Хитро… но не умно.

Недавно мои единомышленники выпустили обзор приложения умного голосования. Мол, всё абсолютно безопасно и невозможно ничего заблокировать.

Как говорится: доверяй, но проверяй. Именно это я и сделал. Для начала я установил упомянутое приложение (но пока не открывал его!) на планшет с Android. Все остальные приложения я закрыл. Чтобы прослушивать планшет, я превратил ноутбук с Linux с помощью hostapd(8), dhcpd(8) и iptables(8) в точку доступа WiFi. Далее я запустил Wireshark на ноутбуке, подключил планшет к упомянутому WiFi и открыл приложение. После того, как я попробовал все его функции, которые не лень, я закрыл приложение и остановил прослушку Wireshark.

Скажу прямо: результаты отрезвляющие. Начнём с того, что приложение с помощью, наверное, самого небезопасного протокола в мире – DNS – запрашивает адрес v202108202145-dot-navalnyapp.appspot.com. Далее приложение соединяется с этим сервером с помощью гораздо более безопасного протокола – TLS. Но при этом всё равно видно имя сервера (v202108202145-dot-navalnyapp.appspot.com), так как используется так называемая Server Name Indication (RFC 6066).

Помимо трёх шестёрок в номере RFC 😉 все сотрудники Федеральной Службы Бездельников, которым не лень надавить на розничных поставщиков интернета, могут себе составить базу IP-адресов сторонников Навального. Тут даже не нужны никакие утечки. А все сотрудники РосКомПозора, у которых в голове не только опилки, берут и блокируют не только само умное голосование (votesmart.appspot.com), а и всё похожие на vГГГГММДДЧЧММ-dot-navalnyapp.appspot.com, в самый неудобный момент. Кстати: приложение без интернета не работает. О поддержке нерезидентов я вообще молчу…

TL;DR: ★☆

Если Вы не готовы брать на себя вышеперечисленные риски, установите VPN. Но тогда Вам не нужно само приложение – страниц-аналогов вполне достаточно.

Кто виноват – понятно. А что делать?

Либо использовать гораздо менее предсказуемые или очевидные домены – например: разместить всякие данные на Google Docs. Либо:

  • Вместо DNS использовать DNS over TLS/HTTPS
  • Не использовать Server Name Indication

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *