18. August in der GitHub-Community erschien detaillierte Analyse der APK-Akte des russischen Boten Max (oder "Max"). Eine von Enthusiasten durchgeführte Analyse ergab eine umfangreiche Sammlung persönlicher Daten, Hintergrundtonaufnahmen und Zugang zu verschiedenen Systemressourcen. Die Ergebnisse der Analyse sind schockierend: Der Bote sendet nicht nur Nachrichten, sondern überwacht auch aktiv das Gerät und sammelt Daten über den Nutzer, seine Umgebung und sogar die installierte Software.
Doberman.media hat es im Detail untersucht Bericht GitHub.
Was ist Messenger Max?
Max ist eine App für Nachrichten, Anrufe und Dateien, die in Russland entwickelt wurde. Es ist auf Android (über Google Play, RuStore, AppGallery), iOS und Desktop-Plattformen verfügbar. Zu den behaupteten Funktionen gehören hochwertige Anrufe, animierte Aufkleber, Dateiübertragungen bis zu 4 GB, Chatbots und Widgets.
Das App-Paket ist ru.oneme.app. Laut der Analyse verbirgt diese Hülle jedoch ein mächtiges Werkzeug für Telemetrie und Überwachung. Früher bemerkten Nutzer, dass Die App aktiviert die Kamera alle 5-10 Minuten, sogar im Hintergrund, und jetzt hat das APK-Parsing ein noch tieferes Zugriffsniveau bestätigt.
Die Anwendung wird als "Staatsbote" positioniert, und es gibt den Verdacht auf eine Verbindung zum FSB: Die Server befinden sich in Russland, was den Sonderdiensten legalen Zugang zu den Daten gewährt. Experten von GitHub analysierten den Code und stellten fest, dass ein erheblicher Teil davon verschleiert war – verschlüsselt, um die Analyse zu erschweren.

Code-Verschleierung: Warum ist Analyse schwierig?
Eines der Hauptprobleme ist die Verschleierung. Das com.my.tracker.obfuscated-Modul enthält Klassen mit bedeutungslosen Namen wie e0, c1, y2 und den Methoden a(), b(). Dies ist eine Standardpraxis zum Schutz vor Reverse Engineering, aber im Kontext des Überbringers erregt es Verdacht: Das wahre Ausmaß der Überwachung bleibt verborgen. Ohne vollständige Deobfuskation ist es unmöglich, genau zu verstehen, wie die Daten verarbeitet werden und wohin sie gesendet werden. Doch selbst der sichtbare Teil des Codes zeigt Warnzeichen.
Gesammelte Daten: vom Alter bis zur App-Liste
Das MyTracker-Modul ist für die Erfassung der Telemetrie verantwortlich. Es heißt:
— Individuelle Events: Werbeinteraktionen, Käufe (einschließlich Produkt-IDs, Preise, Währungen), Einladungen, App-Launchs, Levelfortschritt, Logins, Registrierungen, Zeit in der App.
— Persönliche DatenAlter, Geschlecht, benutzerdefinierte IDs, E-Mail, Telefonnummern, Social-Media-IDs (ICQ, OK.ru, VK), Benutzeroberflächensprache, benutzerdefinierte Parameter.
— Attributionsdaten: Tiefe Links, Systemereignisse.
Darüber hinaus erhält die Anwendung Zugang zu:
- Standort (GPS, WLAN, Netzwerke).
- Kontakte (lesen/schreiben).
- Konten auf dem Gerät.
- Dateien, Bilder, Videos.
- Kamera und Mikrofon (Hintergrundtonaufnahme).
- Bluetooth, Biometrie.
- Eine Liste installierter Anwendungen.
Die Analyse zeigte, dass die Anwendung Audio und Video im Hintergrund aufnehmen, den Bildschirm aufnehmen und Kontakte mit externen Servern synchronisieren kann. Das geht über den typischen Messenger hinaus: Die Daten umfassen die IP-Adresse, Geräteeigenschaften und sogar die Zeit, die in Mini-Apps verbracht wird.
| Datenkategorie | Beispiele |
|---|---|
| Persönliches | Alter, Geschlecht, E-Mail, Telefon, Social-Media-ID |
| Systemisch | Standort, IP, Gerätemodell, App-Liste |
| Veranstaltungen | Logins, Käufe, Zeit, Werbung |
| Zugänge | Kamera, Mikrofon, Kontakte, Dateien |
Berechtigungen und Funktionen: Vollständige Kontrolle über Ihr Gerät
Die AndroidManifest.xml-Datei in APK MAX zeigt die angeforderten Berechtigungen an – die Liste ist riesig und umfasst:
- Netzwerkzugang, WLAN, Bluetooth.
- Lese/schreibe Kontakte, Accounts.
- Kamera, Mikrofon, Geolokalisierung.
- Autoplay beim Boot, Benachrichtigungen, Hintergrunddienste.
- Bildschirmaufnahme (mediaProjection), Installation von Paketen.
Komponenten wie MainActivity, LinkInterceptorActivity (Link-Interception), ContactsSyncService und Hintergrunddienste (CallServiceImpl) ermöglichen es einer Anwendung, im Hintergrund zu laufen, Daten zu synchronisieren und sogar Inhalte über anderen Fenstern anzuzeigen. ForegroundServiceType beinhaltet Mikrofon|Kamera|Standort|mediaPlayback|dataSync, was ständige Überwachung mit minimalen Benachrichtigungen bedeutet.
Persistenz und Netzwerkmanipulation
Die Anwendung wird über Autoplay (BootCompletedReceiver), Hintergrunddienste und Kontaktsynchronisation gepinnt. Es gibt keine direkten Anzeichen für Root-Exploits, aber Berechtigungen erlauben es, die Installation anderer APKs und Screenshots anzufordern.
Zu Netzwerkaspekten: Es gibt keine VPN-Berechtigungen für vollständiges Sniffen, aber LinkInterceptorActivity fängt Verbindungen ab, und OkHttpClient kann Anfragen ändern. VPN-Erwähnungen in WebRTC dienen zur Anpassung der Kommunikation, nicht zur Überwachung.
Optional: Eingaben in Chats sammeln (lastInput), aber ohne System-Keylogging.
Messenger Max ist ein Risiko für die Privatsphäre
Die Analyse bestätigt: Max ist nicht nur ein Bote, sondern auch ein Datensammelzentrum. Es erfasst alles von persönlichen Daten bis hin zu Hintergrundaktivitäten, wobei Details verschleiert werden. Im Kontext des russischen Rechts könnte dies den Zugang des FSB zu Informationen bedeuten. Es wird empfohlen, eine Installation zu vermeiden oder Ende-zu-Ende-verschlüsselte Alternativen wie Signal oder Telegram zu verwenden (mit Vorbehalten).
Experten betonen: Ohne Verschlüsselung ist das Risiko von Lecks hoch. Wenn du bereits Max nutzt, überprüfe die Berechtigungen und überwache die Geräteaktivität. Es erinnert an die Bedeutung von Privatsphäre in der digitalen Welt.


0 Kommentare
Geben Sie Ihre E-Mail-Adresse ein, und wir senden Ihnen einen einmaligen Code. Keine Passwörter oder Konten.
Code gesendet an
Wenn die E-Mail nicht innerhalb weniger Minuten in Ihrem Posteingang erscheint, überprüfen Sie Ihren Spam-, Spam- oder Promotions-Ordner, da manche E-Mail-Dienste versehentlich automatisierte Nachrichten dort platzieren