье, но этого хватит чтоб стукнуть “куда надо” и кастрировать/отключить инет индивидуально, а в перспективе еще послать письмо счастья со штрафом
вот–вот, даже со сплитом увидит, что активен мобильный интернет и включен VPN (обход БС) - можно и списки юзеров составлять с привязанными госуслугами. Уже выяснили, что только песочница и изоляция, но к сожалению куча людей даже не поймет о чем речь и не сможет настроить это все, поэтому остальные пункты будут работать