Независимые исследователи опубликовали детальный анализ российского государственного мессенджера MAX, который вызвал вопросы о защите приватности пользователей. Приложение, разработанное VK и планируемое к обязательной предустановке на все смартфоны с сентября 2025 года, запрашивает более 50 разрешений и использует технологии, нетипичные для обычных мессенджеров.
MAX позиционируется как национальный российский мессенджер, который должен стать универсальным мобильным приложением по аналогии с китайской платформой WeChat. Помимо обмена сообщениями планируется интеграция с государственными услугами, цифровым ID и платежными системами. Мессенджером управляет ООО «Коммуникационная платформа» — дочерняя структура VK, определенная правительством для развития национального мессенджера.
Что показал технический анализ
Масштабное исследование, опубликованное на платформе GitHub под названием «MAX-deep-analysis-of-the-messenger», выявило обширную систему сбора данных, встроенную в приложение. Анализ проводился с помощью декомпиляции кода и изучения разрешений операционной системы Android.
Исследователи обнаружили, что значительная часть кода приложения подвергнута обфускации — специальной технологии сокрытия программного кода. Имена функций и переменных заменены на короткие бессмысленные символы, что затрудняет понимание истинного назначения многих компонентов приложения.
Модуль сбора данных MyTracker фиксирует детальную информацию о пользователе: возраст, пол, номера телефонов, адреса электронной почты и идентификаторы из других социальных сетей, включая ICQ, ВКонтакте и Одноклассники. Система также записывает время использования приложения, события покупок и даже содержание последних введенных сообщений.
Разрешения, вызывающие вопросы
Анализ файла AndroidManifest.xml показал, что MAX запрашивает доступ к функциям, которые выходят за рамки потребностей обычного мессенджера. Приложение может включать камеру и микрофон в фоновом режиме, записывать происходящее на экране и определять точное местоположение пользователя.
Особое внимание экспертов привлекли так называемые «службы переднего плана», которые позволяют приложению запускать камеру или микрофон в фоновом режиме, выводя лишь небольшое системное уведомление. Такое поведение нетипично для обычных мессенджеров.
Мессенджер получает полный контроль над телефонной книгой, может читать и изменять контакты, а также синхронизировать их с внешними серверами. Доступ к файловой системе позволяет просматривать фотографии, видео и документы пользователя.
Приложение может управлять Wi-Fi и Bluetooth соединениями, отключать блокировку экрана и устанавливать дополнительные программы. Разрешение на отображение контента поверх других окон теоретически создает возможности для перехвата данных из других приложений.
Автозапуск и постоянная работа
MAX использует механизмы автоматического запуска при включении устройства, что гарантирует его постоянное присутствие в системе. Приложение регистрируется как служба синхронизации контактов и может перехватывать обработку веб-ссылок вместо стандартного браузера.
Исследователи отметили способность приложения к «глубокому и постоянному сбору данных о пользователе и его активности». Комбинация обширных разрешений и возможность фоновой работы создает условия для непрерывного мониторинга.
Функция захвата экрана в фоновом режиме позволяет записывать все действия пользователя, включая работу с банковскими приложениями и другими мессенджерами. При этом пользователь может не подозревать о такой активности приложения.
Реакция экспертного сообщества
Специалисты по информационной безопасности выразили обеспокоенность объемом собираемых данных. В профессиональных каналах появились сообщения о том, что приложение «постоянно передаёт огромные объёмы информации», включая данные из уведомлений других приложений.
Технический анализ на платформе Хабр подтвердил многие выводы исследования. Эксперты обнаружили в коде приложения следы предыдущего мессенджера VK — ТамТам, что говорит о переработке существующего решения, а не создании принципиально нового продукта.
Критики указывают на использование зарубежных библиотек в приложении, которое позиционируется как полностью отечественное. В коде обнаружены компоненты от украинской компании Yalantis, а также разработки из США и Польши.
Позиция разработчиков
Представители VK подчеркивают, что MAX создается как безопасное решение для государственных нужд. В мессенджер интегрирована система «VK Security Gate», которая направлена на непрерывный анализ кода для поиска нарушений его целостности и наличия аномалий.
Относительно использования иностранных библиотек разработчики признали факт, но подчеркнули, что каждый компонент проходит тщательный аудит безопасности. Такой подход назвали международным стандартом, на который опираются Google, Microsoft, Яндекс и другие крупные компании.
Для повышения доверия VK запустила программу Bug Bounty с максимальным вознаграждением до 5 миллионов рублей за критические уязвимости. Это существенная сумма, сопоставимая с наградами за серьезные уязвимости в мессенджерах мирового уровня.
Обязательная предустановка вызывает споры
С 1 сентября 2025 года MAX войдет в список обязательных к предустановке российских приложений на новые смартфоны. Пользователям пока разрешается удалять приложение, но в условиях ограничения работы иностранных мессенджеров альтернатив может не остаться.
Принудительная установка государственного мессенджера настораживает многих пользователей, особенно в контексте выявленных технических особенностей. Эксперты указывают на необходимость большей прозрачности в вопросах сбора и обработки пользовательских данных.
Сравнение с международными аналогами
Анализ показывает, что объем запрашиваемых разрешений MAX значительно превышает потребности популярных мессенджеров. WhatsApp, Telegram и Signal запрашивают меньше доступа к системным функциям и не используют такие обширные механизмы фонового мониторинга.
Особенностью MAX является глубокая интеграция с операционной системой и возможность управления системными настройками. Такой функционал нетипичен для приложений, предназначенных исключительно для обмена сообщениями.
Хотя MAX использует открытые библиотеки, исходный код самого приложения не опубликован. Проверить заявления о безопасности можно только методом «черного ящика» через поиск уязвимостей.
Вопросы, требующие ответов
Публикация результатов исследования поставила ряд важных вопросов перед разработчиками и регулирующими органами. Необходимо прояснить, для каких целей используются обширные разрешения приложения и какие данные действительно передаются на серверы.
Экспертное сообщество призывает к большей открытости в вопросах информационной безопасности государственных цифровых решений. Учитывая планируемую интеграцию с госуслугами и обязательную предустановку, вопросы защиты данных приобретают особую актуальность.
Пользователям рекомендуется внимательно изучать разрешения приложений и регулярно проверять настройки конфиденциальности. При появлении сомнений в безопасности следует ограничить доступ приложения к критически важным функциям устройства.
Ситуация с MAX демонстрирует важность независимого анализа безопасности цифровых продуктов, особенно тех, которые планируется использовать на государственном уровне. Доверие пользователей к таким решениям напрямую зависит от прозрачности разработчиков и готовности отвечать на обоснованные вопросы экспертного сообщества.
Подписывайтесь на телеграм-канал Digital Report, чтобы первыми узнавать о важных новостях кибербезопасности и получать экспертную аналитику о цифровых технологиях.
- Xiaomi прекращает поддержку 14 популярных смартфонов в 2026 году - 09/01/2026 10:37
- Япония пересаживает офисных сотрудников в лежанки для котов - 09/01/2026 09:57
- Робот-конь Corleo на водороде от Kawasaki поступит в продажу в 2035 году - 09/01/2026 00:49
