Мессенджер MAX замечен в обращении к иностранным сервисам определения IP

Мессенджер как троян в вашей локальной сети

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.

Схема была довольно прямолинейной: в одном случае использовали PCAPdroid — приложение, которое на Android‑устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root‑прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был «чистый», без установленных других мессенджеров и дополнительного софта.

По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP‑адреса, причём часть из них — зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы:

• api.ipify.org
• checkip.amazonaws.com
• ifconfig.me

Само по себе обращение к сервисам определения IP не преступление — например, это может быть необходимо для корректной настройки P2P‑звонков через WebRTC. Однако у VK (создателей Max) уже давно есть собственные STUN-сервера, предназначенные именно для этой задачи, и следовательно нет необходимости использовать посторонние, особенно иностранные сервисы.

Кроме того, участников форума насторожили два момента. Во‑первых, слишком много проверок IP и слишком много разных источников. Если цель просто «узнать внешний IP», обычно хватает одного сервиса. Когда их несколько, это уже похоже на попытку перепроверить результат и собрать «картину» с разных точек. Во‑вторых, в списке исходящих соединений также видны обращения клиента MAX к доменам, связанным с Telegram и WhatsApp:

• main.telegram.org
• mmg.whatsapp.net

И это уже выглядит как проверка проверка сетевой среды (например, доступ к каким доменам режется провайдером) и доступны/заблокированы ли конкуренты. Например, домен mmg.whatsapp.net используется WhatsApp для загрузки медиа по прямым ссылкам. В настоящий момент Роскомнадзор блокирует этот домен, и его можно удобно использовать для мониторинга, грузится ли контент по определенному URL с этого домена или нет — учитывая, что зачастую блокировка к «запрещенным» доменам у РКН срабатывает не сразу, а только после получения ~16кб данных с «запрещенного сервера», либо вместо блокировки происходит «замедление».

Сервис api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com — в облаке Amazon AWS. И Cloudflare, и Amazon также нередко попадают под «16кб» и «триггерные» блокировки Роскомнадзора (см. здесь и здесь), и это тоже может быть довольно характерной проверкой.

С учетом описанного выше, обращение к нескольких сервисам определения внешнего IP в разных локациях также может быть проверкой, выходит ли пользователь в интернет «напрямую» или через VPN/прокси (по расхождениям между IP‑проверками, по маршрутизации, по доступности отдельных ресурсов).

Например, если у пользователя в VPN/прокси‑клиенте настроена раздельная маршрутизация, при которой трафик до иностранных ресурсов идет через прокси/VPN, а до российских адресов — напрямую, то подобные проверки при одновременном использовании российских и иностранных сервисов покажут разные IP‑адреса в разных AS, что позволит достаточно достоверно детектировать факт наличия прокси/VPN и даже узнать выходной IP‑адрес прокси/VPN‑сервера (который при простой настройке почти всегда совпадает с входным) и впоследствии заблокировать доступ к нему.

Ну и не забываем, что с прошлого года статьей 13.52 КоАП РФ (нарушение порядка использования на территории РФ программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен) вводятся штрафы для владельцев VPN/прокси за несоблюдения запрета предоставлять доступ к информационным ресурсам, доступ к которым ограничен на территории РФ, а также за неисполнение установленного порядка взаимодействия с Роскомнадзором.

Меры предосторожности:

• Не пользоваться MAX;
  
• При необходимости пользоваться им, ставить его на отдельное «чистое» и изолированное устройство;
• При использовании VPN/прокси, настраивать для split tunneling разделение маршрутов не по GeoIP, а по приложениям (особенно учитывая, что подобным может промышлять не только Max, а вообще любое отечественное приложение);
• Использовать не один прокси‑сервер, а цепочку из двух; альтернативно — использовать на прокси‑сервере 2 IP‑адреса (один для входящих, другой для исходящих подключений), либо, при наличии только 1 IP на сервере, заворачивать исходящий трафик с прокси на Cloudflare WARP.

Оригинал https://habr.com/ru/articles/1006394/

Скам в сущности сканирует вашу сеть ,как троян.
Так что отдельный телефон с отдельной симкой.

Или меры из статьи.

Любопытно. Поделюсь с коллегами разработчиками )

Мах создан по приказу хозяев колонии рф. Менегеры рф жопы рвут ради qr id.
Эй, урапатриотики телевизерные, аууу !!!Если на диванах у телевизерах все мозги совсем не пропили, то подумайте остатками извилин, не задействованных в подтирании зада и сексуального соседа : сколько денег тратится на мега-агрессивный пиар сомнительного, глючного, воровского мессенджера ???
Ну , к примеру, стоимость роликов на ЦТ ????????
Или быть баранами проще ???

