Разбор фейков про МАХ: доступы, разрешения и безопасность

В последнее время в сети разгоняется много вбросов про новый мессенджер MAX от VK. 

Главная претензия во всех схожих публикациях идет к безопасности, слежке и подобному со стороны разработчиков. Мол, «Большой брат следит за тобой» и всё в этом духе.

Даже если оно и так, то конкретных подтверждений тому на данный момент нет. Сейчас покажу, какие аргументы приводят в соцсетях и почему это пшик — не более того.

Откуда всё пошло

 
На GitHub появился разобранный apk-файл приложения Max на Android. Автор подает обнаруженные данные как нечто коварное.

Если кратко, то в посте приводятся конкретные триггеры и трекеры, которые вшиты в приложение:

► У него внутри есть специальный модуль-шпион: он собирает кучу информации о пользователе: где ты находишься, какие программы у тебя стоят, как часто ты пользуешься приложением, какие действия совершаешь

► Приложение запрашивает очень много разрешений, включая доступ к уведомлениям, автозапуску и взаимодействию с другими программами. То есть в теории оно может работать глубоко внутри системы

► Часть кода специально обфусцирована (запутана), чтобы сложнее было понять, что именно делает мессенджер. Это обычно делают либо для защиты от взлома, либо чтобы скрыть неприятные функции

На фоне этого крупные Telegram-каналы и сайты разгоняют вброс о тотальной слежке и неправомерном доступе.

Как это выглядит на самом деле. Со стороны разработчика

Не буду говорить о том, что стоило бы всем этим публикаторам хотя бы немного озаботиться изучением «находок» или хотя бы прочитать комментарии под этими же самыми постами.

Начну с главного. Большая часть «страшилок» в таких репозиториях — это перечень потенциальных возможностей по манифесту.

Важно различать:

► декларируемые разрешения vs фактически выданные пользователем

► возможности SDK vs то, как конкретное приложение их включает и использует

► тип разрешения (normal/dangerous/signature/special) и связанные системные диалоги/индикаторы

Без анализа трафика, логов вызовов и реальных пользовательских сценариев это не «шпионаж», а перечисление функций. Можно было бы вообще закончить разбор на том, что Apple и Google тщательно следят за тем, чтобы в их магазины приложений не попадали те проги, которые превышают свои полномочия. А если и попадают, то надолго не задерживаются.

Но да ладно, перейдем к более детальным и наглядным вещам.

Число разрешений, которое запрашивает MAX, составляет 63 штуки. Казалось бы, невероятное число и всё пропало. Только вот… WhatsApp троебуется 85 разрешений, а Telegram — 71. Кто ещё за кем следит, получается, исходя из такой логики.

Едем дальше, к более конкретным пунктам, которые приводит автор.

SYSTEM_ALERT_WINDOW — это не «кейлоггер», а плавающие элементы

Это спецдоступ для оверлеев (чат-баблы, индикация звонка, плавающие мини-окна). Он выдаётся вручную пользователем в отдельном системном экране. Злоупотребления им возможны, но наличие разрешения говорит лишь о сценарии UI поверх других окон, который для мессенджера типичен (вызов/плеер/прочее).

REQUEST_INSTALL_PACKAGES — для установки APK из чата

Разрешает просить системный установщик поставить APK, если пользователь сам этого хочет. Установка всё равно идёт через системный диалог + настройку «Разрешить из этого источника».

Это стандарт для мессенджеров/браузеров/файловых менеджеров с пересылкой APK. Само по себе не опасно — опасна безрассудная установка пользователем.

О боже, ещё и Bluetooth требуется в MAX

Совершенно неясно, для чего же, тут 100% слежка. Хотя погодите… а доступ к наушникам, чтобы, например слушать голосовые от контактов? Обычный телеком-стек, без конспирологии.

mediaProjection для шэринга экрана, только с подтверждения юзера

Упоминаемый сервис mediaProjection обеспечивает возможность демонстрации экрана во время звонка.

Приложение физически не может «тихо» начать захват: пользователь видит системный промпт, во время трансляции есть постоянная индикация/уведомление.

MyTracker — обычная аналитика, а не шпионский модуль

Модуль com.my.tracker отвечает за обширный сбор телеметрии, пользовательских событий и персональных данных. — пишет автор поста

Тоже что-то страшное, снова потенциальная слежка. Правда, MyTracker — это типичный SDK для атрибуции установок, событий, push-рассылок, сегментации. Это индустриальный стандарт. Вопрос не в «наличии SDK», а в настройках (какие события отправляют) и политике приватности.

Инструмент интегрирован во многие приложения крупных российских и зарубежных компаний: Azur Games, SayGames, 1C–Company, Wildberries, Ozon и даже в AliExpress (ого-го!). Основные функции аналитического модуля: отслеживание установок приложения, оценка эффективности рекламной компании, отправка push-уведомлений.

Если MAX и следит за кем-то, то пока доказательств нет У MAX набор разрешений и функций абсолютно типичный для современного мессенджера со звонками, файлами и аналитикой. Ну уж точно не больше, чем у VK, «вотса» или «телеги».

Всё «страшное», перечисленное в оригинальной статье, — это стандартные механизмы, которые есть и везде. Никаких доказательств скрытого шпионажа пока нет. Речь идёт о трактовке возможностей приложения как фактов шпионажа. Не более того.

Читайте также: В Белом доме перед закрытой частью переговоров развернули огромную карту Украины (ФОТО)