"Безопасный" MAX

Цифровой след

Когда контроль информационного пространства силен, цифровой след человека становится важным инструментом наблюдения. Любые действия в сети — от поиска и подписок до комментариев — могут собираться и интерпретироваться для различных целей. Современные алгоритмы позволяют автоматически отслеживать «нестандартное» поведение, поэтому даже безобидные действия способны вызвать интерес того, кого не хотелось бы. Если не следить за своим цифровым следом, это делает человека уязвимым: информация о переписке, геолокации или связях может быть использована против него или его окружения. Более того, данные могут храниться и спустя годы применяться в новом контексте. Поэтому контроль за цифровым следом — это не только вопрос приватности, но и элемент личной безопасности. Пакет Яровой¹ и Закон о поиске экстремистких материалов² тому подтверждение.

Зачем эта шляпа?

В нативном приложении MAX очень много сомнительных и где-то даже шпионских бэкдоров со стороны разрабов, которые явно не нужны для обычной работы приложения. Приложение MAX может автоматически загжуаться с системой, собирать всяческую информацию о пользователе: что он покупал, где регистрировался/авторизовывался, какие файлы и фото у себя хранит, есть возможность упрявлять сетями и это далеко не все. В купе с гибким инструментом отправки этих данных кому-попало, нативное приложение с точки зрения информационной безопасности нежелательно к установке.³

"Some of those that work forces are the same that burn crosses"
— Zack de la Rocha

Критикуешь - предлагай

У MAX есть веб-версия, в которой содержится тот-же фунционал. При этом он в данном случае открывается как сайт и с правильными настройками браузера и использовании именно веб-версии разработчики получают минимум информации.

Не все так гладко

Разработчики MAX явно не хотят, чтобы с телефонов была возможность не использовать их сомнительное ПО. Защита от этого тупая, но рабочая. Всех с User-Agent мобильных устройств редиректит на страницу скачивания их ПО из магазинов приложений, по факту нативно. То есть, если маскировать телефон под компьютер, то веб-версия загрузится.

Найденные мной способы использования веб-версии на телефонах

Note

У меня нету никакого желания добровольно регаться для тестов и за успешный результат обхода был взят факт доступа к web.max.ru с телефона

IPhoneOS, IPadOS:

Есть 2 варианта, которые я нашел. Подмена User-Agent с помощию расширения в safari, но это платно. Или использование правильных настроек браузера и ловкости рук, которые в купе дают нам один и тот же результат - доступ к веб-версии и минимальный цифровой след. Для удобства разделим способы на Бесплатные и Платные

Бесплатный способ

Удобен так как не надо ничего оплачивать, но нужно настроить браузер⁴

1. Переходим в Настройки телефона, в поиске вбиваем Safari и открываем его настройки.
2. Листаем до раздела Конфиденциальность и безопасность.
3. Включаем Без перекресного отслеживания.
4. Скрытие IP-адреса ставим От трекеров и сайтов.
5. В самом низу настроек Safari нажимаем на на Дополения и в разделе Конфиденциальность ставим расширенную защиту от отслеживания действий и цифровых отпечатков на Просмотр любых сайтов.
6. Переходим к добавлению ярлыка на рабочий стол.

Платный способ

Warning

Данный способ пока не тестировался end-to-end и рекомендуется только в качестве эксперементального или если Бесплатный способ перестал работать.

1. Покупаем расширение для изменения User-Agent, например Unagent User Agent Switcher.
2. Ставим один из понравившихся User-Agent:

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.7103.48 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko

3. Переходим к добавлению ярлыка на рабочий стол.

Добавление ярлыка веб-версии

Caution

Категорически нельзя нарушать законы нашей страны, тем более обсуждать их нарушение/планы в Max. Сами следствию поможете.

1. Открываем Safari и пишем web.max.ru в браузерной строке и нас перекидывает на download.max.ru
2. Нажимаем на стрелку назад и вот мы в веб-версии. Нажимаем поделиться, открываем раздел Еще и нажимаем На экран домой. Ничего не меняем и нажимаем добавить.

