Мой комментарий к видео Разбор MAX программистом / Mobile Developer - YouTube
Ок, давайте разбирать, что в вашем анализе не так. Я программист, но не мобильный разработчик (хотя и потратил довольно приличное время на изучение архитектуры андроид-приложений), и вполне готов поверить, что про разрешения вы говорите правду. Но игнорируете много других вещей, касающихся безопасности. Например, вообще неясно, про какую модель угроз мы вообще говорим.
На мой взгляд, главный вектор атаки — доступ к данным у силовых структур из-за серьёзной неосведомлённости пользователей о том, как работает безопасность.
Один из самых важных «грехов» анализа: вы игнорируете тот факт, что данные на серверах частной компании или спецслужб другого государства для пользователя несут гораздо меньше рисков («Что ты мне сделаешь, я в другом городе»), чем данные в распоряжении спецслужб родного государства.
Даже российские приложения лежат не в одной категории. Да, более-менее все приложения попадают в раздел «слежка on demand», т.е. спецслужбы могут затребовать данные и в конце концов их получат, если правильно обоснуют свой запрос на данные конкретного пользователя, итд, итп. Яндекс довольно много запросов отбивал, хотя на какие-то, конечно, приходится отвечать.
VK же, судя по всему, лежит в категории «слежка by default», т.е. поставляет данные спецслужбам по первому чиху. А возможно, и вовсе сами отыскивают нарушителей и льют данные о них спецслужбам даже без запроса. Это даёт сильно разный уровень риска для пользователя.
Главное лукавство вашего разбора в том, что вы говорите про то, что все разрешения пользователь выдаёт сам. И тут сразу три проблемы.
Во-первых, пользователи (как вы сказали) ничего не знают про безопасность и выдают разрешения кому попало. Более того, даже если они читают разрешения, они понятия не имеют, что на самом деле эти разрешения означают. Я, несмотря на 15-лет в разработке и даже изучал андроид, до сих пор не понимаю, как различать, что такое «в фоне»: работающее скрыто (типа демона) или с неактивной активити (прошу прощения за тавтологию). И не знаю, к каким именно данным получает доступ приложение, когда я выбираю фоточку для отправки: к одной фотке или к всем. Как массовый пользователь должен определить, что за разрешение он выдаёт? Тем более, когда между версиями андроида разрешения меняются, и даже вы не всегда помните, что в какой версии работает.
Во-вторых, когда вы говорите, что пользователь сам выдаёт разрешения (и должен хотя раз запустить приложение), вы напрочь игнорируете тот факт, что приложение будет предустанавливаться на все смартфоны в России, а значит прокликать все разрешения может условно чел на таможне (или вендор). Можно, конечно, сказать, что разрешения можно отключить, но мы возвращаемся к прошлому пункту: пользователи приложения — дилетанты и зачастую такого не умеют.
Могут ли на таможне модифицировать андроид так, чтобы в его системе разрешений появились уязвимости, не знаю. Впрочем, если могут,то одним MAX-ом больше, одним меньше — уже неважно
В-третьих, разработчики большинства приложений адово абьюзят разрешения. Если те материалы, что я читал, не врут, для отправки фоточки, вообще не требуется permission на использование камеры, и вполне достаточно было бы отправить интент на открытие приложения-фотоаппарата. Но почему-то каждое первое приложение хочет свою камеру.
Идём дальше. Вот вы говорите, что разрешение использовать список звонков логично. Пардон, но с каких пор звонки мессенджера должны иметь доступ к звонкам обычного телефона? Тут ваши подписчики привели куда более реалистичный аргумент: это позволяет авторизацию через звонок сделать удобной.
Или вот вы говорите, что геолокация работает только в foreground. С какой периодичностью у вас мессенджер в foreground? У меня, кажется, не реже раза в 10 минут. Вы серьёзно считаете, что это значимый аргумент в пользу безопасности?
В посте вы пренебрежительно говорили, что показ экрана незаметно не сделать. Ну я проверил, что в тг (android 13). Да, действительно приходится выдать разрешение на показ, после чего ты вообще не замечаешь, что этот показ продолжается, пока не залезешь в шторку. Но больше всего меня поразило ваше пренебрежение, в духе «всего лишь показ экрана». Вот вам пример атаки, в ходе которой показ экрана позволяет увести гос.услуги (https://habr.com/ru/articles/938050/).
Или вы говорите что-то про запрет на использование микрофона в бэкграунде, и позвольте вам не поверить, ибо я неоднократно общался по зуму с выключенным экраном. А этот именно тот кейс: я зашёл в приложение, оно меня послушало (причём не во время звонка), я выключил телефон — оно продолжает меня слушать.
Это может делать любое приложение, но на MAX распространяется презумпция виновности просто из-за того, как он вышел на рынок и монополизирует его.
Далее вы говорите про сервис аналитики. Это правда, что обычно они используются для повышения LTV. Но что мешает использовать тот же сервер в распоряжении всё того же vk для других целей? Опять, у меня тут презумпция виновности.
Про бэк. Вы совершенно правы, что у разработчиков телеграма есть доступ ко всей переписке.
Но про E2E вы говорите странное. Во-первых, насколько я помню, у вотсаппа как раз есть сложности с синхронизацией без устройства как раз из-за. Во-вторых, с каких пор E2E нельзя шифровать на оконечных устройствах, например, паролем (или ключом, генерируемым по паролю), что устойчиво к потере устройства.
Впрочем, даже если бы у них было E2E, я не был бы уверен в безопасности. Ибо то, что коммуникация идёт по E2E не значит, что нет ещё одного канала передачи информации, который уже не настолько защищён. При этом, переписка может утечь через любого из собеседников, так что достаточно найтись одному «слабому звену». Но это мелочи, конечно.
Про триангуляцию, кстати, вы сказали просто неправду. Во-первых, понятия не имею, откуда вы взяли идею, что для нормальной связи нужно минимум три антенны. Все домашние устройства отлично справляются с одной антенной вайфая, телевидение в некотором радиусе справляется с одной Останкинской башней, а телефонам нужно три? Нет, конечно.
Триангуляция задаёт это минимальное число антенн, чтобы вычислить координаты. Для GPS это три спутника. Для антенн, вероятно, две (хотя 3 были бы лучше). Для определения с (очень) небольшой точностью можно даже одной направленной антенной померять (с очень небольшой точностью из-за неточности в определении расстояния и угла, учитывая переотражения сигнала).