Шпионы среди нас

[a mad tea-party!?]

1 час назад, Aquarelle сказал:

Эти картинки не похожи на картинки из личной переписки. Там какие-то эмблемы, логотипы. Скорее для аватарок подойдут.

у меня ваще никакие картинки не открываются

[Rumlin]

Цитата

Ну, после того как я четырем людям, зарегистрированным в МАХ, указал на место их жительства, место работы их родственников, и даже на место жительства родителей (в двух случаях), я думаю, что вопрос о надежности мессенджера МАХ снят. 

К слову, вы же ведь поняли откуда в украинских СМИ взялась полная информация по местам работы киллера Портнова?

https://t.me/ASupersharij/52412

[a mad tea-party!?]

20 часов назад, Aquarelle сказал:

А как посмотреть чьи-нибудь переписки и фото в Максе? Хочу посмотреть переписки друзей и врагов. И просто каких-нибудь левых людей, чего они там друг другу пишут и шлют? Раз оно всем доступно, то можно же посмотреть? Но я не знаю, как. Пусть меня научат.

Присоединяюсь к просьбе! Для чистоты эксперимента предлагаю свою  переписку в Максе ) Тащите,выкладывайте!Выложите-буду знать,что опасно.Ну а если нет-тогда соврамши вас,господа! 

ПС я,канешна,не киллер Портнов и личность моя не очень интересна,но надо Толика попросить для себя свои данные )

[Aquarelle]

1 час назад, a mad tea-party!? сказал:

у меня ваще никакие картинки не открываются

Там список ссылок на картинки, я их просто копировала и открывала в новой вкладке браузера.

[Aquarelle]

Хотелось бы подробнее, как через мах можно узнать место работы родственников и место жительства родителей. 

Задолго до макса мошенники знали мои фио, адрес, два телефона - мобильный и домашний, номер моего паспорта и то, что я пенсионер. Знакомой позвонили мошенники, которым было известно, в какие страны она ездила в путешествия. У нее вообще нет макса. Другим знакомым звонили якобы с прежних мест работы. 

[Таракан]

Писал уже в другой теме, но продублирую:
 

Цитата

Блин... Как дети. У всех карты от банков, банки знают все ваши покупки, траты, предпочтения, размер зарплаты, контакты, родственников всех, круг 
общения, где ты был и что покупал, когда, кому переводишь бабки, сколько их вообще у тебя, где обычно тусишь, с кем, чем болеешь, чем лечишься и где, куда и когда ездил отдыхать.... но, бойся Мах он следит за тобой! Ржу во весь голос. 
А ещё у всех есть странички в соцсетях, где они САМИ указывают всё  о себе, жен, мужей, детей, родителей, где и когда учились и что закончили, где работают, куда ездили в эти выходные, что ели (с картинками)) и сколько потратили денег, мало того,  на фотке подписывают всех своих друзей и сотрудников и указывают геолокацию.

Авита потребовала от почти ВСЕХ пользователей сделать биометрию, сфоткаться с паспортом или правами, записать видео, покрутить головой перед камерой, рассказать о своём ИП или ООО  (разве что фотку пениса или матильды не требуют сделать) и ВСЕ сделали, ВСЕ(!!!) (а это, на минуточку, просто сраная площадка для продажи барахла), но  МАХ  - это капец, да)))))

 

Ну вот что вы за люди?!!!!!

Утечка года, мать!
В сеть из Макса утекли фотки, (матное слово), поеданий устриц и просеки в "Симперо" или "уставшей манро".

Личная жизнь в опаснасте!!!.

[Таракан]

Ахтунг!!!
Кто-то украл мои персональные данные указанные мной на страничке в ВК!

Вот вам самим не смешно?!!!!

[Rumlin]

Цитата

Получившая доступ к разговорам россиян колонка «Алиса» начнёт передавать силовикам информацию об использовании владельцами VPN, говорят инсайдеры.

 

По словам источников, в рамках требований Минцифры к крупнейшим цифровым платформам обсуждается расширение каналов мониторинга — помимо сетевого трафика внимание смещается на поведенческие сигналы пользователей. В частности, речь идёт о голосовых запросах к устройствам — от попыток найти VPN до обсуждений его установки и использования.

