Мессенджер MAX очень хочет знать ваш настоящий IP. Даже если вы под VPN
NewsMakerИсследователи нашли странности в сетевом трафике мессенджера.
Пользователи профильного NTC-форума , который посвящен исследованиям интернет-цензуры и обхода блокировок, обратили внимание на необычную сетевую активность российского мессенджера MAX. Речь идет об официальном APK , скачанном с сайта проекта.
Проверку трафика провели двумя способами. В одном случае использовали PCAPdroid , который на Android имитирует VPN и позволяет перехватывать сетевые соединения без root-прав. Во втором случае анализ выполнили в эмуляторе, отдельно подчеркнув, что образ системы был «чистым», без других мессенджеров и дополнительного софта. Дампы трафика участники выложили в теме на форуме.
По их наблюдениям, клиент MAX регулярно обращается сразу к нескольким сервисам для определения внешнего IP-адреса, причем часть сервисов находится за рубежом. В числе доменов упоминаются api.ipify.org , checkip.amazonaws.com и ifconfig.me . Сам по себе запрос к сервису определения IP участники не считают чем-то незаконным и допускают прикладные причины, например корректную настройку P2P-звонков через WebRTC. Настороженность вызвали частота проверок и количество источников: для простой задачи обычно хватает одного сервиса, а несколько параллельных запросов больше похожи на перепроверку результата и сбор картины с разных точек. В обсуждении также отмечают, что у VK, разработчиков MAX, давно есть собственные STUN-серверы для таких задач, поэтому необходимость в сторонних, особенно зарубежных, сервисах выглядит спорно.
Отдельные вопросы вызвали обращения клиента MAX к доменам, связанным с Telegram и WhatsApp, включая main.telegram.org и mmg.whatsapp.net . Такой набор участники трактуют как возможную проверку сетевой среды, например доступности отдельных доменов у провайдера и того, доступны ли конкуренты. В качестве примера приводят mmg.whatsapp.net , который, по их словам, WhatsApp использует для загрузки медиа по прямым ссылкам, о чем упоминается в разборе RTCbits . Ограничения со стороны регулятора участники описывают как ситуацию, когда блокировка может срабатывать не сразу, а после получения около 16 КБ данных, либо проявляться в виде «замедления».
Участники обсуждения также выдвинули версию, что обращения к российским и зарубежным сервисам определения IP могут помогать отличать прямой выход в интернет от подключения через VPN или прокси. В качестве сценария приводится split tunneling, когда трафик к иностранным ресурсам идет через туннель, а к российским адресам проходит напрямую. В такой схеме проверки через разные сервисы способны показать разные внешние IP-адреса и автономные системы, что, по мнению авторов ветки, позволяет выявлять факт использования прокси или VPN и определить адрес выхода. В обсуждении также упоминают, что api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com работает в облаке Amazon AWS.
На фоне таких предположений участники отдельно напоминают про статью 13.52 КоАП РФ, которая вводит ответственность за нарушение порядка использования средств доступа к ресурсам с ограниченным доступом, и обсуждают риски для владельцев VPN и прокси. В качестве практических советов авторы ветки рекомендуют минимизировать использование MAX, а при необходимости держать клиент на отдельном изолированном устройстве и аккуратнее подходить к настройке туннелирования и прокси.
Пользователи профильного NTC-форума , который посвящен исследованиям интернет-цензуры и обхода блокировок, обратили внимание на необычную сетевую активность российского мессенджера MAX. Речь идет об официальном APK , скачанном с сайта проекта.
Проверку трафика провели двумя способами. В одном случае использовали PCAPdroid , который на Android имитирует VPN и позволяет перехватывать сетевые соединения без root-прав. Во втором случае анализ выполнили в эмуляторе, отдельно подчеркнув, что образ системы был «чистым», без других мессенджеров и дополнительного софта. Дампы трафика участники выложили в теме на форуме.
По их наблюдениям, клиент MAX регулярно обращается сразу к нескольким сервисам для определения внешнего IP-адреса, причем часть сервисов находится за рубежом. В числе доменов упоминаются api.ipify.org , checkip.amazonaws.com и ifconfig.me . Сам по себе запрос к сервису определения IP участники не считают чем-то незаконным и допускают прикладные причины, например корректную настройку P2P-звонков через WebRTC. Настороженность вызвали частота проверок и количество источников: для простой задачи обычно хватает одного сервиса, а несколько параллельных запросов больше похожи на перепроверку результата и сбор картины с разных точек. В обсуждении также отмечают, что у VK, разработчиков MAX, давно есть собственные STUN-серверы для таких задач, поэтому необходимость в сторонних, особенно зарубежных, сервисах выглядит спорно.
Отдельные вопросы вызвали обращения клиента MAX к доменам, связанным с Telegram и WhatsApp, включая main.telegram.org и mmg.whatsapp.net . Такой набор участники трактуют как возможную проверку сетевой среды, например доступности отдельных доменов у провайдера и того, доступны ли конкуренты. В качестве примера приводят mmg.whatsapp.net , который, по их словам, WhatsApp использует для загрузки медиа по прямым ссылкам, о чем упоминается в разборе RTCbits . Ограничения со стороны регулятора участники описывают как ситуацию, когда блокировка может срабатывать не сразу, а после получения около 16 КБ данных, либо проявляться в виде «замедления».
Участники обсуждения также выдвинули версию, что обращения к российским и зарубежным сервисам определения IP могут помогать отличать прямой выход в интернет от подключения через VPN или прокси. В качестве сценария приводится split tunneling, когда трафик к иностранным ресурсам идет через туннель, а к российским адресам проходит напрямую. В такой схеме проверки через разные сервисы способны показать разные внешние IP-адреса и автономные системы, что, по мнению авторов ветки, позволяет выявлять факт использования прокси или VPN и определить адрес выхода. В обсуждении также упоминают, что api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com работает в облаке Amazon AWS.
На фоне таких предположений участники отдельно напоминают про статью 13.52 КоАП РФ, которая вводит ответственность за нарушение порядка использования средств доступа к ресурсам с ограниченным доступом, и обсуждают риски для владельцев VPN и прокси. В качестве практических советов авторы ветки рекомендуют минимизировать использование MAX, а при необходимости держать клиент на отдельном изолированном устройстве и аккуратнее подходить к настройке туннелирования и прокси.