там очень интересный код местами, советую всем почитать

например вот этот (пик1) прекрасный маппинг ссылок которые открываются в айфрейме и supposedly разлогинивают на куче сайтов (правда у меня ни одно не сработало, но видимо уже на стороне самих сервисов это починили в комментах пишут что реально работает, видимо в брейве починено как-то лол? хз)

или вот этот (пик2) кусок где оказывается если открывать ссылку с target=_blank то там будет доступен window.opener в котором можно например подменить локацию (link)

а еще я в ахуе что апишки moveTo и resizeTo (пик3) до сих пор работают в последних версиях браузера лол

в 181 слое добавили одну очень занимательную штуку: integrity проверки приложения, через play integrity для ведер и apns для айфонов.

теперь любой запрос сервер может отклонить с ошибкой INTEGRITY_CHECK_CLASSIC_X или APNS_VERIFY_CHECK_X (где X - nonce), после чего клиент должен сделать проверку интегрити перед тем как повторить запрос.

что-то похожее было (да и сейчас есть, наверное) 4 года в апи вкшки, где аудио апи прикрывали ошибкой Token confirmation required, и клиенты должны были провалидировать токен. не знаю как там сейчас (подскажите в комментах если знаете), но раньше для "конфирмации" было достаточно gcm токена, который очень легко получить headless-но, и даже работало с микрогом.
и вот в этом основное различие – что апнс, что плей интегрити очень жестко завязаны на вендорные сервисы системы. в отличие от gcm-а, у которого даже есть открытые имплементации.

в целом понятно зачем это делается – чтобы люди перестали использовать официальные app_id/hash.
но учитывая что любой запрос может упасть теперь с такой ошибкой – немного (много) переживаю за будущее юзерапи телеги… и пока чет совсем непонятно как оно будет работать на ведрах без гуглосервисов.

не очень хороший прецедент вырисовывается если честно….