 

Собеседники утверждают, что такие запросы планируется фиксировать и использовать как косвенные индикаторы. Особый интерес, по их словам, вызывают ситуации, когда пользователи не просто ищут VPN, но и делятся рекомендациями или инструкциями — такие действия могут попадать в отдельные категории анализа.

 

Источники говорят, что инициатива напрямую связана с задачей, поставленной Минцифры — к середине апреля крупнейшие сервисы должны научиться ограничивать доступ при использовании VPN и одновременно выявлять новые способы обхода блокировок. Из-за технических ограничений на уровне устройств (особенно iOS) акцент делают именно на таких непрямых данных.

 

[Den3]

Хмм, достаточно отслеживать запросы в поисковике Яндекса. Думаю, там выборка шире чем та Алиса в колонке. Хотя, стоит заметить что в Яндексе начнут "следить", так уйдут в поисковик Гугла, Утки и прочий)). Это касается и Яндекс-браузера, я уже пытался спрыгнуть с него, но пока привычка перевесила, остался.

[Rumlin]

Цитата

Используя VPN, я, разумеется, первым делом настроил его так, чтобы все государственные и банковские приложения ходили в интернет напрямую, без использования VPN. И вот недавно, буквально несколько недель назад, приложение мобильного банка, в котором находится мой зарплатный счёт, заявило мне:

Выключите VPN! При включенном VPN работа банка не гарантируется!

Важно: такие жалобы со стороны приложений появились примерно за месяц до того, как эта тема попала в новости. То есть механизм, похоже, начали внедрять заранее.

Данная статья - инструкция о том, как установить и настроить песочницу Insular/Island. О том, как выселить всех стукачей на отдельный остров и заставить их работать там в изоляции. 

https://habr.com/ru/articles/1022390/

[Den3]

У меня Шмакс так работает :). Никаких неудобств. Правда использую не Island, а Shelter. Но прочитав статью, вижу, что они очень похожи. Правда автор это всё затеял из-за квн, а я просто так, квн на мобилке не использую. Там еще очень классно можно замораживать приложения которые нужны раз в году, но удалять которые не хотелось бы. На Ксяоми у меня вообще просто появилось пространство "Работа" и там весь изолированный софт, а всё остальное в пространстве "Личное".

[Rumlin]

«Телега» читает ваш Telegram. Техническое исследование мессенджера, который обещает «Telegram без VPN»

https://habr.com/ru/articles/1022482/

 

[Gennadyi]

Опенсорсный проект RuView превращает обычный Wi-Fi в радар для слежки сквозь стены

Цитата

Проект превращает обычные Wi-Fi сигналы в систему сенсорики, способную обнаруживать людей сквозь стены, измерять пульс и частоту дыхания, отслеживать движения и распознавать падения – всё без камер, носимых девайсов и облачной обработки.

Технология работает на физическом принципе анализа возмущений радиоволн. Любой Wi-Fi роутер постоянно заполняет помещение электромагнитным полем, а когда человек двигается, дышит или просто сидит на месте, он измеримо искажает распространение этих волн.

 

[CIBAS]

Принцип известен и в простейшем виде, без обработки используется в датчиках движения.  Они продаются на алиэкспрессе уже лет как 10, а может и больше.  Мне встречались на частотах около 4 ГГц и в районе 8 ГГц.  Стоили в районе 100 руб.  Суть в том, что такие датчики "видят" движение сквозь стены.

[Gennadyi]

49 минут назад, CIBAS сказал:

Принцип известен и в простейшем виде, без обработки используется в датчиках движения.  Они продаются на алиэкспрессе уже лет как 10, а может и больше.  Мне встречались на частотах около 4 ГГц и в районе 8 ГГц.  Стоили в районе 100 руб.  Суть в том, что такие датчики "видят" движение сквозь стены.

Так главное тут как раз обработка, да еще и с нескольких направлений.
Мы все под колпаком у Wi-Fi !  ;)

[CIBAS]

При неизвестном количестве источников излучения (точек wifi), неизвестных их характеристиках (мощность, направленность) и прочих неизвестных и причём динамически изменяющихся параметрах ...  Удастся ли отличить перемещение соседа справа за стеной от перемещения кошки соседа сверху - вопрос спорный .....  Применение "своего" управляемого источника излучения помогло бы, а вот точки wifi ... 

[Rumlin]

49 минут назад, CIBAS сказал:

При неизвестном количестве источников излучения (точек wifi), неизвестных их характеристиках (мощность, направленность) и прочих неизвестных и причём динамически изменяющихся параметрах ..

