Rusiyanın dövlət dəstəyi ilə yaradılmış MAX messencerində istifadəçilərin tam nəzarət altına alınmasına imkan verən funksiyalar aşkarlanıb.
Musavat.com xarici agentliklərə istinadən xəbər verir ki, “zarazaex” ləqəbli proqramçı tətbiqin APK faylını analiz edərək nəticələri Habr platformasında yayımlayıb.
Araşdırmaya görə, Max istifadəçinin telefondakı bütün tətbiqlərin siyahısını toplayır, kontakt kitabçasını serverə ötürür, yazışmaların ekran görüntülərini çəkə, gizli şəkildə səs yaza, saxta çatlar yarada və mesajları telefondan izsiz silə bilir. Məqalədə qeyd olunur ki, tətbiq VPN aktiv olsa belə istifadəçinin real IP ünvanını müəyyənləşdirə bilir. Bundan əlavə, cihaz üçün xüsusi identifikator yaradır və onu nə tətbiqi silməklə, nə də telefonu zavod ayarlarına qaytarmaqla sıfırlamaq mümkün olmur.
Tədqiqat müəllifləri bildirirlər ki, Max gizli push-bildirişlər və komandalar vasitəsilə istifadəçi məlumatlarını toplayır, o cümlədən geolokasiyanı müəyyənləşdirir. İddialara görə, tətbiq zənglər zamanı səsləri gizli şəkildə yazır, daha sonra isə həmin faylları serverə göndərir. Məlumatların end-to-end şifrələmə olmadan saxlandığı vurğulanır. Araşdırmada tətbiq daxilində nitqin tanınması, açar sözlərin müəyyənləşdirilməsi və insanın səsinə görə identifikasiyası üçün alətlərin də aşkarlandığı qeyd olunur.
Məqalədə ən diqqət çəkən məqamlardan biri Max-ın TLS yoxlamasını söndürə bilməsi ilə bağlıdır. Bu mexanizm normalda istifadəçinin qoşulduğu serverin həqiqiliyini yoxlayır. Müəlliflər hesab edirlər ki, digər funksiyalarla birlikdə bu sistem faktiki olaraq “yaddaşındakı hər şeyi mənə ver və bunu istəyənin sertifikatını yoxlama” prinsipinə çevrilir.
Bundan əvvəl GitHub platformasındakı tədqiqatçılar da Max tətbiqini “casus proqramı” adlandırıblar. Onlar da APK faylını analiz edərək tətbiqin geolokasiya topladığını, yazılan mətnləri izlədiyini, səs və video qeydləri apardığını müəyyən etdiklərini bildiriblər. Dünyanın ən böyük hostinq şirkətlərindən biri olan Cloudflare isə bir müddət Max tətbiqini “spyware” – casus proqram kimi işarələyib, lakin daha sonra bu qeydi silib.
Max messenceri Vladimir Putinin göstərişi ilə VK holdinqi tərəfindən hazırlanıb. Şirkətə Kremlin yüksək vəzifəli rəsmilərindən birinin (keçmiş baş nazir Sergey Kiriyenki, hazırda Prezident Administrasiyasının rəhbərinin müavinidir) oğlu Vladimir Kiriyenko rəhbərlik edir. Tətbiqin məxfilik siyasətində məlumatların FTX, DİN, Federal Vergi Xidməti və Rusiya Mərkəzi Bankına sorğu əsasında verilə biləcəyi açıq şəkildə göstərilib.
Məqalədə qeyd olunur ki, rusiyalılar yeni dövlət messencerinə könüllü keçmək istəmədikləri üçün hakimiyyət inzibati resurslardan istifadə etməyə başlayıb. Max tətbiqinin ölkədə satılan bütün cihazlara öncədən quraşdırılması məcburi edilib. Məktəb çatları, bina sakinlərinin qrupları, məmurların yazışmaları və dövlət şirkətlərinin daxili ünsiyyəti də bu platformaya köçürülüb. Tətbiq həmçinin Gosuslugi sistemi ilə inteqrasiya olunub.
Eyni vaxtda Rusiya hakimiyyəti ölkədə ən populyar messencerlərdən olan WhatsApp və Telegram-ı bloklayıb.
Musavat.com