Размещено через приложение ЯПлакалъ

Все люди верят-одни верят,что бог есть-другие,что бога нет и то и другое-недоказуемо. Но все сходятся во мнении-что "хам"- нам нахуй ненужон.

Размещено через приложение ЯПлакалъ

Так-то давно об этом говорили,но тут вроде как с подтверждениями.

Размещено через приложение ЯПлакалъ

Цепочка владения
Непосредственный владелец: Мессенджер MAX разрабатывается и управляется компанией ООО «Коммуникационная платформа» (Уставный капитал: 10 000 руб.), которая является дочерней структурой технологического холдинга VK .

Акционеры VK: Одним из ключевых акционеров холдинга VK является страховая компания «Согаз» .

Владельцы «Согаза»: В свою очередь, долей в «Согазе» (по данным на 2024 год — 12,47%) через петербургскую компанию «Акцепт» владеет Михаил Шеломов . Согласно журналистским расследованиям (Андрея Захарова, изданий «Проект», OCCRP), Михаил Шеломов является двоюродным племянником президента России Владимира Путина (сыном его двоюродной сестры)

Это сообщение отредактировал Радмир80 - 5.03.2026 - 00:01

Вам пофиг а товарищу майору палка...

Размещено через приложение ЯПлакалъ

В детали можно не вдаваться

Подозрительные личности могут детектится на уровне провайдера, ващет))

Чем больше установленных МАХов - тем больше выявленных РАБОЧИХ IPшников КВН, списки РКН пополняются, те их активно глушат и цикл повторяется. Как результат целая система по поиску негодяйских адресов.

И как бонус - еще и привязка юзера КВН к личности (очевидно, не совсем лояльной личности)

А дальше бонусом можно еще и штрафы накинуть за использование КВН

Можно допустить как первый вариант, так и тот что это необходимо для выявления адресов мошенников и прочих криминальных лиц. Так что хз хз, но Макс лучше использовать там, где сеть изолирована.

Размещено через приложение ЯПлакалъ

Пользователи выяснили, что внутри госмессенджера есть модуль, который отправляет запросы как на российские, так и на зарубежные сайты, включая заблокированные, а потом анализирует их ответы. За счёт этого проверяется, насколько хорошо VPN пользователя обходит блокировки. Потом эти данные в зашифрованном виде передаются третьим лицам. Отключить функцию невозможно, так как данные отправляются вместе с трафиком госмессенджера. Фактически, смартфон с Max превращается в зонд РКН и упрощает ведомству работу над новыми блокировками VPN и иностранных ресурсов. @banki_oil

https://t.me/banki_oil/44570?single

+ 4 фото

..

..

..

тренируют нейросеть для блокировок

Ха-ха-ха, ну не может быть
По-моему вместо долгого мануала по обходу этого агента можно воспользоваться простым способом - просто нахуй не ставить себе на телефон этот блядский макс

да это наверняка было первой функцией, которую внедрили, для этого вообще ни к чему внутри телефона доступ иметь не надо.

а если его использовать только через вэбинтерфейс на компе?

Нет Мах'а - нет проблем .

А меня сегодня сильно задрал Максик ебучий - не отправляется 90% ни видео и голосовухи. Крутит-крутит, а стоит тронуть пальцем отправляемо - оно вообще пропадает. Наговорил внуку 5 минут нужного текста, отправить не могу...

Это тебе карма за голосовуху

Ну, если к нему будут вязать госуслуги, цифровой id и прочие прелести, я не очень удивлен тому, что он отслеживает использование квн, который может обманывать твое местоположение и указывать Россию, при нахождении на Украине, например.

Я не парюсь... у нас, просто, кроме него ничего по воздуху не работает.

Слушайте, начните уже, наконец, понимать, ЧТО происходит, и перестаньте обмусоливать одну и ту же тему.
Строится Интернет вещей (Картахенский протокол). Ясен пень, что в каждом "суверенном" государстве устанавливается "свой", "суверенный" месенджер, который напрямую связан с ЕДИНЫМ центром. Понятное дело, что он будет обращаться к "иностранным сервисам определения IP".
Трамп со товарищи сносит существующую систему под нужды Шваба, а назначенные для этого марионетки тем временем тихо и спокойно помогают устанавливать Новый мировой порядок... Но люди тем временем слишком заняты обсуждением отвлекающей их внимание ерунды...

Заглушку еще не сделали? что бы телефон рапортовал что Все заблокировано а квн себе дальше работал спокойно

Это сообщение отредактировал Taicho - 5.03.2026 - 18:22