Независимый исследователь провёл реверс-инжиниринг APK-файла мессенджера MAX и опубликовал детальный отчёт о функциях, которые, по его мнению, представляют угрозу приватности и безопасности пользователей. Результаты анализа охватывают широкий спектр возможностей: от сбора списка установленных приложений и постоянного мониторинга адресной книги до серверного управления TLS-валидацией, принудительного отключения VPN и скрытой фоновой записи звука во время звонков.
MAX - не рядовой мессенджер. С 1 сентября 2025 года он предустанавливается на все продаваемые в России мобильные устройства, а его домен max.ru включён в белый список ТСПУ, что гарантирует бесперебойную работу даже при ограничениях доступа к другим ресурсам. Такое положение делает MAX единственным гарантированно работающим мессенджером на российском рынке, и любая информация о его внутреннем устройстве приобретает особое значение. Исследователь утверждает, что обнаружил в коде десятки элементов, которые можно трактовать как инструменты тотального мониторинга и управления устройством пользователя.
Наиболее резонансные находки касаются механизмов, позволяющих серверу MAX дистанционно изменять поведение клиента. В частности, обнаружен серверный флаг, который может отключать проверку валидности TLS-сертификата для всех соединений. Теоретически это открывает возможность для атаки "человек посередине" со стороны любого узла на пути трафика - от корпоративного прокси до операторского оборудования. Другая находка: приложение может по команде с сервера принудительно обновляться, минуя магазин приложений, и устанавливать APK из собственного CDN, а также блокировать работу приложения при обнаружении активного VPN-соединения. Исследователь приводит код, показывающий, что сервер может в любой момент потребовать отключить VPN для доступа к чатам и мини-приложениям.
Отдельное внимание в отчёте уделено модулям, связанным с обработкой звука. В библиотеке приложения найден компонент, содержащий embedded-модель искусственной нейронной сети для распознавания речи (ASR) и детекции ключевых слов (KWS) в реальном времени. Исследователь утверждает, что эта модель может работать во время звонков, а результаты (факт срабатывания на ключевое слово) отправляются на сервер в аналитику. Кроме того, описан механизм collect-debug-dump, который позволяет серверу через WebSocket-команду инициировать запись сырого аудио с микрофона (до шумоподавления) и последующую загрузку аудиофайла на аналитический сервер без какого-либо уведомления пользователя.
Скепсис в отношении этой информации необходим. Во-первых, исследование проведено анонимно, без атрибуции к известной организации или лаборатории, что затрудняет верификацию. Часть функций, таких как сбор списка приложений и анализ доступности внешних хостов, может объясняться легитимными задачами - например, диагностикой качества связи или предотвращением мошенничества. Механизм управления NFC через мини-приложения может быть частью платформы для цифровых пропусков или карт лояльности, что тоже не обязательно является нарушением. Однако совокупность находок, особенно возможность отключать TLS-валидацию и тайно записывать звук без согласия пользователя, выглядит как системное решение, а не случайный набор функций. Именно сочетание обязательной предустановки и таких возможностей вызывает наибольшие вопросы.
Исследователь также указывает, что часть найденного кода (например, компонент KWS) была удалена в последней версии приложения, что может свидетельствовать о реакции разработчика на критику. Но базовая инфраструктура для загрузки ML-моделей с сервера сохранена - её переключили на подавление шума, однако архитектурно она готова вернуть распознавание речи в любой момент.
Публикация такого отчёта - не повод для немедленных выводов, но основание для пристального внимания со стороны регуляторов и экспертного сообщества. MAX обладает уникальным положением на рынке: один предустановленный мессенджер с гарантированным доступом при потенциально неограниченных возможностях контроля над устройством. Если хотя бы половина описанных функций подтвердится при независимом аудите, это изменит представление о границах приватности для миллионов пользователей в России. Вопрос не в том, что произошло, а в том, какой прецедент создаётся.
