рассуждения
•
•
3,049 просмотров
@p1ngpub специально для @z_vorchun
Увеличить
@p1ngpub специально для @z_vorchun
Гайз, помните, я пару месяцев назад писал, что через ВК и Яндекс Аппы могут вычислять VPN-гейты и рассылать провайдерам «письма счастья»?
Кто-то тогда согласился, кто-то отнесся скептически.
Ну так вот 👇
Пользователь runetfreedom на Хабре взял и провёл полноценный реверс-инжиниринг мессенджера MAX.
Перехватил трафик через mitmproxy, разобрал их кастомный протокол — и нашёл встроенный шпионский модуль.
Сам модуль определяет, включён ли VPN на устройстве.
Собирает ваш IP из нескольких источников — и российских (Яндекс, Mail.ru), и зарубежных (ipify, AWS, ifconfig.me).
Зачем оба?
Чтобы поймать сплит-туннелинг и вычислить адрес VPN-сервера.
Пингует заблокированные ресурсы (тг, ватсапп), проверяя, доступны ли они вам.
Фиксирует оператора связи (MTS, Мегафон и т.д.).
Отправляет всё это на сервер MAX, причём прямо через основной канал мессенджера, чтобы нельзя было заблокировать аналитику отдельно.
Ну и шпионское ПО не шпионское ПО, если бы модуль не управлялся удалённо и не мог включаться таргетно для конкретных аккаунтов.
Конечно, точные цели сбора этих данных мы можем только предполагать — автор статьи честно это оговаривает.
НО…
По моему ИМХО, вариант с вычислением VPN-серверов выглядит наиболее вероятным.
Судите сами: зачем одновременно собирать IP из российских и зарубежных источников, проверять доступность именно заблокированных ресурсов и фиксировать наличие VPN — если не для того, чтобы вычислять адреса VPN-шлюзов? 🤔
По сути, миллионы устройств с MAX превращаются в распределённую сеть по обнаружению VPN:
- Собрал пары «российский IP / зарубежный IP» с кучи устройств
- Вычислил адреса VPN-шлюзов
- Передал на блокировку.
Особенно эффективно это бьет по приватным серверам, где входной и выходной IP совпадают.
Не утверждаю, что это единственное объяснение. Но, на мой взгляд, самое логичное.
З.Ы. Пока я писал этот пост, в комментариях к статье люди уже написали, что замечали подобное на практике: туннели, которые используются параллельно с госприложениями, со временем блокируются. А «запасные», через которые не ходит российский трафик — живут.
З.З.Ы. Там уже демедж-контроль пошел, о том, что это всё только ради людей, только ради звонков через WebRTC 🤦♂️
Гайз, помните, я пару месяцев назад писал, что через ВК и Яндекс Аппы могут вычислять VPN-гейты и рассылать провайдерам «письма счастья»?
Кто-то тогда согласился, кто-то отнесся скептически.
Ну так вот 👇
Пользователь runetfreedom на Хабре взял и провёл полноценный реверс-инжиниринг мессенджера MAX.
Перехватил трафик через mitmproxy, разобрал их кастомный протокол — и нашёл встроенный шпионский модуль.
Сам модуль определяет, включён ли VPN на устройстве.
Собирает ваш IP из нескольких источников — и российских (Яндекс, Mail.ru), и зарубежных (ipify, AWS, ifconfig.me).
Зачем оба?
Чтобы поймать сплит-туннелинг и вычислить адрес VPN-сервера.
Пингует заблокированные ресурсы (тг, ватсапп), проверяя, доступны ли они вам.
Фиксирует оператора связи (MTS, Мегафон и т.д.).
Отправляет всё это на сервер MAX, причём прямо через основной канал мессенджера, чтобы нельзя было заблокировать аналитику отдельно.
Ну и шпионское ПО не шпионское ПО, если бы модуль не управлялся удалённо и не мог включаться таргетно для конкретных аккаунтов.
Конечно, точные цели сбора этих данных мы можем только предполагать — автор статьи честно это оговаривает.
НО…
По моему ИМХО, вариант с вычислением VPN-серверов выглядит наиболее вероятным.
Судите сами: зачем одновременно собирать IP из российских и зарубежных источников, проверять доступность именно заблокированных ресурсов и фиксировать наличие VPN — если не для того, чтобы вычислять адреса VPN-шлюзов? 🤔
По сути, миллионы устройств с MAX превращаются в распределённую сеть по обнаружению VPN:
- Собрал пары «российский IP / зарубежный IP» с кучи устройств
- Вычислил адреса VPN-шлюзов
- Передал на блокировку.
Особенно эффективно это бьет по приватным серверам, где входной и выходной IP совпадают.
Не утверждаю, что это единственное объяснение. Но, на мой взгляд, самое логичное.
З.Ы. Пока я писал этот пост, в комментариях к статье люди уже написали, что замечали подобное на практике: туннели, которые используются параллельно с госприложениями, со временем блокируются. А «запасные», через которые не ходит российский трафик — живут.
З.З.Ы. Там уже демедж-контроль пошел, о том, что это всё только ради людей, только ради звонков через WebRTC 🤦♂️
#VPN
#Max
#Слежка
#РКН
#Блокировки
#Приватность
#РеверсИнжиниринг
Понравился пост?
Обсуди его в Telegram-канале!
Обсуждение
Комментарии доступны через Telegram. Для участия в обсуждении нужен аккаунт Telegram.
Поделиться: Telegram