По описанию это они восстанавливают в первоначальный период наблюдения своими приемниками, позиция которых известна.

[CIBAS]

Да, это я читал.  Про количество источников я не прав - известная величина. А вот по поводу остальных неоднозначностей  - увы, они есть и учесть их практически невозможно.  Количество переотражений и переизлучений внутри квартиры (точнее нескольких квартир) просто огромно, весьма сомнительно, что это можно просчитать.  Спору нет - метод в общем случае даёт картину каких-то изменений, но привязать эти изменения к конкретному обЪекту в конкретном месте - не верю. в некоторых частных случаях - скорее всего работает, в общем случае - нужно нечто "более серьёзное" в плане аппаратуры.  Принцип пассивной локации в разных ипостасях давно используется энтузазистами и публикаций об этом хватает (весьма интересных, кстати - вспомните, например, локацию самолётов при помощи сигналов вещательных ФМ станций). 

Антенна в "чистом поле" - это одно, а сложная суперпозиция сигналов внутри дома - совсем другое.  Кстати, даже в "чистом поле" тоже не всегда гладко - бывал я на антенном полигоне, видел на практике.

[Gennadyi]

8 минут назад, CIBAS сказал:

локацию самолётов при помощи сигналов вещательных ФМ станций). 

Это ?
Пассивный когерентный локационный комплекс

Тут тоже все в обработку упирается.
 

[Gennadyi]

Вышки сотовой связи как облучающие станции РЛС

 

Цитата

WiFi-радары

В качестве бонуса, небольшая справка по WiFi, где тоже активно развиваются аналогичные технологии детектирования отражённого сигнала, так называемый Wi-Fi Sensing (802.11bf):

На эту тему опубликованы сотни научных работ и созданы действующие устройства слежения.

 

[Rumlin]

1 час назад, Gennadyi сказал:

связи как облучающие станции РЛС

До этого это же делали с теле и ФМ передатчиками - частоты ниже и оборудование для экспериментов проще.

[Rumlin]

15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще

https://habr.com/ru/articles/1036222/

Цитата

Кратко что я нашел

1. Макс отправляет на сервера VK то какие у вас скачаны приложения

2. Детекцию VPN — приложение проверяет наличие VPN‑соединения и по команде сервера может полностью заблокировать вам доступ к чатам и мини‑аппам, пока вы его не выключите.

3. Тотальный трекинг адресной книги — MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.

4. Обход Google Play и жесткий Force Update — сервер может заблокировать работу текущей версии приложения и принудительно установить апдейт со своего CDN, причем в коде заложена возможность ставить APK в обход системы.

5. Управление NFC‑чипом из мини‑апп — любое внутреннее мини‑приложение может без предупреждения передать на NFC‑терминал свой кастомный payload (например, имитировать пропуск или карту).

6. Фейковые чаты

7. Удаление сообщений из базы пушами — сервер может отправить скрытый пуш‑запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа, или незаметно запросить ваши координаты.

8. Отключение TLS‑валидации и RCE

9. Передачу номера (Mobile ID) по открытому HTTP — для авторизации без SMS мессенджер шлет запросы операторам в незашифрованном виде, чтобы те вписывали ваш номер в заголовки. Этот же механизм доступен системным мини‑аппам без вашего ведома.

10. Скрытый SDK деанонимизации и запись звука — обфусцированный модуль trace_flow собирает реальные IP‑адреса в обход VPN, а функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.

11. Аппаратный фингерпринт через Widevine DRM — для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства.

12. ZipSlip уязвимость в DownloadService (Удаленное исполнение кода)

13. И много всего другого

 

[FreeLSD]

... и при всем этом невозможно принудительно выкинуть из чата участника. Например.

Понятно, все силы были брошены на действительно важные функции 

[CIBAS]

https://habr.com/ru/news/1036838/

[Пэтро]

23 часа назад, Rumlin сказал:

15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще

https://habr.com/ru/articles/1036222/

 

1. Список приложений -- бывает нужен для отладки. Если у ряда пользователей не работает клиент и при этом у всех них стоит приложение Х, значит это Х плохое приложение.

