Мы уже писали о рисках неофициальных клиентов Telegram: разбирали, почему не стоит доверять свои переписки сборкам от анонимных разработчиков, и даже видели, как один из таких клиентов — Telega — лишился TLS-сертификата после того, как его домены пометили как шпионское ПО. А вот про MAX на эту тему мы ещё не говорили. Пора исправить.
Почему вообще появляются такие клиенты
У MAX репутация приложения с широким набором разрешений и активной телеметрией — это не секрет и не сюрприз для тех, кто следит за темой. Отсюда естественный спрос на модификации, которые обещают «почистить» приложение: обрезать слежку, оставить функциональность. Один из таких проектов — MIN, модификация от анонимного разработчика под ником Rise0x00, которая патчит декомпилированный smali-код официального MAX.
Что обещает MIN
Автор заявляет, что мод убирает два конкретных сервера аналитики и запросы на определение внешнего IP-адреса пользователя. Звучит привлекательно — но здесь стоит разделить то, что подтверждается статическим анализом кода, и то, что остаётся на слово автора.
Что подтвердилось при проверке
Наша независимая проверка исходников и собранного релизного APK показала: два домена аналитики (сервис MyTracker от VK и трекер ru.ok.tracer) в коде действительно заменены на 127.0.0.1 — то есть перестают получать данные. Оригинальные адреса из кода вырезаны полностью, не просто продублированы. Сервисы определения IP (ipify, ifconfig.me и подобные) в собранном APK тоже не встречаются.
Явных признаков бэкдора не нашли: посторонних пакетов и классов нет, подозрительных компонентов в манифесте нет, приватный ключ подписи в историю коммитов не попадал.
А вот здесь начинаются нюансы
Телеметрия не убрана — она сужена. Заявленная функция вырезания трекинга затрагивает только два конкретных адреса. Сам фреймворк ru.ok.tracer.* — сбор крашей, метрик производительности, дампов памяти — остаётся в приложении включённым и продолжает инициализироваться при запуске. Мод не отключает слежку как класс, а точечно глушит две известные точки.
И это не отменяет главного: сервер видит всё равно всё. Даже если клиентское приложение вообще не шлёт отдельную телеметрию, каждый запрос к API MAX — отправка сообщения, открытие чата, любое действие — неизбежно логируется на стороне сервера вместе с IP-адресом пользователя. Патч в клиенте меняет, что видит сторонняя аналитика, но не меняет того, что видит сама платформа. Это стоит понимать любому, кто ставит модификацию ради приватности: анонимности от самого MAX она не даёт и дать не может.
Разрешения почти не урезаны. Камера, микрофон, контакты, геолокация, NFC, автозапуск при загрузке устройства — всё как в оригинальном приложении. В ранних версиях мода часть разрешений убирали, но затем вернули — иначе часть функций просто переставала работать.
Главный риск — не в том, что нашли, а в том, чего не видно
APK подписан самопальным сертификатом одного анонимного человека. Это означает три вещи одновременно:
- вы доверяете доступ к камере, микрофону и геолокации разработчику, которого никто не проверяет;
- обновления идут только через GitHub Releases без какой-либо цепочки верификации — чистота текущей сборки ничего не говорит о следующей;
- Issues в репозитории отключены, то есть независимой обратной связи от сообщества там тоже нет.
И здесь ключевой момент: статический анализ проверяет то, что есть в коде сейчас. Он ничего не говорит о том, что появится в следующем обновлении. Вредоносный функционал может быть добавлен в любой момент — без предупреждения, без возможности сравнить с предыдущей версией до того, как обновление уже установится. Для приложения с доступом к микрофону, камере и контактам это не абстрактный риск, а вопрос времени.
Это касается не только MIN
Всё сказанное выше — не претензия к конкретному проекту, а особенность любых сторонних клиентов как класса. Сегодня статический анализ MIN не нашёл явного вредоносного кода — но то же самое можно было сказать и про Telega до того, как её домены пометили как шпионское ПО. Любая модификация мессенджера с доступом к камере, микрофону, контактам и геолокации — это добровольная передача контроля над этими разрешениями анонимному разработчику, чья следующая сборка никем не проверяется. Вопрос не в том, насколько чист конкретный клиент прямо сейчас, а в том, что сама модель доверия здесь устроена так, что гарантий на будущее не даёт ни один такой проект.
Что с этим делать
Если вы всё же хотите пользоваться модифицированным клиентом ради урезанной телеметрии — самый безопасный вариант не ставить готовый APK от анонимного автора, а собирать приложение самостоятельно из исходников, сверяя diff перед каждым обновлением. Это требует времени и минимальных навыков работы с Android-инструментами, зато убирает риск слепого доверия чужой сборке.
Но в целом наша позиция та же, что и по Telegram-клиентам: официальное приложение — единственный вариант, который гарантирует, что установленное вами сегодня и то, что окажется у вас на телефоне после следующего автообновления, будет проверяться хоть кем-то, кроме одного анонимного разработчика.
