Выложили на https://github.com/noxzion/MAX-decompiled
Особый интерес в папочке defpackage: 14617 файлов с обфусцированным кодом.
Меня интересовал лишь один аспект - имеет или не имеет мессенджер Max обфусцированный код, скрытый от пользователя. Я его обнаружил.
Также я сделал вывод о наличии их собственной системы обфускации кода с уникальными решениями. Это требует серьезных затрат и творческого подхода.
Такие вещи не разработает кодер средней руки. Нужен архитектор высокого уровня.
Поэтому я с уважением отношусь к профессионализму создателей обфускатора.
Выводы делайте сами.
Использованные источники:
Комментарии
https://aftershock.news/?q=comment/18976712#comment-18976712
Еще раз - нам нужен свой суверенный продукт, ещё вчера был нужен, но не это же
гавноподелка студентов второго курса...p/s - пока это будет отдано на аутсорс частникам (деткам больших начальников) результата не будет, что бы там не визжали охранители капитализма...
Изменили схему нумерации версий с "классической", на "год.месяц" - делов-то.
делов то - бетка стала супер проверенной версией в 25-ой ревизии - это как твою жену на свадьбе трах**ли 25 раз - она же только лучше стала? это же так работает?
- кацец уровень логики...
p/s - "Изменили схему нумерации версий с "классической", на "год.месяц" - делов-то." - т.е. вообще не в курсе как идёт нумерация ревизий? Даю подсказку - "09" это не месяц
Ага, с с 18 по 26 iOS был перерыв в супружеских отношениях уже у Эппл?
не позорьтесь
вообще не смешно - сове больно, к чему эта дурь?
смирись с достойным аргументом)
каким? а то, пацаны то и знают )
Господа, прошу перенести личные разборки в личку
сорри...
Календарная версия вместо классического semver? Так себе решение. Смысл каждой цифры в semver хорошо описан и логически обоснован. Варианты возможны и домашние вариации на тему не возбраняются, но зачем хранить в версии год её выпуска? Какую полезную информацию это даёт пользователю? Надеюсь, просто совпадение.
Пользователя как раз часто интересует именно от какой даты версия (свежая, прошлогодняя, пятилетней давности...).
semver важен для библиотек и языков программирования (и опять контрпример с C++ и Rust).
Несвободный протокол по сути проприетарный, со всеми вытекающими. Меняется только место, куда стучит этот мессенджер.
Да в целом, свободный протокол с закрытыми серверами тоже ничего не гарантирует. В том же телеграме сквозное шифрование по-умолчанию отключено и работает только в специальных "секретных" чатах. Обычное общение идёт через тот же TLS до сервера, что и у Max. Что же касается "секретных" - там обмен ключами идёт по DH через сервера того же телеграма и ничего не мешает ему в теории встроиться в середину. Конечно, вы можете сравнить картинки и поймать его за руку и никто, вроде бы, пока не поймал. Но многие ли вообще этим занимаются? И, главное, совершенно никто не мешает телеграму отменить всю эту секретность в любой момент и начать встраиваться во все секретные чаты "в середину" (или не все, а только у некоторых нужных людей) и узнаете вы только когда (если) кто-то заметит и поднимет вой (в каналах телеграмма, ага). Короче, собственноручно собранный pgp + email - это максимум на что может надеяться обычный пользователь. Даже насчёт "войны и мира" в качестве одноразового шифроблокнота я бы в наше время больших данных уже не надеялся.
Собственноручно собранный на устройстве, собственноручно спаянном, и с внешним миром общающимся очень, очень ограниченно.
Т.е. набрал на нём письмо, зашифровал, скинул на флешку (никаких беспроводных сетей!) и послал. Ответ получил - и в обратную сторону.
Только так, иначе это всё равно полная лажа.
