🗓 05.05 — День шифровальщика
Профессиональный праздник людей, которые защищают важную информацию с помощью шифров. Дата связана с созданием криптографической службы в 1921 году.
🎉 Всех причастных, с праздником)
Всем привет! С вами на связи вновь Павел и мы продолжаем развенчивать заказные мифы о мессенджере MAX.
Нет шифрования!
Это правда — у MAX нет E2E шифрования в личных чатах. Это даже не скрывается. Однако в нём есть интеграция с различными отечественными сервисами, поиск по истории, синхронизация между устройствами, функции на стороне сервера. E2E шифрование по архитектурным причинам несовместимо с частью этих функций, поэтому его и нет в текущей реализации мессенджера. Впрочем, как и в Телеграме (не секретные чаты) тоже нет этого шифрования. Зато последней усердно и нагло врёт об обратно. Но об этом как-нибудь в другой раз.
Я удалил фото из чата, а ссылка на него работает вечно! Любой может посмотреть!
Это реальный косяк MAX, разработчики сами это признают и уже работают над исправлением.
Нет полей шифрования!
Верно, полей IV, key, cipher нет — потому что нет и E2E. Это логично)). Автор же преподносит их отсутствие как доказательство злостных планов правительства. Ау, мы говорим о сыром продукте, который спешно допиливают.
На телефоне всё хранится в открытой SQL!
Это стандартная практика для большинства мессенджеров на Android без режима конфиденциальности. SQLCipher используют немногие. Signal — да. Telegram по умолчанию — нет, база шифруется только при включённом пасскоде. Делать из этого трегадию - это нагло врать читателям умышленно очерняя продукт.
Получилось не так интересно, как предыдущее опровержение, но если всё сводить к простым словам, то автор умышленно хайпит. MAX — это обычный массовый мессенджер уровня «ВК/Телеграм». p1llag3r нашёл у него недостатки, но раздул их до ужасающих размеров, забыв упомянуть, что у конкурентов то же самое. Единственное реальное замечание — про вечные ссылки на фото, но разработчики сами говорили, что скоро это пофиксят. В общем думайте сами верить или нет. Однако весьма странно ожидать от продукта, совсем недавно появившегося на рынке, отсутствия косяков.
А вот и ответочка от ВК подоспела! @p1llag3r, поздравляю!
Макс защещеный мессенджер, вроде как с системой платижей, шифрованием, и тд.
зачем впн? Вот опять создали хорошую вещь, и бросили?! Даеш ётафон 3, 4, 5! Нахуй впн все блокируйте, нам нечего скрывать, а шпионы и машеники в Максе не достанут!
Да и коммуникация власти с народом хорошая!
Буквально каждый второй пост на Пикабу о блокировках мобильного интернета, введении "белых списков", отключении сети в городах и прочих прелестях "суверенного интернета", как его понимают власти РФ.
"Суверенный", значит контролируемый, по их мнению.
Меня позабавила история девушки, которая, чтобы общаться с друзьями и родственниками создала объявление о продаже кота, на одной нелюбимой пикабушниками платформе, только чтобы переписываться с друзьями во время отключений мобильного интернета (Пруф ).
Администраторы этой платформы, как только история попала в публичное пространство, сразу же его заблокировали. Но, в последствии, восстановили, когда текст объявления был скорректирован. (Найти оригинал объявления мне не удалось т.к. оно числится удаленным)
Еще в октябре прошлого года, когда блокировки только набирали силу, а власти начали продвигать суверенный Мах, который работает "даже на парковке", мне пришла в голову идея, как можно защитить приватность своей переписки в сервисах подобных Маху или Авито. (По требованию федеральных властей сайт не может попасть в т.н. "белый список" если у них нет доступа к переписке пользователей).
Если ваш чат шифруется на устройстве, а расшифровывается только у вашего адресата, то доступа к ней нет ни у кого, кроме вашего собеседника.
Логика безопасного общения:
Вы заранее договариваетесь с вашим собеседником о ключе для шифровки\дешифровке текста и передаете его по БЕЗОПАСНОМУ каналу связи.
