15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще
Я декомпилировал APK мессенджера MAX и проверил его поведение по коду. нашёл: скрытый SDK деанонимизации с отправкой реального IP в обход VPN на сторонний домен, недокументированную запись аудио со звонков по команде сервера, отключённую проверку TLS-сертификатов в QUIC-канале медиа, серверный C2-канал через WebSocket с командами выгрузки контактов и логов, аппаратный фингерпринт через Widevine DRM, ZipSlip в загрузчике моделей, передачу номера телефона по открытому HTTP, силовое обновление в обход Google Play, управление NFC-payload из мини-приложений, трекинг адресной книги в реальном времени и ещё несколько находок. Все находки сверены с реальным кодом, ссылки на файлы и классы в zarazaex69/m
Читать далееИсточник: Хабрахабр
Похожие новости
- AI-пентестер: охотник или добыча
- [Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
- Сибирскому провайдеру погрозили пальцем за утечку данных десятков тысяч пользователей
- Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1
- GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие
- Spark_news: 85% фрилансеров не знают, что такое полноценный отдых
- [Перевод] YellowKey: zero-day эксплойт полностью обходит стандартную защиту BitLocker в Windows 11
- Почему ИИ-боты более уязвимы, чем их базовые LLM-модели?
- Spark_news: Компании в сфере туризма и ПО стали драйверами рекламного рынка
- Air Production: Как построить ecom для мебельного ритейла с каталогом в 100 000 SKU и 2 млн конфигураций товаров