Мессенджер «Макс», недавно появившийся на рынке, запрашивает у пользователей подозрительно широкий набор разрешений — от доступа к камере и микрофону до отслеживания точной геолокации и управления аккаунтами на устройстве. К такому выводу пришел любопытствующий россиянин, проанализировавший код нового мессенджера. Своими наблюдениями он поделился на Хабре.
Разбор кода показал, что «Макс» может автоматически запускаться при включении телефона, загружать файлы без уведомлений, а также использовать сервисы для записи экрана. Кроме того, в манифесте нашли уязвимости, позволяющие сторонним приложениям запускать скрытые активности.
При этом часть запросов логична для мессенджера (камера, микрофон, контакты), но набор «дополнительных возможностей» заставил экспертов сравнить программу с вредоносным ПО. Фактически пользователь отдаёт «Максу» доступ почти ко всей своей цифровой жизни.
Итак, по очереди. Вот, например, что находится в одном из самых файлов под названием AndroidManifest.xml — в нем содержится инфа, по которой можно составить представление о приложении, и даже сформировать поверхность атаки.
Вот какие строки там нашлись:
READ_PHONE_NUMBERS - доступ к телефонным номерам
RECORD_AUDIO - запись аудио
READ_MEDIA_IMAGES, READ_MEDIA_VIDEO - доступ к медиафайлам
READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE - доступ к файловой системе
CAMERA - доступ к камере
USE_FINGERPRINT - доступ к биометрии
GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS - полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.
android:excludeFromRecents="true" - после того как пользователь завершит работу с этой активностью, она не появится в списке последних приложений (который вызывается кнопкой "Недавние"). Тактика скрытности налицо.
android:exported="true" - эта активность может быть запущена извне — другим приложением на устройстве или даже из браузера по специальной ссылке. Эта уязвимость может быть критической.
ACCESS_WIFI_STATE, ACCESS_NETWORK_STATE - мониторинг сети Bluetooth разрешения - полный контроль Bluetooth CHANGE_WIFI_STATE - изменение состояния Wi-Fi. Могут мешать работе сети, перехватывать трафик.
LinkInterceptorActivity - с возможностью перехвата deeplinks:
INTERNET - полный доступ в интернет.
FOREGROUND_SERVICE_DATA_SYNC - механизм незаметной фоновой синхронизации данных. Может постоянно собирать данные.
DOWNLOAD_WITHOUT_NOTIFICATION - позволяет скачивать файлы без уведомления пользователя (скрытые загрузки).
Вот еще интересная штука:
Ресивер для автозапуска при включении устройства BootCompletedReceiver с тремя разными действиями (BOOT_COMPLETED, QUICKBOOT_POWERON) — означает, что программа может запуститься не только сразу после включения телефона, но и даже до момента его разблокировки.