Вчера в сети появился детальный технический разбор APK-файла Мах, и выводы, честно говоря, заставляют серьёзно задуматься о безопасности

Вчера в сети появился детальный технический разбор APK-файла Мах, и выводы, честно говоря, заставляют серьёзно задуматься о безопасности. Давайте разбираться, что на самом деле скрывается под капотом у "национального мессенджера", и как это касается каждого из нас.

Масштаб и обязательность установки этой программы на все гаджеты, продаваемые в России, делают вопрос безопасности MAX критически важным буквально для каждого жителя страны.

6 главных рисков: что выяснили исследователи

1. Тотальная слежка за вашим устройством и контактами

MAX собирает о вас гораздо больше данных, чем нужно для обычного общения. В код приложения встроен SDK MyTracker от VK, который сканирует и отправляет на серверы полный список всех установленных у вас приложений, включая время их установки. Сервер видит эту картину в реальном времени.

Что еще тревожнее — MAX в реальном времени следит за вашей адресной книгой. Он отправляет на сервер общее количество контактов (даже тех, кто не пользуется MAX) и собирает хеши телефонных номеров. По сути, платформа знает ваш круг общения и может отслеживать его изменения.

2. Запись разговоров и ключевые слова под контролем ИИ

Это самый серьезный риск для приватности. В приложение встроена система машинного обучения, способная в реальном времени слушать звук с микрофона и распознавать речь. Анализ показал наличие модуля KWS (Keyword Spotting), который ищет в аудиопотоке ключевые слова. Список этих слов может быть изменен сервером удаленно, без обновления приложения.

Кроме того, сервер может дать команду на тайную запись сырого (несжатого) звука с микрофона во время звонков, которая затем загружается в аналитику. Никакого уведомления об этом пользователь не видит. Позже разработчики удалили часть кода, связанную с KWS, но инфраструктура для удаленной загрузки ML-моделей осталась, что позволяет вернуть эти функции в любой момент.

3. Полный контроль сервера: удаление сообщений и отключение шифрования

Сервер MAX может удаленно стереть любое ваше сообщение прямо из базы данных на телефоне через скрытый push-запрос. Вы даже не узнаете, что оно исчезло.

Более того, сервер может отключить проверку TLS-сертификатов (тех самых, что обеспечивают безопасное соединение). Это делает возможной атаку "человек посередине" (MitM) и перехват ваших данных, особенно в публичных или корпоративных сетях.

4. Номер телефона и IP-адрес: ваш цифровой портрет

Для быстрой авторизации (без SMS) MAX отправляет запросы на серверы операторов по открытому HTTP, без шифрования. Это сделано специально, чтобы оператор мог вписать ваш номер телефона в заголовки пакета. Любой посредник на линии может увидеть эти данные в чистом виде. Такой же доступ к номеру могут получить и сторонние мини-приложения внутри MAX.

Отдельный скрытый SDK под названием trace_flow собирает ваш реальный IP-адрес, обращаясь к внешним сервисам в обход VPN. Эти данные вместе с ID пользователя и информацией о сотовом операторе отправляются на сторонний домен, о котором ничего не сказано в политике конфиденциальности.

5. Фейки и манипуляции: "липовые" чаты и отзывы

Исследователи обнаружили в коде приложения серверные флаги, позволяющие создавать "фейковые" чаты и входящие звонки (например, от имени "начальника"), а также поддельные диалоги с просьбой оценить приложение. Такие инструменты — классический пример манипуляции пользователем в целях пропаганды или социальной инженерии.

6. Уязвимости: 213 проблем и метка "Spyware"

Безопасность MAX вызывает вопросы не только у исследователей-одиночек. В апреле 2026 года Positive Technologies сообщила об обнаружении 213 уязвимостей в рамках программы Bug Bounty. А сервис Cloudflare и вовсе пометил домен max.ru как "Spyware" (шпионское ПО), что является официальной категорией для сайтов, собирающих конфиденциальные данные и отслеживающих действия пользователей.

Что говорят в MAX?

Официальная позиция компании предсказуема: все обвинения в слежке названы "фейками", а сбор данных объясняется исключительно технической необходимостью для улучшения качества сервиса.

Разработчики также заявляют, что данные пользователей хранятся только на российских серверах, а сам мессенджер якобы использует "end-to-end шифрование".

Однако результаты обратной разработки (реверс-инжиниринга) кода показывают, что реальные технические возможности приложения выходят далеко за рамки заявленных.

Так стоит ли пользоваться? Мнение экспертов

Ведущие специалисты по кибербезопасности (например, из компании Truesec) оценивают MAX как потенциальную платформу для государственного наблюдения и не рекомендуют использовать ее для сколь-либо конфиденциального общения. Аналитики сходятся во мнении, что для обычного пользователя в России выбор сегодня стоит так: удобство интеграции с госуслугами и стабильная связь против практически полного отсутствия приватности. Если ваши разговоры не содержат ничего деликатного, риски могут показаться приемлемыми, но если приватность для вас важна — стоит трижды подумать, прежде чем предоставлять MAX те обширные разрешения, которые он запрашивает.

Статья-расследование с Habr рисует тревожную картину: MAX — это не просто мессенджер, а мощный и сложный инструмент сбора данных с возможностями удаленного контроля над устройством. Его принудительное распространение делает эту угрозу массовой. Остается надеяться, что общественный резонанс и публикации независимых экспертов заставят разработчиков пересмотреть архитектуру приложения в сторону реальной, а не декларируемой безопасности. Ваша приватность — в ваших руках. Будьте бдительны.

Телеграм: t.me/ainewsline

Источник: vk.com

Комментарии: