Forwarded from ITsec NEWS
Мессенджер Max снова в эпицентре скандала — приложение, которое власти планируют превратить в «национальный» коммуникационный сервис, за последний месяц собрало внушительный список вопросов к безопасности и приватности. И дело не только в сырости софта или низких оценках пользователей.
Первое, что вызвало волну критики — доступ к данным, о котором пользователь узнаёт только постфактум. Max при установке через RuStore получает список всех установленных приложений на Android, что по стандартам безопасности вызывает как минимум удивление. Дополнительно приложение имеет доступ к буферу обмена — а значит, если в нём были пароли, кошельки или другая чувствительная информация, риски очевидны.
Дальше — интереснее. Исследователи выяснили, что внутри Max используется библиотека uCrop — продукт украинской компании Yalantis. Для мессенджера, который позиционируется как безопасная альтернатива западным сервисам, это звучит как минимум странно. Политика импортозамещения, судя по всему, пока ограничивается маркетингом.
Компания-разработчик Max — «Коммуникационная платформа» — по данным реестров, состоит из двух человек. Лицензий ФСТЭК и ФСБ на использование криптографии у них нет, а это обязательное требование для работы с данными на уровне, который предполагает государственная интеграция.
Обещанная «высокая защищённость» и «локализация данных» на деле тоже вызывает вопросы. По данным Anti-Malware.ru, часть информации уходит на зарубежные сервера. Приложение не прошло сертификацию российских регуляторов, а значит, его внедрение в госуслуги или другие системы — потенциальный риск.
На практике всё это уже сказывается. Пользователи жалуются на баги, вылеты и нестабильность. Журналисты из DTF столкнулись с тем, что приложение зависало при выборе аватарки, регистрацию удалось пройти только с четвёртой попытки, помогла переустановка. В iOS-версии Max реализовали переводы между пользователями, но в Android этого нет до сих пор.
Фактор зарубежных технологий подтверждают и разборы кода на DTF и Pikabu. uCrop — лишь один из примеров, а учитывая политический и кибербезопасный контекст, такая практика — потенциальная угроза.
Конечно, есть и те, кто считает критику частью конкурентной борьбы, особенно учитывая планы Минцифры активно внедрять Max, интегрировать его с Госуслугами и другими сервисами. Но пока что реальность выглядит так: вместо безопасного госмессенджера мы получили сырое приложение с чужими библиотеками, отсутствием лицензий и рисками утечек. И вопрос о том, кто на самом деле контролирует ваши данные, остаётся открытым.
#утечка #мессенджеры #max
ITsec NEWS
Первое, что вызвало волну критики — доступ к данным, о котором пользователь узнаёт только постфактум. Max при установке через RuStore получает список всех установленных приложений на Android, что по стандартам безопасности вызывает как минимум удивление. Дополнительно приложение имеет доступ к буферу обмена — а значит, если в нём были пароли, кошельки или другая чувствительная информация, риски очевидны.
Дальше — интереснее. Исследователи выяснили, что внутри Max используется библиотека uCrop — продукт украинской компании Yalantis. Для мессенджера, который позиционируется как безопасная альтернатива западным сервисам, это звучит как минимум странно. Политика импортозамещения, судя по всему, пока ограничивается маркетингом.
Компания-разработчик Max — «Коммуникационная платформа» — по данным реестров, состоит из двух человек. Лицензий ФСТЭК и ФСБ на использование криптографии у них нет, а это обязательное требование для работы с данными на уровне, который предполагает государственная интеграция.
Обещанная «высокая защищённость» и «локализация данных» на деле тоже вызывает вопросы. По данным Anti-Malware.ru, часть информации уходит на зарубежные сервера. Приложение не прошло сертификацию российских регуляторов, а значит, его внедрение в госуслуги или другие системы — потенциальный риск.
На практике всё это уже сказывается. Пользователи жалуются на баги, вылеты и нестабильность. Журналисты из DTF столкнулись с тем, что приложение зависало при выборе аватарки, регистрацию удалось пройти только с четвёртой попытки, помогла переустановка. В iOS-версии Max реализовали переводы между пользователями, но в Android этого нет до сих пор.
Фактор зарубежных технологий подтверждают и разборы кода на DTF и Pikabu. uCrop — лишь один из примеров, а учитывая политический и кибербезопасный контекст, такая практика — потенциальная угроза.
Конечно, есть и те, кто считает критику частью конкурентной борьбы, особенно учитывая планы Минцифры активно внедрять Max, интегрировать его с Госуслугами и другими сервисами. Но пока что реальность выглядит так: вместо безопасного госмессенджера мы получили сырое приложение с чужими библиотеками, отсутствием лицензий и рисками утечек. И вопрос о том, кто на самом деле контролирует ваши данные, остаётся открытым.
#утечка #мессенджеры #max
ITsec NEWS
👍126🤔43👎41❤15😁13👏9🔥3🤬2