"Управляемый бэкдор" в MAX: разбор вирусного фейка от Liberty
#MAX #разбор
Liberty выкатили тред, где называют CDN-сервер мессенджера MAX "модулем удалённого управления". 148K просмотров. Разберём по-взрослому — без эмоций и маркетинга.
Что реально происходит
В начале марта на http://ntc.party/ и Хабре разобрали сетевой трафик MAX. Нашли модуль HOST_REACHABILITY:
➡️Пингует Telegram, WhatsApp, http://gosuslugi.ru/ и ещё ряд хостов
➡️Тянет IP-адрес из нескольких чекеров
➡️Смотрит статус VPN через Android ConnectivityManager API
➡️Отправляет собранное на http://api.oneme.ru/
Это нашли ребята с Хабра, подтвердили реверсом APK. Вопросы к такой телеметрии — справедливы.
А теперь — фейковая часть
Liberty взяли чужое исследование и докрутили: http://st.max.ru/ — это, мол, "домен удалённого управления, который руководит приложением в вашем смартфоне".
На деле http://st.max.ru/ — CDN для статики. Он указан в документации MAX для разработчиков:
https://dev.max.ru/docs/webapps/bridge — откройте и проверьте сами.
Liberty называют скачанный 1 МБ "размером с целую книгу" команд. Ок, 1 МБ — это действительно объём небольшой книги. Но это и объём пачки эмодзи, иконок и JS-библиотек. Стандартный набор для мессенджера с
мини-приложениями. Если там "команды" — покажите их. Декодируйте. Распечатайте эту "книгу".
Где пруфы?
Если Liberty перехватили 1 МБ "команд управления" — почему не показали содержимое? Декомпилировали трафик? Расшифровали payload? Показали структуру этих "команд"? Ничего. Только "мы делаем однозначный вывод".
Авторы с Хабра реверсили APK, нашли конкретные классы и методы, показали бинарный протокол с MessagePack-сериализацией. А тут — "мегабайт, значит книга, значит бэкдор". Ну ок.
Feature flags = бэкдор?
Liberty пишут: раз модуль включается не у всех — это "управляемый бэкдор". Feature flags используют все: Google, Apple, Telegram, любое приложение в телефоне. A/B тесты, постепенный rollout — обычная инженерная практика, не заговор.
А что вообще может сделать приложение на телефоне?
Тут стоит напомнить базовую вещь. На современных Android и iOS приложение без явно выданных разрешений не может сделать с устройством ничего критичного. Хотите управлять чужим телефоном? Получите Accessibility Service. Хотите блокировать приложения или стирать данные? Device Administrator privileges. Всё это выдаётся руками пользователя с ОЧЕНЬ явным системным предупреждением.
MAX таких разрешений не запрашивает. Можете проверить в настройках прямо сейчас.
И какого бы я ни был мнения о команде MAX — вряд ли у них, как у NSO Group с их Pegasus, есть свой набор 0day-эксплойтов под обе платформы. Чтобы следить за тем, как вы отправляете показания счётчиков арендодателю квартиры))
Комменты из треда — имба
Уровень "расследования" лучше всего видно по комментариям:
➡️"вот что мне ответил чат GPT на это" — @fist_tsif приложил скриншоты ChatGPT. Зачем разбираться самому, если нейросеть рядом.
➡️"@grok что может сделать max на айфоне?" — два человека вместо подумать своими мозгами позвали Grok в комменты.
➡️"Почему нельзя нормальный технический отчёт написать. Вас даже на хабре обоссали бы за такое" — @cozz777. 343 лайка. Комментарий дороже треда.
➡️Один пользователь рассказал историю про FlashGet Kids на телефоне знакомой — приложение для родительского контроля, которое имеет легитимное удалённое управление и блокировку приложений. Причём тут MAX — загадка вселенной.
Итог
Телеметрия в любом приложении вызывает вопросы. Но наброс про "Управляемый бэкдор" — совсем разное. Это фантазия пользователей X, которые не показали ни одного расшифрованного payload.
