КАК МЫ НАШЛИ УЯЗВИМОСТЬ В МАКСЕ!!!
или не совсем в Максе, ну да ладно. Что за уязвимость и что позволяет делать? Давайте разбираться.
Совсем недавно мы с @TeamKomet узнали о том, что в ТамТаме есть уязвимость на нахождение аккаунтов админов канала, которую активно используют обитающие там пользователи из Азии.
Пару дней было потрачено на поиск этой уязвимости и вот она была найдена. Суть такова: в ТамТаме есть метод на поиск участников канала, который вроде бы защищен, однако при передаче доп. параметров, сервер спокойно отдает все запрошенное. Самое интересное - фильтр на админов и владельцев. Собсна таким образом и находили владельцев каналов.
Однако если бы все было так гладко, то этот пост вы бы не читали, в Максе это все починили и мы расстроенные пошли отдыхать, такие дела.
MadMaxDatamines
или не совсем в Максе, ну да ладно. Что за уязвимость и что позволяет делать? Давайте разбираться.
Совсем недавно мы с @TeamKomet узнали о том, что в ТамТаме есть уязвимость на нахождение аккаунтов админов канала, которую активно используют обитающие там пользователи из Азии.
Пару дней было потрачено на поиск этой уязвимости и вот она была найдена. Суть такова: в ТамТаме есть метод на поиск участников канала, который вроде бы защищен, однако при передаче доп. параметров, сервер спокойно отдает все запрошенное. Самое интересное - фильтр на админов и владельцев. Собсна таким образом и находили владельцев каналов.
Однако если бы все было так гладко, то этот пост вы бы не читали, в Максе это все починили и мы расстроенные пошли отдыхать, такие дела.
MadMaxDatamines
Что-что осваивают?
Российские власти стали скрывать, что Max используется мошенниками
Российские подцензурные СМИ с подачи МВД стали использовать формулировку «один из новых мессенджеров» без названия, чтобы описывать случаи мошенничества в Max. Речь идет о широкой практике, но пока не повсеместной.
Источник: Агентство
А вам не надоело, что обновлений мода нету?
Тогда у меня для вас хорошие новости! Frida скрипт для 25.8.1 будет выложен в публичный доступ в чат @mmdmodschat
Все желающие дальше пользоваться схожими с модом фичами, прошу проследовать в канал @TeamKomet. РАЗРАБОТКА МОДА ПРЕКРАЩЕНА
Тут же я буду постить свои(и не только) находки в технической части Макса. Хорошего вечера!
Тогда у меня для вас хорошие новости! Frida скрипт для 25.8.1 будет выложен в публичный доступ в чат @mmdmodschat
Все желающие дальше пользоваться схожими с модом фичами, прошу проследовать в канал @TeamKomet. РАЗРАБОТКА МОДА ПРЕКРАЩЕНА
Тут же я буду постить свои(и не только) находки в технической части Макса. Хорошего вечера!
25.16.0
MadMaxDatamines
<string name="error_message_premium_account_required">Требуется премиум-аккаунт.</string>
MadMaxDatamines
25.16.0
MadMaxDatamines
<string name="error_message_not_available_in_region">Контент недоступен в вашем регионе.</string>
<string name="error_message_not_supported">Действие недоступно в этом приложении.</string>
<string name="error_message_parental_control_restricted">Контент заблокирован.</string>
MadMaxDatamines
Хуу-х! Много же хороших людей мне пишут в личку канала! Спасибо всем большое за информацию! Это правда полезно понимать поднаготную, за что ещё раз спасибо.
Связаться со мной так же возможно через jabber или simplex.
likia@xmpp.jp
https://smp14.simplex.im/a#tPFyXohqRX5O_Ne2y2UF_eWFmvoAPYo5EaLTKSR3jVM
Связаться со мной так же возможно через jabber или simplex.
likia@xmpp.jp
https://smp14.simplex.im/a#tPFyXohqRX5O_Ne2y2UF_eWFmvoAPYo5EaLTKSR3jVM
Рубильник на KeywordSpotter был найден для звонков в девке.
Позволяет различать специфичные слова в речи.
Позволяет различать специфичные слова в речи.
Keyword spotting is a speech recognition technology that listens for specific, predefined words or phrases, like a wake word, to trigger an action, rather than transcribing an entire audio stream. This is a more efficient process than full speech-to-text, as it only needs to detect the target keywords and ignore the rest of the speech, which is ideal for voice assistants and smart devices. For example, saying "Hey Siri" or "Alexa" uses keyword spotting to activate the device
Добавили прикол с распознаванием хеша медиа, для исключения повторной загрузки одного файла.
Телега за полгода - сделаем.
Телега за полгода - сделаем.
𝗔⃞+ MadMaxDatamines
25.16.0 <string name="error_message_premium_account_required">Требуется премиум-аккаунт.</string> MadMaxDatamines
ладно, я вас надурил немного, эти строки были подтянуты с androidx
https://androidx.de/androidx/media3/session/legacy/PlaybackStateCompat.html
https://androidx.de/androidx/media3/session/legacy/PlaybackStateCompat.html
Max Dating, ждёте???
А он в разработке!
Нашел интересный поддомен, некоего max-admin.ru. Айпишник в днсе падает на сервер, на который также привязан к vk-admin.com
Судя по всему это тестовый сервер для оффициальных вебаппов.
MadMaxDatamines
А он в разработке!
Нашел интересный поддомен, некоего max-admin.ru. Айпишник в днсе падает на сервер, на который также привязан к vk-admin.com
Судя по всему это тестовый сервер для оффициальных вебаппов.
staging.back.max-dating.max-admin.ru
MadMaxDatamines
This media is not supported in your browser
VIEW IN TELEGRAM
Ух ты, ВК оказывается лутбоксики продвигает!
Причем происходит это на тех же серверах, куда отправляется аналитика для Макса.
Забавно конечно, что одно законом не приветствуется, а второе наоборот.
Чтож, подождем отмазки про то что это все VK Cloud
MadMaxDatamines
Причем происходит это на тех же серверах, куда отправляется аналитика для Макса.
Забавно конечно, что одно законом не приветствуется, а второе наоборот.
Чтож, подождем отмазки про то что это все VK Cloud
MadMaxDatamines