Мессенджер MAX замечен в обращении к иностранным сервисам определения IP

Мессенджер как троян в вашей локальной сети

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.

Схема была довольно прямолинейной: в одном случае использовали PCAPdroid — приложение, которое на Android‑устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root‑прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был «чистый», без установленных других мессенджеров и дополнительного софта.

По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP‑адреса, причём часть из них — зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы:

• api.ipify.org
• checkip.amazonaws.com
• ifconfig.me

Само по себе обращение к сервисам определения IP не преступление — например, это может быть необходимо для корректной настройки P2P‑звонков через WebRTC. Однако у VK (создателей Max) уже давно есть собственные STUN-сервера, предназначенные именно для этой задачи, и следовательно нет необходимости использовать посторонние, особенно иностранные сервисы.

Кроме того, участников форума насторожили два момента. Во‑первых, слишком много проверок IP и слишком много разных источников. Если цель просто «узнать внешний IP», обычно хватает одного сервиса. Когда их несколько, это уже похоже на попытку перепроверить результат и собрать «картину» с разных точек. Во‑вторых, в списке исходящих соединений также видны обращения клиента MAX к доменам, связанным с Telegram и WhatsApp:

• main.telegram.org
• mmg.whatsapp.net

И это уже выглядит как проверка проверка сетевой среды (например, доступ к каким доменам режется провайдером) и доступны/заблокированы ли конкуренты. Например, домен mmg.whatsapp.net используется WhatsApp для загрузки медиа по прямым ссылкам. В настоящий момент Роскомнадзор блокирует этот домен, и его можно удобно использовать для мониторинга, грузится ли контент по определенному URL с этого домена или нет — учитывая, что зачастую блокировка к «запрещенным» доменам у РКН срабатывает не сразу, а только после получения ~16кб данных с «запрещенного сервера», либо вместо блокировки происходит «замедление».

Сервис api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com — в облаке Amazon AWS. И Cloudflare, и Amazon также нередко попадают под «16кб» и «триггерные» блокировки Роскомнадзора (см. здесь и здесь), и это тоже может быть довольно характерной проверкой.

С учетом описанного выше, обращение к нескольких сервисам определения внешнего IP в разных локациях также может быть проверкой, выходит ли пользователь в интернет «напрямую» или через VPN/прокси (по расхождениям между IP‑проверками, по маршрутизации, по доступности отдельных ресурсов).

Например, если у пользователя в VPN/прокси‑клиенте настроена раздельная маршрутизация, при которой трафик до иностранных ресурсов идет через прокси/VPN, а до российских адресов — напрямую, то подобные проверки при одновременном использовании российских и иностранных сервисов покажут разные IP‑адреса в разных AS, что позволит достаточно достоверно детектировать факт наличия прокси/VPN и даже узнать выходной IP‑адрес прокси/VPN‑сервера (который при простой настройке почти всегда совпадает с входным) и впоследствии заблокировать доступ к нему.

Ну и не забываем, что с прошлого года статьей 13.52 КоАП РФ (нарушение порядка использования на территории РФ программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен) вводятся штрафы для владельцев VPN/прокси за несоблюдения запрета предоставлять доступ к информационным ресурсам, доступ к которым ограничен на территории РФ, а также за неисполнение установленного порядка взаимодействия с Роскомнадзором.

Меры предосторожности:

• Не пользоваться MAX;
  
• При необходимости пользоваться им, ставить его на отдельное «чистое» и изолированное устройство;
• При использовании VPN/прокси, настраивать для split tunneling разделение маршрутов не по GeoIP, а по приложениям (особенно учитывая, что подобным может промышлять не только Max, а вообще любое отечественное приложение);
• Использовать не один прокси‑сервер, а цепочку из двух; альтернативно — использовать на прокси‑сервере 2 IP‑адреса (один для входящих, другой для исходящих подключений), либо, при наличии только 1 IP на сервере, заворачивать исходящий трафик с прокси на Cloudflare WARP.

Оригинал https://habr.com/ru/articles/1006394/

Скам в сущности сканирует вашу сеть ,как троян.
Так что отдельный телефон с отдельной симкой.

Или меры из статьи.