Ограничение телеметрии мессенджера MAX
Скрипт для повышения анонимности и защиты от телеметрии в веб-версии мессенджера MAX. • Перехват и блокировка сетевых запросов – скрипт перехватывает fetch, XMLHttpRequest, Beacon API и WebSocket, блокируя отправку данных на трекеры (Apptracer, Vigo, Logalyzer и др.). • Анализ тела POST-запросов – проверка содержимого на наличие телеметрических ключевых слов (events, host_reachability, telemetry, metrics, crash, perf). • Фильтрация WebSocket – блокировка пакетов с opcode 5 (событие GET_HOST_REACHABILITY), а также дополнительных кодов телеметрии 2 (DEBUG), 22 (CONFIG), 31 (SEARCH_FEEDBACK), 103 (GET_INBOUND_CALLS), 161 (COMPLAIN). • Защита от iframe-обхода – перехват создания iframe и новых окон, блокировка попыток отправки телеметрии через изолированные контексты. • Canvas Fingerprinting – микро-шум в getImageData и toDataURL. Отпечаток холста уникален для каждой сессии. • Audio Fingerprinting – подмена AudioBuffer.getChannelData с добавлением усиленного микро-шума, а также защита OfflineAudioContext для предотвращения глубокого фингерпринтинга. • WebRTC Hardening – очистка ICE-серверов, принудительный relay-режим и перехват addIceCandidate для предотвращения утечки IP. • Подмена аппаратных характеристик – hardwareConcurrency (8 ядер), deviceMemory (8 ГБ). • Сокрытие типа соединения – подмена navigator.connection (всегда 4G, 10 Мбит/с, 50 мс). • Шум в таймингах – микро‑рандомизация performance.now и Date.now (±0.05 мс, ±1 мс). • Подмена шрифтов – document.fonts.query возвращает стандартный набор шрифтов. • Подмена Battery API – navigator.getBattery всегда возвращает 100% заряда. • Подмена плагинов – navigator.plugins и navigator.mimeTypes заменяются на стандартный набор. • Скрытие автоматизации – удаление флага navigator.webdriver. • Маскировка нативных функций – подмена toString перехваченных функций, чтобы они выглядели как нативный код. • Подмена User-Agent Client Hints (UACH) – маскировка архитектуры, платформы и версии браузера. • Защита WebGL – подмена данных о видеокарте (Unmasked Vendor/Renderer). • Защита от зондирования (Anti-Probing) – блокировка запросов к t.me, telegram.org, whatsapp.com, gosuslugi.ru (используются для определения VPN). • Расширенный чёрный список – домены и IP телеметрия (stats.max.ru, telemetry.max.ru, collect.max.ru, vk.com/rkn, sphere.avantelecom.ru, а также IP 155.212.204.143, 155.212.204.78, 155.212.204.193, 95.161.225.253).
⚠️ Важно понимать: мессенджер MAX не использует сквозное шифрование. Это значит, что содержание сообщений может быть по-прежнему доступно третьим лицам.
Данный скрипт не шифрует сообщения, но он эффективно блокирует телеметрию, фингерпринт и другие методы отслеживания вашей активности в браузере, наглядно показывая запросы телеметрии.
Скрипт содержит:
• Блокировку трекеров (Apptracer, Vigo, Logalyzer и др.).
• Блокировку проверки доступности сторонних сайтов (Telegram, WhatsApp, Госуслуги) – одна из защит от определения VPN.
• Защиту от сбора технических данных об устройстве и браузере.
• Снижение риска утечки IP через WebRTC и блокировка сервисов его определения.
• Подмену параметров фингерпринта (Canvas, Audio, шрифты, батарея, WebGL, User-Agent Client Hints).
• Расширенную фильтрацию WebSocket (блокировка дополнительных телеметрических кодов: DEBUG, CONFIG, COMPLAIN и др.).
• Интерфейс с живым отображением блокировок.
Скрипт работает на уровне JavaScript в браузере, соответственно, не может скрывать:
• IP-адрес.
• Сетевые характеристики (TLS fingerprint, HTTP/2).
• Данные, доступные серверу напрямую.
• Не шифрует сообщения.
⚠️ Для большей анонимности дополнительно используйте VPN.
Как использовать:
• Установите расширение Tampermonkey.
• Установите данный скрипт.
• В правом нижнем углу появится компактный индикатор 🪬 BLINDER.
• Нажмите на него, чтобы развернуть лог заблокированных запросов.
• Кнопка Copy Log позволит скопировать историю блокировок для анализа.
⚠️ Каждый раз после перезагрузки компьютера и первого открытия браузера необходимо принудительно обновить страницу мессенджера для активации скрипта.
Если вы используете мессенджер MAX впервые и не хотите устанавливать его на смартфон:
• Установите эмулятор Андроид на ПК.
• Скачайте и установите в эмуляторе apk версию мессенджера MAX.
• Зарегистрируйтесь в эмулированной версии мессенджера, получив код на своем смартфоне.
• Запустите веб версию MAX в браузере с установленным скриптом 🪬MAX Blinder.
• Запустите сканер Qr-кода в эмулированной версии и отсканируйте его в браузере. После регистрации эмулированная версия будет не нужна.ПОДРОБНОЕ ОПИСАНИЕ ФУНКЦИЙ И ЛОГОВ (развернуть)▼
РАСШИФРОВКА ЗАПИСЕЙ В ЛОГЕ:
Тип Описание Когда возникает FETCH Блокировка обычного fetch-запроса Запрос к домену из чёрного списка XHR Блокировка XMLHttpRequest Запрос к домену из чёрного списка POST-TELE Блокировка POST-запроса с телеметрией Запрос содержит в теле ключевые слова: events, host_reachability, telemetry, metrics, analytics, crash, perf WS-TELE Блокировка WebSocket-сообщения Сообщение содержит opcode: 5 (GET_HOST_REACHABILITY) или opcode: 2, 22, 31, 103, 161 BEACON Блокировка Beacon API Отправка данных через navigator.sendBeacon к домену из чёрного списка FETCH (iframe) Блокировка fetch в iframe Запрос из iframe к домену из чёрного списка XHR (iframe) Блокировка XHR в iframe Запрос из iframe к домену из чёрного списка FETCH (popup) Блокировка fetch в новом окне Запрос из всплывающего окна к домену из чёрного списка PROBE Блокировка «зондирования» (проверки доступности сторонних сайтов) Запрос к t.me, telegram.org, whatsapp.com или gosuslugi.ru (используется для определения VPN)
Этот скрипт предоставляется «как есть». Автор не несет ответственности за возможные ограничения аккаунта со стороны платформы. Используйте для защиты личных данных и повышения анонимности.
