Мессенджер MAX очень хочет знать ваш настоящий IP. Даже если вы под VPN

Пользователи профильного NTC-форума (открывается только через IPv6), который посвящен исследованиям интернет-цензуры и обхода блокировок, обратили внимание на необычную сетевую активность российского мессенджера MAX. Речь идет об официальном APK, скачанном с сайта проекта.

Проверку трафика провели двумя способами. В одном случае использовали PCAPdroid, который на Android имитирует VPN и позволяет перехватывать сетевые соединения без root-прав. Во втором случае анализ выполнили в эмуляторе, отдельно подчеркнув, что образ системы был «чистым», без других мессенджеров и дополнительного софта. Дампы трафика участники выложили в теме на форуме.

По наблюдениям участников обсуждения, клиент MAX регулярно обращается сразу к нескольким сервисам для определения внешнего IP-адреса, причем часть сервисов находится за рубежом. В числе доменов упоминаются api.ipify.org, checkip.amazonaws.com и ifconfig.me. Сам по себе запрос к сервису определения IP участники не считают чем-то незаконным и допускают прикладные причины, например корректную настройку P2P-звонков через WebRTC. Настороженность вызвали частота проверок и количество источников: для простой задачи обычно хватает одного сервиса, а несколько параллельных запросов больше похожи на перепроверку результата и сбор картины с разных точек. В обсуждении также отмечают, что у VK, разработчиков MAX, давно есть собственные STUN-серверы для таких задач, поэтому необходимость в сторонних, особенно зарубежных, сервисах выглядит спорно.

Отдельные вопросы вызвали обращения клиента MAX к доменам, связанным с Telegram и WhatsApp, включая main.telegram.org и mmg.whatsapp.net. Такой набор участники трактуют как возможную проверку сетевой среды, например доступности отдельных доменов у провайдера и того, доступны ли конкуренты. В качестве примера приводят mmg.whatsapp.net, который, по их словам, WhatsApp использует для загрузки медиа по прямым ссылкам, о чем упоминается в разборе RTCbits. Ветка обсуждения утверждает, что Роскомнадзор блокирует mmg.whatsapp.net, поэтому домен можно использовать как маркер: загружается ли контент по прямой ссылке или доступ режется. Ограничения со стороны регулятора участники описывают как ситуацию, когда блокировка может срабатывать не сразу, а после получения около 16 КБ данных, либо проявляться в виде «замедления».

Участники обсуждения также выдвинули версию, что обращения к российским и зарубежным сервисам определения IP помогают отличать прямой выход в интернет от подключения через VPN или прокси. В качестве сценария приводится split tunneling, когда трафик к иностранным ресурсам идет через туннель, а к российским адресам проходит напрямую. В такой схеме проверки через разные сервисы способны показать разные внешние IP-адреса и автономные системы, что, по мнению авторов ветки, позволяет выявлять факт использования прокси или VPN и определить адрес выхода, который затем теоретически можно блокировать.

В обсуждении также упоминают, что api.ipify.org находится в сети Cloudflare, а checkip.amazonaws.com работает в облаке Amazon AWS. Участники связывают выбор таких площадок с проверками, похожими на «триггерные» блокировки: Cloudflare и AWS нередко фигурируют в контексте фильтрации, которая проявляется не на уровне DNS, а при передаче данных.

На фоне таких предположений участники отдельно напоминают про статью 13.52 КоАП РФ, которая вводит ответственность за нарушение порядка использования средств доступа к ресурсам с ограниченным доступом.