Российский мессенджер MAX проверяют по трафику и находят странные запросы

Участники NTC-форума, исследующего интернет-цензуру и обход блокировок, сообщили о необычном сетевом поведении мессенджера MAX: по их данным, официальный APK регулярно обращается к нескольким сервисам определения внешнего IP, в том числе зарубежным, а также пытается установить соединения с доменами Telegram и WhatsApp.


Поводом для обсуждения стал разбор сетевого трафика MAX на Android. В одном случае использовали PCAPdroid — приложение, которое перехватывает соединения, создавая на устройстве VPN-профиль без root-прав. В другом случае анализировали трафик в эмуляторе на «чистом» образе системы, без других мессенджеров и дополнительного софта. Описание методики и дампы трафика участники выложили в открытый доступ, а затем тему пересказали на Habr.

В опубликованных логах фигурируют обращения к публичным сервисам определения IP-адреса. Среди доменов называются:
— api.ipify.org
— checkip.amazonaws.com
— ifconfig.me

Такие запросы сами по себе не являются чем-то исключительным: приложения могут определять внешний IP для настройки P2P-соединений и звонков, диагностики качества сети или подбора ближайших серверов. Вопрос у исследователей вызвали частота и «пакетность» проверок — когда IP запрашивается не у одного источника, а сразу у нескольких, причём в разных инфраструктурах.

Второй блок вопросов связан с тем, что в списке исходящих соединений упоминались домены, относящиеся к конкурентам:
— main.telegram.org
— mmg.whatsapp.net

По версии участников форума, подобные обращения могут использоваться как проверка сетевой среды: доступен ли ряд «контрольных» доменов, не включены ли блокировки или замедление на уровне провайдера, не работает ли пользователь через VPN/прокси. Отдельно отмечалось, что mmg.whatsapp.net используют для загрузки медиа по прямым ссылкам, а потому такой домен удобен как «маячок» доступности медиаконтента.

Ещё одна гипотеза — проверка устойчивости маршрутизации в условиях фильтрации трафика, когда деградация соединения проявляется не сразу, а после передачи части данных. В таком случае обращения к внешним сервисам и «чувствительным» доменам могут работать как технический тест: насколько стабильно проходит трафик, нет ли характерных обрывов и задержек. При этом без комментария разработчика нельзя однозначно сказать, какие именно проверки заложены в клиент и с какой целью.

Сам MAX позиционируется как российский мессенджер для общения и звонков, доступный через официальный сайт и магазины приложений. На момент публикации разработчик публично не объяснял, почему клиент обращается к конкретным внешним сервисам и доменам, упомянутым в разборе.

ИЗНАНКА

История с MAX напоминает простое правило кибергигиены: поведение приложения — это не то, что оно обещает в описании, а то, что оно реально делает в сети. Даже если у запросов есть легитимная техническая причина, прозрачность важнее догадок — потому что доверие к мессенджеру держится на проверяемости.

Фото: ИЗНАНКА.

Читайте, ставьте лайки, следите за обновлениями в наших социальных сетях и присылайте материалы в редакцию.

ИЗНАНКА — другая сторона событий.