это нельзя отключить, да и в том же тг такого нет, в любом случае это просто страшно - гоусдарство знает какие у вас скачаны аппы, в америке во время сноудена был шок всех граждан, а у нас "ну пусть шлют, что мне скрывать"

2. Детекция ВПН по последним законам везде есть. Но вот только условный Озон у меня вообще с ВПН не запускается, а Макс вот работает, не знаю, что он там детектирует, но жить не мешает. А на тему отправки, вот ровно каждое приложение может это делать.

если все будут делать чтото плохое, то плохое хорошим не становится.

3. Тотальный трекинг адресной книги это безусловно полезная функция, которую умеют ровно все мессенджеры. От WeChat до Telegram. Именно поэтому и можно написать человеку из контактов телефона в мессенджер.

это нельзя отключить, как в тг вроде, но это не аргумент, тг те еще говнюки ( hate.tg )

4. Обход Google Play безусловно полезная в условиях санкций функция. Западные компании уже ни раз нам что-то да ограничивали, использование нейросетей например. Или скачку дистрибутивов вроде Citrix Xen. Завтра может перестать работать обновление, а функция самостоятельного обновления мимо этого проприетарного механизма уже есть. Восхитительно.

ну просто это многое говорит о планах на макс + d любой момент вам могут подменить версию приложения на ту которая содержит еще больше следящих модулей

5. Чтобы "имитировать банковскую карту", надо в начале где-то получить банковскую карту. То есть, украсть деньги с банковской карты пользователя таким образом нельзя. А вот миниапп от банка таким образом может позволить произвести платеж через банковскую карту, выпущенную для Макс. Но вообще через NFC сейчас даже визитки передают. Поэтому конечно очень удобно, что в Максе тоже есть такая возможность. Очередной плюс, спасибо что вы мне его раскрыли.

проблема что макс автоматически дает разрешение, у юзера нету кнопки "разрешить юзать NFC?" это как минимум халатно а как максимум опасно

8. RCE, "После этого любое другое приложение (или сам сервер через дамп экрана) может делать скриншоты ваших переписок"Тут серьезно утверждается, что Макс может узнать, что он показывает пользователю? Ну, ОК. Он и так знает что мне показывает. Эта информация на мой взгляд может использоваться только для целей отладки.

это про MiniApps, ты статью чем читал? любая мини апа может выбратся из тюрьмы, условная мини игра внутри мах может выполнить любой JS код вне тюрьмы

9. Мессенджер отсылает мой номер телефона через оператора на сервер. Окей, но я отсылаю номер телефона на сервер при регистрации. А сотовый оператор его и подавно знает. Да, это очередной механизм авторизации, без звонков и СМС, звучит удобно.

но это очень и очень не анонимно, и страшно, но ладно это инет, нам то скрывать нечего, подумаешь MITMы всякие, с кем не бывает

10. Я точно не уверен, но разве звонки в современном мире работают не Peer-to-Peer? А как соединяться P2P не зная внешнего адреса друг друга? То есть, сбор внешних адресов это видимо фишка для улучшения связи. Звонки через Макс действительно работают хорошо, так что спасибо разработчикам за то, что они до такого додумались.

SFU

А на тему креш-логов для разработчиков, таки это специальные креш-логи для разработчиков. Помогают разработчикам искать баги. Разработчики молодцы, если всеми силами пытаются сделать свой продукт лучше исправив баги. Круто, поаплодируем им!

только вот оно собирает все логи LogCat, буквально все, впнов, ютуба, инсты, думаю стоит подумать как потом это могут юзать

11. Widevine UUID "человека можно будет отследить всегда", стоп, этот ID не в человеке вписан, а в телефоне. Если я потерял или продал телефон кого он там будет отслеживать? Если это задел под дальнейший поиск потеряных/украденных телефонов, то спасибо большое разработчикам.

тут для так называемых анонимов, не всем приятно то что приложение всегда знает что ты уже запускал макс, просто не приятно, может и удобно но для меня это огромный минус ( полное абсолютное нарушение анонимности ) на уровне ME

12. Выглядит как уязвимость. До публикации статьи имело смысл подать её в баг-баунти, денег можно было заработать, наверное. Я б попробовал, если бы нашёл сам. Теперь думаю разработчики сами её пофиксят.

это она и есть, но баг баунти мне не заплатят

13. Наверное, остальное всё такое же.

нет, почему то вы самое интересное упустили и не ответили, почему же?