Есть вероятно, заинтересанты в безопасности довольно влиятельные. Во всяком случае, пока что, картельного сговора нет, или я ошибаюсь? Ситуация такая, есть глобализм - есть согласие по поводу слежки, хотя-бы есть центр слежки. Если глобализма, согласия и гегемона нет, все начинают играть против всех и заинтересованы в конфиденциальности хотя-бы своих сношений. Ну и нам перепадает с их стола. Мессенджеры нынче это поп-комбайны и априори дыра.
Да, в общем, безопасность это не прям очень просто, но и не настолько сложно, чтобы не осилить группой энтузиастов. Анальные зонды засунутые во всю поголовно электронику и стучащие в единый мировой центр злодеев - это из области параноидальных фантазий. Какие-то зонды, стучащие вразнобой нашим и вашим - да, наверняка. Но настолько, чтобы умеренно грамотный человек интересующийся вопросом не мог себе обеспечить высокую приватность в некоторых конкретных вопросах - это вряд ли. Совсем не обязательно собирать для этого в подвале "Энигму" по оригинальным чертежам. Ну и не забываем Пелевина с его "не Тайная Ложа, а явная лажа". Имея некоторый опыт работы в корпоративной среде могу с уверенностью сказать - если "всеобщей слежкой" занимается не малая группа в пару десятков супергениев на подземной базе, а сколь-нибудь крупная организация (в Palantir, к примеру 4к человек, а это максимально близкая контора к описываемому идеалу), то там количество белых пятен, отказов и потерь достаточное, чтобы десяток Алькаид пролезли незаметно, не то, что ваша секретная встреча с мужиками на рыбалке в следующие выходные.
Может и из фантазий следящего. Я сталкивался в комментариях с человеком, который считал себя частью власти и надсмотрщиком над нами, неразумными. У него была идея и он ещё удовольствие получал. Идея его - первенство в технологическом переходе, который принесёт счастье, конечно же. И ради этого нужно следить за стабильностью, выявлять нестабильный элемент. Ну а как следят? Автоматически, по фильтрам, по сигнатуре поведения. Несколько маркеров, проявленных одновременно и пожалуйте в подозреваемые. Ну вот тому человеку я сказал, что свой шестой технологический уклад он будет делать сугубо сам.
Блин!
Так ведь эта вся слежка - она не для поиска "Аль-Каиды".
Профессиональные организации террористов, ещё и спонсируемые/снабжаемые/обучаемые государствами и спецслужбами (вы ведь не думаете, что Аль-Каида - это группа самопальных энтузиастов? Или что Навальный - вот он сам такой получился) - они действительно сквозь эту слежку пройдут и не заметят.
А вот для людей средних, которым в общем-то скрывать особо нечего - это создаст реальные проблемы.
а) Такая система будет активно использоваться для коммерческого шпионажа. Государство оплатило расходы - теперь частные лица за небольшой прайс получат доходы.
б) Отличный механизм для шантажа. У каждого человека есть вещи, которые он не хотел бы, чтобы знали другие. Они могут быть недостаточны для вербовки разведкой, но вот использовать для частной наживы или разрушить человеку жизнь - пожалуйста. Помните перформанс: "Е*и матрас", а? Вот пример: человека засняли за в общем-то ненаказуемым, но стыдным действием - и фактически создали большую проблему в его политической "карьере". А сколько было историй о случаях, когда на ноутбук ставили шпионское ПО, и сливали видео, снятое через его камеру?
в) Разделение на "элиту" и обычных людей - "элита" может себе позволить жить без слежки, а вот обычные люди - нет.
В сети есть аудио интервью «Осколки реальности», Александр Глаз. Где мельком он упоминает о работе в КГБ, где 15 лет отслеживал разных персонажей, на которых ему указывали. Просто принять мысль, что если надо, найдут.
ничего не понятно, но очень интересно
что за папка скаут, кстати ?
в любом случае, приложение не дает представления о том, что происходит с данными на серверах
да и заявленная цель для макса - служить основой для развития цифровизации, контроля, учата гражданина и взаимодействия с ним
И что там не так?
https://habr.com/ru/articles/938518/
есть такой же разбор по телеге или иным конкурентам для сравнения?
