Сейчас мессенджер Max «очень классно ловит даже на парковке» 🙃
Стало интересно: а что же за технологии стоят за этим чудом? Скачал APK (весит ~114 MB) и полез внутрь.
Как ковырял
Ничего сверхъестественного:
-
apktool для ресурсов
-
jadx для кода
-
grep по строкам в DEX
В динамику (Frida, MITM) пока не лез, ограничился статикой.
Первые находки
Три DEX, куча нативных библиотек. Попадаются знакомые:
libjingle_peerconnection_so.so ← WebRTC libtensorflowlite.so ← TensorFlow Lite libjlottie.so ← анимации LottieТо есть звонки есть, ML тоже, анимации нормальные — не на коленке.
Сеть и звонки
Внутри OkHttp3 + Okio, есть WebSocket.
Звонки сидят на WebRTC, в коде прям строки PeerConnection, ICE, SDP, Opus.
Нашёл даже отдельный URL: https://max.ru/joincall/.
Медиа
-
ExoPlayer 2 для видео
-
Поддержка WebP, GIF, image pipeline
-
Lottie для анимаций
Стек нормальный, без кустарщины.
ML
libtensorflowlite.so внутри. Вероятно, для модерации картинок/видео или UX-фич.
Удивило, что ML прямо в клиенте.
Домены и корни
Самое интересное: строки из DEX.
https://api.ok.ru https://api.odnoklassniki.ru https://mycdn.me https://welcome.tamtam.chatИ пакеты:
ru/ok/tamtam/login ru/ok/messages👉 Это явно TamTam/Odnoklassniki (VK Group) под новым брендом.
Push и сервисы
Максимально дружит с Huawei Mobile Services: push, location, maps, analytics.
В assets лежат .bks сертификаты и agconnect-core.properties.
Firebase SDK нет, но строки FCM встречаются — fallback под Google, похоже, самописный.
Разрешения
В манифесте есть:
-
READ_CONTACTS, WRITE_CONTACTS
-
CAMERA, RECORD_AUDIO
-
ACCESS_FINE_LOCATION, включая background
-
доступ к медиа
Вообще, довольно стандартный набор для мессенджера, так что можно сказать что один из главных набросов — фейк.
Безопасность
-
E2EE (двухстороннее шифрование) не нашёл: Signal/Olm/Matrix отсутствуют. Значит, только TLS до сервера.
-
База данных — Room/SQLite без SQLCipher → скорее всего plaintext.
-
Есть защита от ковыряния: libxhook.so, libtrhook2.so (анти-рут/анти-инжект).
Итог
-
Max = TamTam/OK под новым именем
-
Современный стек: WebRTC, ExoPlayer, TFLite, OkHttp
-
Сквозного шифрования нет
-
База, скорее всего, лежит открыто
-
Huawei HMS-интеграция очень глубокая — явно нацелено на устройства без Google
Лично я: в Max приватные переписки не понес бы, а вот типичный чат или как VoIP-клиент он вполне сгодится.
📢 Если было интересно — подписывайтесь на мой Telegram-канал Prefire.
🎥 Там же анонсы моих стримов на Twitch — смотрим код, разбираем технологии, иногда ковыряем такие вот APK.
ссылка на оригинал статьи https://habr.com/ru/articles/938518/
Добавить комментарий