ОТПОР ТОТАЛЬНОМУ КОНТРОЛЮ! Как через MAX будут следить за россиянами
Находясь в безвыходном и критическом положении, правящий класс начинает агонизировать, пытаясь хотя бы кнутом (раз пряник уже обходится непозволительно дорого) приструнить народ, заставить его безропотно терпеть дальше. Поэтому каток запретов настигает всё больше соцсетей, мессенджеров, либо отдельных их функций. Миллионам людей обрубают каналы связи с родственниками, друзьями, товарищами.
Делается это откровенно преступно, что, впрочем, не удивительно, ведь буржуазия идёт на любые преступления, лишь бы сохранить своё господство. Очевидно, что все блокировки за этот год — это только начало. Власть имущие увидели, что им ничего не мешает, и будут идти дальше в своём маниакальном желании налепить каждому на лоб QR-код с порядковым номером.
Как цифровое закрепощение происходит уже сейчас? Нашему товарищу удалось вытащить и проанализировать код месcенджера MAX. Там он обнаружил крайне подозрительные механизмы, которые будут действовать на ваших устройствах.
session.defaultSession.setDisplayMediaRequestHandler((_, callback) => {
desktopCapturer.getSources({ types: ["screen"] }).then((sources) => {
callback({ video: sources[0], audio: "loopback" }); // <-- ВКЛЮЧАЕТ ЗАХВАТ ЗВУКА СИСТЕМЫ
});
}, { useSystemPicker: true });
— этот код обрабатывает запрос на доступ к экрану и системному звуку, к примеру, для того чтобы включить демонстрацию экрана. Но что подозрительно: обычные мессенджеры (как Discord) запрашивают у пользователя конкретный экран или окно для демонстрации. Здесь же обработчик автоматически и без выбора (useSystemPicker: true — это странно, обычно false) возвращает первый попавшийся экран (sources[0]) и, что самое главное, системный звук (audio: "loopback"). Этот механизм потенциально может быть использован для захвата ВСЕГО происходящего на экране и всего звука в системе без явного выбора пользователя.
mainWindow.loadURL("https://web.max.ru", { extraHeaders: "pragma: no-cache\n" });
Приложение не является самостоятельным клиентом, оно — всего лишь обёртка вокруг веб-версии. Это означает, что ВСЯ логика контролируется удалённым сервером. Разработчики могут в любой момент подменить код на сервере, и приложение безропотно выполнит новый код. Это — полностью централизованная и непроверяемая модель.
Теперь посмотрим в папку node_modules, где лежат все зависимости, там тоже можно найти пару интересных вещичек.
ajv, ajv-formats, json-schema-typed, json-schema-traverse
— это мощные валидаторы данных по JSON-схемам. В теории, они нужны мессенджеру для проверки корректности конфигураций. На практике, скорее всего, эти библиотеки используются для сложных структур данных и сбора целого досье на вас для отправки.
env-paths
нужен для получения стандартных путей в файловой системе для кеша, конфигов, логов и т.д. Но мессенджеру он нужен, чтобы знать, где что лежит в системе пользователя.
when-exit
— для отслеживания событий завершения работы приложения. Мессенджеру он нужен, чтобы успеть что-то сделать (к примеру, отправить собранные данные) перед его закрытием.
stubborn-fs
— библиотека, которая добавляет к операциям с файлами повторы при ошибках и устойчивость к сбоям. Мессенджеру он нужен, чтобы гарантированно сохранить какие-то данные, даже если диск перегружен или возникла временная ошибка. Это нужно для критически важных данных, которые нельзя потерять. Для настроек чата это не критично. Для логов слежки — очень даже.
В общем говоря, если судить по зависимостям, приложение явно что-то собирает, что-то структурирует, что-то пытается куда-то сохранить даже в условиях ошибок, знает, куда сохранить, и следит за своим жизненным циклом, чтобы ничего не потерять.
Зависимости, как у типичного шпионского ПО.
Весь код MAX создаёт идеальную инфраструктуру для слежки и даже таких манипуляций как самостоятельное включение камеры или отправка на сервера скриншотов с экрана.
Таким нехитрым способом новости, которые пропагандисты с пеной у рта называли «фейками» и «вбросами», подтвердились. Если до этого мы имели интуитивное понимание того, что MAX — средство для слежки и контроля за гражданами, то теперь это факт.
Обычные трудящиеся, которые на три буквы слали очередные «гениальные» инициативы сверху — не иноагенты. Никто не боготворит западные мессенджеры и многие понимают, что они тоже сливают данные. Только вот дяде Сэму вряд ли будут интересны твои переписки, а «господину майору» очень даже. Рабочим не нужно менять шило на мыло, им нужны действительные свободы и здоровые, качественные альтернативы, а не подлые подтасовки шпионских программ в и без того ограниченную кредитной каббалой, нищетой и постоянными запретами жизнь. Достойной альтернативы мы сможем добиться только самостоятельно, объединившись.
Не позволяйте работодателям навязывать вам шпионское ПО. При подобных эксцессах собирайтесь с товарищами по работе и бойкотируйте незаконные требования.
В крайних случаях заводите второе устройство и устанавливайте данную прослушку туда, преимущественно держа такое устройство выключенным где-нибудь подальше.
Ищите альтернативные средства связи, озадачивайтесь установлением контактов со своим кругом общения вне полицейского «чебурнета», а лучше и вовсе вне интернета, который вскоре могут и вовсе заглушить. Утверждайте общие места встречи на случай потери связи, особенно это касается сознательных рабочих и марксистских коллективов, профсоюзов. По вам будет огонь в первую очередь, займитесь своей безопасностью и устойчивостью, чтобы не рассыпаться при малейших ограничениях доступной связи.