В список претензий к государственному мессенджеру Max добавились ещё два пункта: вычисление VPN и открытость...

Козлы, подключившие Мах - сами долббы, так и остальным срут. Биполярка у таких людей, конечно, парадоксальная - подключить Мах и пользоваться ВПН! Сидите в своем скрепном Мах'е и не ползайте по "недуховным" сайтам через ВПН. Епланы, блть!

Мамонт, работай!👌

Не очень корректно. Ведь Россия это же мнононациональная страна.
И какой это тогда нацмессенджер?

Max признал «небезопасными» каналы Соловьева, Матвиенко, RT и РИА

В мессенджере Max при включенном безопасном режиме оказались недоступны десятки каналов российских СМИ, военкоров, Z-блогеров и государственных деятелей, обратила внимание «Вёрстка».

Среди «небезопасных» Max отметил каналы RT, РИА Новости, НТВ, «Украина.ру», а также Mash, Baza и Shot. В безопасном режиме также нельзя открыть каналы Владимира Соловьева, Артема Шейнина, Сергея Мардана и председателя Совфеда Валентины Матвиенко. Также скрыты ресурсы военкоров Александра Коца, Александра Сладкова, Евгения Поддубного и канала «Два Майора».

При этом каналы Кремля, правительства, Минобороны, Госдумы и ее спикера Вячеслава Володина, Анастасии Кашеваровой, WarGonzo и «Рыбаря» остаются доступными.

Да, эти темы сейчас популярны на благословенном и богоданном YouTube!👌

Про изображения можно почитать здесь: «Пользователь обнаружил уязвимость в веб-версии Мах: изображения из ЛС можно найти в открытом доступе по прямой ссылке»
https://habr.com/ru/news/1007216/

Про слежку за VPN написано здесь: «Месседжер MAX следит за пользователями VPN? Реверс инжиниринг говорит — да»
https://habr.com/ru/articles/1006666/

Комментарий эксперта:
«Сегодня на Хабре вышел пост с разбором подозрительного трафика, который отправляет Android-версия мессенджера. На этот разбор уже успела отреагировать пресс-служба мессенджера и даже госагентства. Раз такая реакция, то точно стоит это обсудить.
Суть поста кратко: с января в трафике мессенджера стали замечать обращения на посторонние сервера. Разбор показал, что мессенджер стучится разными способами на целый ряд доменов и портов, а затем отправляет на свои сервера информацию об их доступности. Интересен тут список доменов для проверки: он может меняться, но в версии из поста, помимо собственных доменов МАХ, это один из поддоменов Telegram, поддомен Whatsapp для медиафайлов, поддомены для звонков Одноклассников и Google, основные домены Госуслуг и CDN Google. Соединение с каждым оценивается по качеству и отправляется на сервера МАХ. Помимо этого, мессенджер перебирает несколько сервисов проверки своего IP-адреса, и, найдя ответ, отправляет и его, а заодно и публичный системный параметр, включен ли на устройстве VPN.
Ответ пресс-службы на это такой: мы никуда не стучимся, а IP-адрес нужен нам для звонков. Оба этих утверждения не выдерживают никакой критики: запросы очевидно отправляются, а звонки в МАХ основаны на самой популярной для этого технологии WebRTC. Для соединения устройств напрямую по этой технологии не нужно отдельно знать IP-адрес устройства, вместо этого используются специальные сервера STUN или TURN, а большинство проверяемых доменов не имеют к звонкам никакого отношения.
Зачем все это может быть нужно? Нет сомнений, что одна из целей — узнать, подключено ли устройство через VPN. У такой проверки может быть и невинная причина — например, банковские приложения далеко не только в России пытаются определять VPN и блокируют доступ, а внутри MAX возможны денежные переводы.
Нельзя игнорировать и другую возможность: так или иначе это сбор аналитики об использовании VPN, да еще сразу с их IP-адресом, причем ответ об IP-адресе получается не от устройства, а от сторонних серверов — их сложнее подменить.
Но среди проверяемых доменов есть и очевидно не заблокированные, так что это явно не единственная цель. При этом нельзя сказать, что без такого приложения власти не могут никак узнать, что конкретный абонент с таким-то номером или адресом весь свой трафик шлет на вот этот сервер в Нидерландах.
Какие в связи со всем этим рекоммендации? Все те же, что и раньше: не пользуйтесь MAX. Если вы вынуждены это делать (принуждают на работе, держите связь с родственниками), то старайтесь либо пользоваться им через браузер (мы проверили, и на момент написания этого текста веб-версия не шлет ничего подозрительного), либо использовать его на отдельном устройстве.
Эта же рекомендация касается всех подконтрольных российским властям приложений. Хотя мы не обнаружили такого же поведения, например, в приложении VK, это не значит, что его там не появится, или что его уже нет в других приложениях. В этом плане в МАХ нет ничего особенного, все российские приложения зависимы от властей. Кстати, на похожей активности раньше ловили приложения «Яндекса».

Опасный вирус «Мамонт» массово распространяется в домовых чатах в МАХ и крадёт деньги у россиян

Скамерам легко продвигать его, потому что МАХ рекламируют как надёжный мессенджер без мошенников. Сначала аферисты получают доступ к аккаунту реального участника чата, которому доверяют другие. Затем отправляют сообщение «Позавчера в аварии разбились наши общие знакомые, посмотрите фото…» и прикрепляют ссылку, внутри которой находится Android-вирус.

Он крадёт платёжные данные, а также перехватывает push-уведомления и SMS с кодами авторизации в банковских сервисах.