Important

Если при открытии веб-версии с ярлыка перекидывет на страницу с предложением скачать MAX, нажимайте стрелку назад.

На рабочем столе появился ярлык на MAX. Пользуемся этой веб-версией мессенджера, а не шпионским ПО.

Android

Warning

Обход ограничения проверялся с помощью эмулятрора Andriod 11 64-bit на Windows 11. В реальных условиях в зависимости от вашей оболочки методы могут немного отличаться.

Andoid тут в какой-то мере повезло где-то больше где-то меньше, все способ бесплатный, но безрамочного WebApp как на IOS не будет.

Для начала надо подготовить браузер

Note

Данные настройки специально были выбраны с расчетом на то, что FireFox будет вашим единственным браузером для MAX.

1. Для использования веб-верии MAX на Android нужно скачать FireFox, он open-sourse и его фишка в безопасности и гибкости.
2. Открываем FireFox и переходим по ссылке, чтобы скачать расширение для подмены User-Agent на ПК-Шный. Устанавливаем.
3. Нажимаем на Три точки и переходим в Настройки, раздел Приватность и Защита.
4. Ставим Режим только HTTPS на Включено во всех вкладках.
5. Заходим в подраздел Настройки сайта и нажимаем на Улучшенная защита от отслеживания.
6. Листаем вниз и ставим Cобственная с такими параметрами: Куки выставляем на Все сторонние куки. Отслеживающее содежимое ставим на Во всех вкладках. Ставим галочку напротив Криптомайеры, Известные сборщики цифровых отпечатков, Трекеры перенаправлений Возможные сборщики цифровых отпечатков выставляем на во всех вкладках.
7. Закрываем меню настроек, нажимаем на три точки, Расширения, тыкаем на User-Agent Switcher.
8. Выбираем Windows / Firefox 136 ESR.

Настройка браузера на этом завершена.

Добавим сайт в на главный экран

1. Вписываем web.max.ru в поисковой строке и ждем загрузки сайта. Должно быть окно с вводом номера телефона
2. Нажимаем на три точки и тыкаем на Добавить в Ярлыки

Caution

Категорически нельзя нарушать законы нашей страны, тем более обсуждать их нарушение/планы в Max. Сами следствию поможете

Теперь при заходе в FireFox вас будет встречать иконка веб-версии MAX. Пользуемся этой веб-версией мессенджера, а не шпионским ПО.

Итог

Я постарался перечислить самые легкие способы использования веб-версии MAX на телефонах. Надеюсь, кому-то поможет. Если есть идеи, пожелания или, что сказать - пишите на почу, указанную в профиле. Буду рад любому фидбэку. Не принебригайте своим цифровым следом и безопасностью в сети.

Footnotes

1. Зако́н Ярово́й (также паке́т Ярово́й или паке́т Яровой — Озерова) — два законопроекта, декларировавшиеся их авторами как имеющие антитеррористическую направленность, обязывающе хранить операторов связи ваш интернет трафик и запрещает сторонним ПО его шифровать без передачи ключей регуляторам. ↩

2. С 01.09.25 В РФ посещение экстремисских сайтов будет счиаться умышленным и будет пресекаться штрафом. Даже случайное. На данный момент в реестре более 5400 экстремисских сайтов ↩

3. В качестве доказательств - ссылка на отчет о проделанном реверс-инжинеринге Andrioid приложения и разбор журналистами Positive Technologies проделанной работы. ↩

4. По умолчанию в safari довольно щадащие настройки безопасности, расчитанные в первую очередь на комфорт пользователей. Но для того, чтобы MAX лишнего не брал, гайки нужно закрутить. На другие сайты это влиять не должно, но если влияет, то открываем меню сафари и нажимаем Ослабить меры по защите конфиденциальности. ↩