В телеге весь код открыт. Я ее смотрел, но давненько.
Насчёт ватсапа - не интересовался. Но вопрос хороший.
не весь - код сервера Telegram закрыт (как минимум из коммерческих соображений).
там то всё "интересное" и происходит
Это очевидно
ну раз очевидно, зачем вводить читателей в заблуждение фразой
Речь об анализе клиентского приложении путем декомпиляции apk. Ясно же, что не о серверной части речь 🤣
У WhatsApp нет такой папочки с обфусцированным кодом или что? На что обратить внимание то?
Напомнило. 2000год. Сижу в каком-то чате(от торрент клиента), мне канадка там докладывает: "Так мол и так, вам правителя неправильного поставили". Возмущалась вобщем, не довольная была чем-то.
Хороший вопрос насчёт ватсапа. Может быть гляну. Телегу я смотрел, но давненько.
Посмотрел. В первом приближении нет. Скорее всего они заложили скрытые уязвимости.
Было давнее подозрение, что текст вскрывается в Вацапе вообще всеми подряд, а в тележке как минимум заинтересованными лицами. Зато голос не вскрывается без прицельной работы с клиентом и мощных вливаний ресурсов ни в одном ПО с шифрованием голоса и видео. Блокировка именно голоса и видео в них это подозрение укрепили.
Ватсап в принципе очевидно американский троян. Если есть возможность не использовать ватсап - прекрасно.
Но меня удивляют отношения государства с телеграмом. Ведь бэкграунд компании русский.
>>Ведь бэкграунд компании русский
согласен. а детали можно обсудить.
например надо ли было 5тр купюры разбрасывать на Невский
Да, вы правы.
пфф.. по числу упоминаний в медиа это вышла очень выгодная реклама... как не бывает и плохого PR...
Обосратушки всего русского от "партнёров", иноагентов и бывших соотечественников под ноунеймами продолжаются, ничего нового. Собаки лают, караван идёт.
Речь о технических деталях.
Чем плох обфусцированный код?
Обфусцирование применяется для сокрытия исполняемого кода.
На это потрачены очень серьезные усилия.
Я прекрасно знаю, что такое обфускация, ибо пользуюсь в своих проектах.
Чем плохо, спрашиваю?
Я лишь указываю техническую особенность.
технически это иногда применяется для уменьшения объёма и ускорения загрузки, на js часто, реакты там всякие и т.п.
Какие усилия? Утилит полно.
Во времена нейросеток не удивлюсь, что можно привести в читаемый вид за день.
Грамотная обфускация кода многослойна, нелинейна, многокомпонентна. Может и часто используется динамическая обфускация.
Для деобфускации может потребоваться создание собственной песочницы. Это трудоемкая работа.
Вы уже провели анализ и можете доказать технически, что была применена грамотная многослойная нелинейная и многокомпонентная обусификация в коде макса?
Меня не интересует ее сложность. Это дело разработчиков.
Меня интересовал единственный аспект - имеется ли такой код в принципе. Отредактировал пост.
Вы в своем комментарии уже тут по ветке, отметили что разрабочик заморочился огромным количеством усилий чтоб выполнить обусификацию. Я вам в ответ парировал, что обусифицировать можно буквально 1 кнопкой и где то парой тройкой минут машинного времени среднебюджетного офисного компьютера. В связи с чем и возник вопрос, есть ли у вас сведения или доводы о том, что обусификация была высокоуровневая, а не та самая кнопкотыковая, доступная любому школьнику.
Я сделал вывод о наличии их собственной системы с собственными решениями, отличными от других известных систем обфускации. Это требует серьезных затрат и творческого подхода.
Такие вещи не разработает кодер средней руки. Нужен архитектор высокого уровня.
Поэтому я с уважением отношусь к профессионализму разработчиков данной системы.
А, то есть все таки анализировали. Понял, тогда вопрос снимается.
Страницы