Перед отправкой текст шифруется этим ключом.
Собеседник получает зашифрованный текст и расшифровывает его.
Далее, вы можете переписываться абсолютно в любом приложении: Мах, Почта или даже СМС.
Зашифрованный текст выглядит как абсолютная белиберда для постороннего и не зная ключа расшифровать его не получится.
Важно: если использовать короткий ключ вроде "key" или "12345" то теоретически его можно подобрать методом перебора. При условии, что он зашифрован методом PBKDF2. Если используется рекомендованный приложением Argon2id его подбор сильно затруднен.
Если же использовать ключ длиной 128 бит и более, то его подбор не представляется возможным.
Для шифрования текста я создал минимималистичное приложение для Андроид "Simple Encryptor". Его единственная функция: шифровка и дешифровка текста с использованием пользовательского ключа.
Вы можете:
сгенерировать безопасный ключ тут же в приложении
безопасно хранить до 10 ключей, для быстрого переключения между ними.
защитить вход в приложение паролем или биометрией, чтобы никто не мог "подсмотреть" ключ.
Важные замечания:
Приложение не сохраняет никакую информацию пользователя, кроме ключей.
Ваши тексты (зашифрованные или расшифрованные) нигде не хранятся
Если у вас или вашего собеседника нет телефона на андроид, то можно воспользоваться этой веб-страничкой Сохраните ее на свой компьютер, она будет работать и оффлайн. (шифрование и дешифрование осуществляется только в браузере).
Ссылки на скачивание приложения из RuStore, Play Market и AppGallery
Буду рад вашим отзывам и замечаниям.
Общайтесь безопасно!
PS Приложение полностью бесплатное, но пару месяцев назад мне на почту написал один из пользователей и предложить поддержать донатом "на торт". Он же указал на некоторые доработки и ошибки, которые можно было бы исправить, что впоследствии и было сделано.
Вопрос: Если докупить к основному смартфону еще один смартфон (например основной айфон, максофон - докупленный новый андроид). Установить на этот новый докупленный смартфон МАХ и раздавать сеть ему своим основным смартфоном для работы «мессенджера» МАХ - сможет ли МАХ подсосаться к основному смартфону и собирать с него данные? Или такая схема полностью изолирует и дает гарантию защиты юзера от принудительных мер по сбору данных?
Ох, я сейчас конечно отхвачу минусов и пройдусь по о*уенно тонкому льду, но тем не менее.
Раз СКАМ такой дырявый, то почему бы не создать сервис где в удобной форме можно было бы находить фото/видео пользователей и начать активно его рекламировать? Понятно что в РУ сегменте его снесут очень быстро, но через ВПН он будет доступен.
Авось создатели СКАМа возьмутся за голову и исправят косяки, которые позволяют делать такую утечку данных.
Тут подоспело "супер надежное" опровержение от разработчиков Макса:
МАХ не имеет доступ к расшифровке ваших разговоров. Это абсолютный фейк!
✅ Ваши разговоры в МАХ надежно зашифрованы. Для этого используются передовые технологии шифрования, чтобы гарантировать конфиденциальность ваших данных.
💡 Искусственный интеллект в МАХ работает для улучшения качества звонков, а не для прослушки. ИИ-инструменты анализируют только технические параметры связи, полностью обезличенно и без доступа к содержанию ваших разговоров.
⚙️ Как это работает
Системы звонков в МАХ используют машинное обучение (ML) для анализа условий вашей связи в реальном времени. Это позволяет автоматически подстраивать параметры звонка, чтобы обеспечить максимальное качество. Например, если качество связи начинает падать, система может автоматически переключить сервер или кодек.
🔗 Современные технологии для вашего удобства
Используются современные SDK, которые позволяют обновлять ML-модели без необходимости пересборки всего приложения. Это стандартная практика в индустрии, которая ускоряет разработку и позволяет оперативно внедрять улучшения для вас.
Ваша безопасность и конфиденциальность — наш главный приоритет! 💪
❕ МАХ
