Иногда полезно возвращаться в прошлое, чтобы напомнить о притаившихся за углом опасностях.

Это сообщение из нашего закрытого домашнего чата. Обычный парень ,АйТи -специалист выслал свое первое, абсолютно зловещее заключение в отношении мах своим коллегам.

С тех пор цифровизаторы что-то исправили, что-то прокачали, что-то дополнили. Но думаю - только в кабальную сторону.

*******

« Уважаемые коллеги, добрый день!

В последнее время на российском ИТ-пространстве достаточно активно продвигается мессенджер MAX.

Безусловно, каждый из вас самостоятельно принимает решение об использовании данного ПО, но считаю необходимым предупредить о ряде его особенностях.

Мессенджер MAX не новое решение, а адаптация кроссплатформенного мессенджера Tam-Tam, который Mail.ru Group (ныне VK) выпустила в мае 2017 года как «ОК Сообщения» для аудитории социальной сети «Одноклассники».

Поверх старого кода были добавлены:

GigaChat 2.0 от Сбера — генерация текстов и расшифровка голосовых.

Финтех-модуль FPS и банки-партнёры (ВТБ, Альфа, VK Pay).

Вход через ЕСИА и планируемые госуслуги.

Обязательная предустановка: законом от 24 июня 2025 г. MAX должен быть на каждом новом смартфоне в РФ.

Поэтому следует понимать, что в мессенджере MAX используются те же устаревшие библиотеки, что и в последних сборках TamTam, вплоть до версий OpenSSL (шифрование).

Вызывает серьезную обеспокоенность количество и тип разрешений, запрашиваемых данным ПО (или получаемых скрытно) при установке.

Особенно следует отметить:

REQUEST_INSTALL_PACKAGES - может устанавливать другие приложения;

SYSTEM_ALERT_WINDOW - может показывать окна поверх других приложений;

RECEIVE_BOOT_COMPLETED - автозапуск при старте системы;

DISABLE_KEYGUARD - отключение блокировки экрана;

USE_FULL_SCREEN_INTENT - полноэкранные уведомления;

READ_CONTACTS, WRITE_CONTACTS - полный доступ к контактам;

ACCESS_FINE_LOCATION - точная геолокация. Постоянное отслеживание точного местоположения пользователя в реальном времени.

GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, MANAGE_ACCOUNTS, USE_CREDENTIALS - полный доступ к аккаунтам. Может получить список всех аккаунтов (Google, соцсети, почта) на устройстве и манипулировать ими.

DOWNLOAD_WITHOUT_NOTIFICATION - скрытые загрузки. Позволяет скачивать файлы без уведомления пользователя.

FOREGROUND_SERVICE_DATA_SYNC - фоновая синхронизация данных.

При аутентификации на сервисе Госуслуги с помощью мессенджера MAX появляются следующие ограничения:

Невозможно вернуться к другим способам аутентификации (СМС)

Авторизуется только одно доверенное устройство. Если пользователь забыл или сдал в ремонт свой смартфон, получить ключ входа на другом устройстве с тем же пользовательским аккаунтом MAX не представляется возможным. Сделать доверенным другой смартфон так же в настоящее время невозможно.»

Разберём спокойно по пунктам.

Сообщение «Используемые файлы» означает:

Установщик хочет заменить какие-то свои файлы, но эти файлы сейчас заняты другими процессами.

Windows не даёт заменить DLL/модуль, если он загружен в память другим приложением.

Это не означает, что MAX “интегрируется” в RuDesktop или NVIDIA.
Это означает, что:

• MAX использует какие-то системные библиотеки

• или ставит общий runtime (WebView2, Chromium, VC++ Redistributable и т.п.)

• или обновляет компонент захвата экрана

• и эти же библиотеки сейчас загружены другими приложениями

🎮 Почему в списке NVIDIA GeForce Overlay

NVIDIA Overlay — это:

• Game Overlay (Alt+Z)

• ShadowPlay

• Instant Replay

• захват видео

• аппаратное кодирование (NVENC)

Любое приложение с:

• видеозвонками

• демонстрацией экрана

• захватом окна

• аппаратным кодированием

использует те же системные компоненты DirectX / Media Foundation / NVENC.

Поэтому совпадение по Overlay — абсолютно нормально.

Это не “скрытый слой, который никто не видит”.
Overlay — обычный графический слой поверх DirectX.

🖥 Почему RuDesktop

RuDesktop — это:

• удалённый доступ

• перехват изображения

• захват экрана

MAX с видеозвонками и демонстрацией экрана использует:

• Desktop Duplication API (DXGI)

• Media Foundation

• кодеки

• WebRTC

RuDesktop — те же API.

Если установщик обновляет, например:

• VC++ runtime

• WebView2 runtime

• системный codec

• библиотеку захвата экрана

а RuDesktop её держит в памяти — Windows попросит его закрыть.

Это совпадение по используемым библиотекам, а не интеграция.

🔍 Важно понять одну вещь

Если бы MAX хотел “тайно перехватывать экран”:

• ему не нужно обновлять NVIDIA Overlay

• ему не нужно обновлять RuDesktop

• ему вообще не нужно взаимодействовать с этими процессами

Он бы просто использовал стандартный API Windows для захвата экрана.
Как делает Zoom, Teams, Discord, Telegram, OBS и т.д.

И ты бы вообще ничего не увидел.

Что здесь реально происходит

С высокой вероятностью:

1. MAX использует Chromium/WebRTC

2. Обновление включает компонент захвата экрана

3. Эти же системные DLL уже загружены:

   • NVIDIA Overlay

   • RuDesktop

4. Установщик просит их закрыть

Это обычное поведение Windows Installer.

___________________________________________________________________________________________
Дальше идут советы, как можно проверить подозрения иными способами, но к делу они отношения не имеют. В общем, я тоже предпочитаю телегу, но пост - очередной виток паранойи.

Бойтесь чего-нибудь реального, в конце концов. Например, что один из трех слонов, стоящих на черепахе, решит завтра почесать ногу, и Земля упадет с его спины прямо в море Хаоса!