Тема
Режим
Язык
Главная
Статьи
Экспертные материалы о защите
Гайды
Пошаговые руководства
Глоссарий
Термины кибербезопасности
Инструменты
Бесплатные утилиты проверки
Безопасность
Аудит, DDoS-защита, пентесты
DevOps
CI/CD, Kubernetes, мониторинг
Мобильная разработка
iOS, Android, Flutter, React Native
Веб-разработка
Сайты, порталы, SaaS-платформы
Дизайн
UI/UX, прототипы, дизайн-системы
Кейсы
Тарифы
О проекте
Тема
Режим
Язык
Консультация
FREE Бесплатный аудит сайта за 15 мин Заказать →
NEW Остановили 2 млн атак credential stuffing Кейс →
Разборы атак и инструменты Telegram →
70% трафика могут быть ботами Проверить →
SOS Сайт под атакой? Поможем за 30 мин SOS →
AntiDDoS.su
Портал Услуги О проекте
Статья

Мессенджер MAX от VK обнаружен в обращении к иностранным сервисам и серверам конкурентов

Исследователи обнаружили подозрительную сетевую активность российского мессенджера MAX: приложение обращается к зарубежным сервисам определения IP и доменам Telegram и WhatsApp.

Редакция AntiDDoS.su ·

Участники форума NTC.party, посвящённого исследованиям интернет-цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX от VK. Анализ официального APK-файла с помощью инструмента PCAPdroid выявил ряд подозрительных соединений.

Обращение к иностранным сервисам

По данным исследователей, мессенджер MAX регулярно обращается к нескольким сервисам для определения внешнего IP-адреса, включая зарубежные:

  • api.ipify.org (сеть Cloudflare)
  • checkip.amazonaws.com (облако Amazon AWS)
  • ifconfig.me

Само по себе обращение к сервисам определения IP не является нарушением — это может быть необходимо для настройки P2P-звонков через WebRTC. Однако у VK уже есть собственные STUN-серверы для этой задачи, что делает использование сторонних сервисов избыточным.

Проверка доступности конкурентов

Особую настороженность вызвали обращения клиента MAX к доменам, связанным с конкурирующими мессенджерами:

  • main.telegram.org
  • mmg.whatsapp.net

Домен mmg.whatsapp.net используется WhatsApp для загрузки медиафайлов и в настоящее время блокируется Роскомнадзором. По мнению исследователей, подобные запросы могут использоваться для мониторинга блокировок и проверки, доступны ли пользователю конкурирующие сервисы.

Возможное детектирование VPN

Исследователи предполагают, что обращение к нескольким сервисам определения IP в разных локациях может использоваться для выявления использования VPN или прокси. При раздельной маршрутизации трафика подобные проверки покажут разные IP-адреса, что позволит достоверно детектировать факт использования средств обхода блокировок.

С учётом действующих штрафов по статье 13.52 КоАП РФ за нарушение порядка использования VPN, подобный сбор информации вызывает серьёзные вопросы о целях и последствиях такой телеметрии.

Рекомендации по безопасности

Исследователи рекомендуют пользователям:

  • Избегать использования мессенджера MAX
  • При необходимости использовать его на изолированном устройстве
  • Настраивать split tunneling по приложениям, а не по GeoIP
  • Использовать цепочки прокси-серверов вместо одиночных

Источник: Habr.com

Получите план защиты под ваш сайт

Оставьте контакт и адрес сайта — пришлём план защиты и список приоритетных шагов.

  • Приоритетные шаги на 7 дней
  • Быстрая обратная связь
  • План в удобном формате
Без спама. Можно указать Telegram (@username) или email.
Написать в Telegram

Читайте также

Статья

Bot Rules: чек-лист защиты от ботов

Читать →
Статья

CI/CD Pipeline Security: защита от атак на цепочку поставок

Читать →
Статья

Массовый сбой мобильной связи на юге Москвы: операторы ссылаются на меры безопасности

Вечером 5 марта жители южных районов столицы столкнулись с полным отключением мобильной связи и интернета. Операторы...

Читать →
← Все статьи Нужна помощь?