Купите максофон
Написать этот материал подтолкнула вчерашняя статья на хабре и ранее прочитанная статья на канала ресурса "Сталинград".
Мысли вкратце: Для установки национального мессенджера Мах купите на авито простенький смартфон на андроиде минимум 7 версии с 6 гб оперативы и 128 памяти. Можно с 4/64, но работает медленно.
Посмотрев несколько видео на како-то замедленном видеохостинге я понял, что такой аппарат лучше приобрести заранее и поставить все "стучащие" приложения (см картинку внизу), а также госуслуги, емиас... чтоб какая-никакая история использования наработалась и телефон не выглядел подозрительно на таможне в аэропорту и когда его попросят предъявить сотрудники полиции.
Основной смартфон (с впн, телеграм...) лучше сдавать в багаж.
P.S. Всё вышенаписанное является плодом воспалённого воображения и никакой ответственности за него автор не несёт. Мы живём в прекрасной стране, все нас уважают, скоро догоним и перегоним америку...
Кратко что я нашел
Макс отправляет на сервера VK то какие у вас скачаны приложения
Детекцию VPN — приложение проверяет наличие VPN‑соединения и по команде сервера может полностью заблокировать вам доступ к чатам и мини‑аппам, пока вы его не выключите.
Тотальный трекинг адресной книги — MAX в реальном времени следит за изменениями контактов, отправляет серверу размер вашей телефонной книги и собирает хеши номеров даже тех людей, которые в мессенджере не зарегистрированы.
Обход Google Play и жесткий Force Update — сервер может заблокировать работу текущей версии приложения и принудительно установить апдейт со своего CDN, причем в коде заложена возможность ставить APK в обход системы.
Управление NFC‑чипом из мини‑апп — любое внутреннее мини‑приложение может без предупреждения передать на NFC‑терминал свой кастомный payload (например, имитировать пропуск или карту).
Фейковые чаты
Удаление сообщений из базы пушами — сервер может отправить скрытый пуш‑запрос, который сотрет сообщение прямо из локальной базы данных на вашем телефоне без следа, или незаметно запросить ваши координаты.
Отключение TLS‑валидации и RCE
Передачу номера (Mobile ID) по открытому HTTP — для авторизации без SMS мессенджер шлет запросы операторам в незашифрованном виде, чтобы те вписывали ваш номер в заголовки. Этот же механизм доступен системным мини‑аппам без вашего ведома.
Скрытый SDK деанонимизации и запись звука — обфусцированный модуль trace_flow собирает реальные IP‑адреса в обход VPN, а функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику.
Аппаратный фингерпринт через Widevine DRM — для отслеживания используется неизменяемый ID из защищенной зоны процессора (TEE), который невозможно сбросить даже после удаления приложения или Hard Reset устройства.
ZipSlip уязвимость в DownloadService (Удаленное исполнение кода)
И много всего другого
И для тех кто дочитал пост до конца - бонус. Статья о том почему приложения яндекса тоже стоит вынести в максофон - https://habr.com/ru/articles/370411/
