Основы Интернет - технологий.

Исследователи отреверсили Android-клиент мессенджера Max и сообщили, что в нем есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp, определяет IP-адрес пользователя через сторонние сервисы и фиксирует использование VPN. В пресс-службе Max заявили, что мессенджер не отправляет запросы на серверы Telegram и WhatsApp, а описанные решения не имеют отношения к «персональным данным или пользованию другими сервисами, включая VPN». Все началось с наблюдений, сделанных участниками профильного форума NTC. Пользователи перехватили трафик официального APK-файла Max с помощью PCAPdroid и анализа в эмуляторе и заметили, что мессенджер регулярно обращается к нескольким сервисам определения внешнего IP-адреса, включая зарубежные (api.ipify.org, checkip.amazonaws.com, ifconfig.me), наряду с российскими (ip.mail.ru, сервисы «Яндекса»). Помимо этого, в дампах трафика были замечены обращения к доменам main.telegram.org и mmg.whatsapp.net — последний используется WhatsApp для загрузки медиа и в настоящее время блокируется Роскомнадзором. Вскоре на «Хабре» появился более подробный разбор с результатами реверс-инжиниринга клиента Max. Исследователь пишет, что перехватил трафик через mitmproxy в режиме WireGuard, разобрал проприетарный бинарный протокол приложения (на базе MessagePack) и написал аддон для расшифровки данных. Среди перехваченных сообщений обнаружился event-тип GET_HOST_REACHABILITY, в рамках которого клиент отправляет на сервер api.oneme.ru подробный отчет: IP-адрес пользователя, тип соединения (Wi-Fi, мобильная сеть), PLMN-код мобильного оператора, флаг активности VPN (определяется через стандартный Android API — NetworkCapabilities.TRANSPORT_VPN) и результаты проверки доступности ряда хостов — включая gosuslugi.ru, gstatic.com, main.telegram.org и mmg.whatsapp.net. Каждый хост проверяется по двум параметрам: ping (ICMP) и TCP-подключение на порт 443. Исследователь считает, что этот модуль не является чем-то случайным или заброшенным. Анализ через JADX показал, что список проверяемых хостов и URL для получения IP зашит в конкретных классах приложения, IP-адрес запрашивается асинхронно из перемешанного пула российских и зарубежных источников, а ответ 127.0.0.1 отбрасывается. Модуль активируется при сворачивании и разворачивании приложения, а включается и отключается удаленно, через серверный флаг host-reachability, что позволяет активировать его таргетно для отдельных аккаунтов. По мнению автора исследования, такая схема позволяет определять, пользуется ли человек VPN (по расхождению IP-адресов от российских и зарубежных сервисов), проверять эффективность блокировок на ТСПУ (ping проходит, а TCP:443 — нет), а также вычислять IP-адреса приватных VPN-серверов. При этом телеметрия смешивается с основным трафиком мессенджера по проприетарному протоколу, что делает невозможной ее блокировку без отключения самого Max. После выхода этой публикации в пресс-службе Max сообщили «Хабру», что информация об IP-адресах используется «исключительно для обеспечения корректной работы звонков» (P2P-соединения через WebRTC), обращения к серверам Google и Apple нужны для проверки доставки push-уведомлений, а запросы на серверы WhatsApp и Telegram якобы не отправляются. Ниже цитируем заявление пресс-службы полностью. «Разработчики МАХ изучили публикации о запросах мессенджера. Предположения, сделанные в них, не соответствуют действительности. Вот детальные пояснения: Информация об IP-адресах используется исключительно для обеспечения корректной работы звонков. Для установки P2P-соединения (звонков) технология WebRTC требует внешний IP, чтобы построить прямой маршрут “телефон-телефон”. Это стандарт для всех сервисов, которые осуществляют звонки при помощи данной технологии; Запросы на серверы, например Apple и Google, необходимы для проверки доставки push-уведомлений пользователям. В сложных сетевых условиях и ограничениях мобильной связи в отдельных регионах — это необходимая мера для корректной работы уведомлений; МАХ не отправляет запросы на серверы WhatsApp и Telegram. Используемые технические решения направлены на обеспечение высокого качества работы сервисов — в первую очередь звонков и уведомлений. К персональным данным или пользованию другими сервисами, включая VPN, они не имеют никакого отношения».