Российский мессенджер MAX проверяют по трафику и находят странные запросы Участники NTC-форума, исследующего интернет-цензуру и обход блокировок, сообщили о необычном сетевом поведении мессенджера MAX: по их данным, официальный APK регулярно обращается
к нескольким сервисам определения внешнего IP, в том числе зарубежным, а также пытается установить соединения с доменами Telegram и WhatsApp.
Поводом для обсуждения стал разбор сетевого трафика MAX на Android. В одном случае использовали PCAPdroid — приложение, которое перехватывает соединения,
создавая на устройстве VPN-профиль без root-прав. В другом случае анализировали трафик в эмуляторе на «чистом» образе системы, без других мессенджеров
и дополнительного софта. Описание методики и дампы трафика участники выложили в открытый доступ, а затем тему пересказали на Habr.
В опубликованных логах фигурируют обращения к публичным сервисам определения IP-адреса. Среди доменов называются:
— api.ipify.org
— checkip.amazonaws.com
— ifconfig.me
Такие запросы сами по себе не являются чем-то исключительным: приложения могут определять внешний IP для настройки P2P-соединений и звонков, диагностики
качества сети или подбора ближайших серверов. Вопрос у исследователей вызвали частота и «пакетность» проверок — когда IP запрашивается не у
одного источника, а сразу у нескольких, причём в разных инфраструктурах.
Второй блок вопросов связан с тем, что в списке исходящих соединений упоминались домены, относящиеся к конкурентам:
— main.telegram.org
— mmg.whatsapp.net
По версии участников форума, подобные обращения могут использоваться как проверка сетевой среды: доступен ли ряд «контрольных» доменов, не включены ли
блокировки или замедление на уровне провайдера, не работает ли пользователь через VPN/прокси. Отдельно отмечалось, что mmg.whatsapp.net используют для загрузки медиа
по прямым ссылкам, а потому такой домен удобен как «маячок» доступности медиаконтента.
Ещё одна гипотеза — проверка устойчивости маршрутизации в условиях фильтрации трафика, когда деградация соединения проявляется не сразу, а после передачи
части данных. В таком случае обращения к внешним сервисам и «чувствительным» доменам могут работать как технический тест: насколько стабильно проходит
трафик, нет ли характерных обрывов и задержек. При этом без комментария разработчика нельзя однозначно сказать, какие именно проверки заложены в
клиент и с какой целью.
Сам MAX позиционируется как российский мессенджер для общения и звонков, доступный через официальный сайт и магазины приложений. На момент публикации
разработчик публично не объяснял, почему клиент обращается к конкретным внешним сервисам и доменам, упомянутым в разборе.
ИЗНАНКА
История с MAX напоминает простое правило кибергигиены: поведение приложения — это не то, что оно обещает в описании, а то,
что оно реально делает в сети. Даже если у запросов есть легитимная техническая причина, прозрачность важнее догадок — потому что
доверие к мессенджеру держится на проверяемости.
Фото: ИЗНАНКА.
Читайте, ставьте лайки, следите за обновлениями в наших социальных сетях и присылайте материалы в редакцию.
ИЗНАНКА — другая сторона событий.
Читать на сайте: http://iznanka.news/articles/Interesnoe/Rossiyskiy-messendzher-MAX-proveryayut-po-trafiku-i-nakhodyat-strannye-zaprosy.html