Несколько недель из повестки не выходят новости о новом российском мессенджере MАХ. Часть пользователей, которые успели его установить и поработать с ним, хвалят приложение. Другие пользователи в штыки восприняли утилиту и винят ее чуть ли не в тотальном контроле, слежке и запуске других программ. Нервозности добавляет и то, что с сентября Max будет в обязательном порядке предустановлен на всех новых устройствах в магазинах.
ЕАН поговорил с директором компании «Сумма технологий» Романом Рублевским о том, как запускают на рынок подобные крупные приложения, какие уязвимости могут обнаружиться у них, в том числе и у нового MАХ, и как следовало грамотно построить кампанию по продвижению мессенджера, чтобы снизить градус напряжения среди россиян.
Как готовятся к запуску новых приложений
Говоря о запуске продукта и его выводе на рынок, Роман Рублевский пояснил, что готовность приложения, его «забагованность» пользователь определить не может. По его мнению, разговоры о том, что MАХ – сырое, не готовое к использованию приложение, – хайп, который разгорается вокруг отечественного мессенджера.
Лишнего внимания можно было бы избежать, сделав код приложения публичным, хотя бы клиентской части. Некоторые мессенджеры имеют полностью открытый код (Signal), некоторые только клиентскую часть (Telegram), благодаря чему всякий может убедиться в наличии или отсутствии скрытого функционала.
Что касается некорректной работы, то обычный пользователь может протестировать приложение только на соответствие своим ожиданиям: нажал кнопку, и должен появиться определенный результат. Если этот результат есть, все хорошо. Если нет, то программа плохая. А профессиональные тестировщики проверяют по протоколу методики испытаний на соответствие техническому заданию. Такой проверки пользователь сделать не может, так как не знает, как должно реагировать приложение по ТЗ.
«Я поставил это приложение, недоработок, которые бы не соответствовали моим ожиданиям, я не увидел. Как пользователь, я его протестировал положительно, как профессионал его протестировать не могу, потому что не знаю техзадания и протокола методики испытаний», – прокомментировал ЕАН Рублевский.
Он уточнил, что прежде чем программа появится в магазине приложений, она, как правило, проходит все этапы тестирования на соответствие заявленным и предполагаемым возможностям, прописанным в ТЗ.
О защите приложения
При использовании любого приложения обнаруживаются ошибки, которые устраняются разработчиками. Но исправляются одни ошибки - появляются новые. Это нормальный процесс жизни любого продукта. Поэтому обновление приложений ни в коем случае нельзя отключать, так как это единственный способ обычному пользователю защититься, например, от взлома.
«Обновление закрывает выявленные слабости. Других способов нет. По сути, рядовой пользователь беззащитен перед профессиональной атакой через известные уязвимости. Просто никому не интересен рядовой пользователь. Как только человек становится интересным, там совершенно другие меры безопасности надо принимать. Выбрасывать телефон, по большому счету», – заявил ЕАН глава «Суммы технологий».
По словам Романа Рублевского, существуют методы внедрения вредоносного кода без клика пользователя по ссылке или открытия файла. Это когда заражение происходит через слабое место в обработчике сообщений или звонков. Приходит сообщение или звонок, на который даже необязательно отвечать, но заражение устройства происходит. И от этого в какой-то мере защищает только обновление программного обеспечения.
Безусловно, процент ошибок и уязвимостей зависит от тестирования, но даже самая тщательная отладка не дает стопроцентной гарантии. Качественное ПО – это быстрое закрытие известных уязвимостей. То есть если находится такое, то быстро создается обновление. Когда слабые места в программе не закрываются годами, это плохое приложение, считает эксперт.
Слабые места отечественного мессенджера МАХ
По мнению Рублевского, с запуском MАХ следовало сразу сделать привязку к аккаунту на «Госуслугах» через Единую систему идентификации и авторизации (ЕСИА), а не через номер телефона.
«Авторизовался, тебя идентифицируют, что ты такой-то, приходил в МФЦ, у тебя есть паспорт и так далее. В мессенджере сразу назван фамилией, именем, отчеством, есть номер паспорта и адрес прописки. Так и надо делать, если это государственный мессенджер.
А сейчас получается, ты купил номер на 5 минут. Пришла эсэмэска, ты подтвердил. Все, авторизован в МАХ. Если ты мошенник, то делай что хочешь. Как и в любом другом мессенджере», – считает эксперт.
Он добавил, что MАХ ничем не отличается от других мессенджеров по востребованности среди мошенников. По его мнению, каких-либо преград для них в нем сейчас нет. Так же, как нет их и в других приложениях для общения.
«Мне кажется, опаснее другое. Из-за разрекламированности МАХ его могут начать взламывать. Если само приложение имеет на устройстве какие-то серьезные права, с которыми ты согласился, когда его устанавливал, и они больше, чем необходимы для нормальной работы устройства, например, возможность запускать другие приложения, тогда появляется опасность.
Например, запуск приложения банка через МАХ. Вот это меня, как пользователя, беспокоит больше», – выразил обеспокоенность в разговоре с корреспондентом ЕАН директор IT-компании.
Он уточнил, что самим разработчикам МАХ следовало опровергнуть подобную информацию, если она не соответствует действительности и является всего лишь слухом. Именно разговоры о полном доступе мессенджера к устройству и вредят его репутации, уверен Роман Рублевский.
«У него должны быть свои преимущества, государство должно через него общаться, собирать какие-то данные, все это нормально. Но почему кто-то из разработчиков не выйдет на какую-то площадку и не скажет: ребята, он не собирает данных таких-то и таких-то, он не запускает другие приложения, если вы ему это не разрешили. Это должны громогласно заявлять авторитетные люди, независимые эксперты, которым дали возможность в этом убедиться. Или сделать код приложения публичным, чтобы убедиться могли все желающие. А так все на уровне домыслов. Ведь кто-то запустил байку о том, что МАХ имеет доступ к запуску приложений. А как мы знаем, плохому верят», – резюмировал специалист.
Домовые чаты свердловчан переведут в мессенджер Max21 августа в 18:54
