ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Уязвимости CMS / форумов (https://forum.antichat.io/forumdisplay.php?f=16)
-   -   MAX следит за VPN? Реверс-инжиниринг против официальных пояснений — кто врёт? (https://forum.antichat.io/showthread.php?t=592425)

Сергей Попов 06.03.2026 15:16
https://forum.antichat.xyz/attachmen...2795716687.png

Пользователь runetfreedom на Хабре разобрал APK мессенджера MAX (v26.4.3) через mitmproxy + декомпиляцию и заявил: приложение содержит модуль слежки за VPN и доступностью заблокированных ресурсов.

Что нашли в трафике:
  • При сворачивании/разворачивании приложения на
    Код:
    api.oneme.ru
    уходит пакет с пингами до
    Код:
    main.telegram.org
    ,
    Код:
    mmg.whatsapp.net
    ,
    Код:
    gosuslugi.ru
    ,
    Код:
    gstatic.com
    ,
    Код:
    mtalk.google.com
  • Проверяется доступность по ICMP + TCP:443 — классический метод тестирования блокировок через ТСПУ
  • Собирается внешний IP через микс российских и зарубежных сервисов (помогает поймать тех, кто не заворачивает весь трафик в VPN)
  • Флаг
    Код:
    host-reachability
    управляется сервером удалённо — можно включить точечно для конкретного аккаунта
  • Весь шпионский трафик замешан с основным в бинарном протоколе (10-байтный заголовок + MessagePack) — отфильтровать без отключения мессенджера невозможно
Официальный ответ MAX:
Цитата:

Всё это нужно для WebRTC-звонков и проверки push-уведомлений. К VPN и персональным данным отношения не имеет.
Вопросы, на которые ответ не закрывает:
  1. Зачем для WebRTC-звонков пинговать
    Код:
    gosuslugi.ru
    ?
  2. Почему ICMP, а не только STUN/TURN как у всех нормальных реализаций WebRTC?
  3. Зачем "безобидные" данные передавать в закрытом бинарном протоколе, смешанном с основным трафиком?
  4. Зачем модуль управляется удалённо с возможностью включения для отдельных аккаунтов?
Два лагеря, которые уже сформировались в обсуждении:

"Это слежка" — намеренно разработанный модуль мониторинга эффективности блокировок. Официальные пояснения не объясняют ни ICMP, ни gosuslugi, ни бинарный протокол.

"Паранойя без понимания" — WebRTC действительно требует внешний IP, Android VPN API стучит системно, а паттерны видят там, где их нет. Телеграм реверсните — удивитесь не меньше.

Исходное обсуждение с разбором от практиков — в нашем Telegram-канале по ИБ: античат (там же ссылка на оригинальное исследование на Хабре).

Ваша позиция?

syuri44 16.05.2026 20:08
А что, кто-то сомневался? СЛедили, следят и будут отслеживать. Причем не только одна спецслужба. Например в забытом ФЕйсбуке минимум 4 страны могут раскрывать наши аккаунты. В телеге пока две. Информация не 100%, но есть факты.

starcraft 08.06.2026 17:30
Да, тут в целом всё встречается — и реальные проверки сети, и мутные моменты с адресами типа госуслуг. Если бы просто WebRTC, то ICMP и скрытые бинарные пакеты не нужны были бы, это больше похоже на сбор данных и контроль. А управление модулем удалённо обычно ставит жирный вопрос — зачем так сложно, если всё якобы для звонков?

titan 25.06.2026 04:50
Мне кажется, что тут реально что-то не чисто. Если бы все было ради WebRTC, зачем тогда пинговать соцуслуги и делать скрытый бинарник? Это явно не просто проверка звонков, а сбор инфы и мониторинг. Управление с сервера и возможность включать это выборочно вообще настораживает. В таких местах всегда закрадывается мысль, что контролируют пользователей.


Время: 23:00