Сентябрь 2025
Тестирование слежки в MAX на Android и iPhone
Контекст
В марте 2025 года компания VK заявила о выпуске бета-версии российского супераппа MAX, а к середине августа 2025 пресс-служба мессенджера отчиталась о 18 млн пользователей. Благодаря административному давлению и агрессивной медийной кампании за короткое время в приложение удалось привести значительное количество пользователей, которые установили его для работы, учебы или в личных целях.
Параллельно в стране началась блокировка звонков в популярных глобальных мессенджерах Whatsapp и Telegram, наблюдаются сбои в работе Google Meet, что стимулирует переход людей на российский мессенджер. С 1 сентября 2025 года Max должен быть предустановлен на всех новых смартфонах, продаваемых в России.
Российское государство настойчиво продвигает MAX, пытаясь повторить успех китайского WeChat, где собрано всё от госуслуг до электронной коммерции. По подобию китайского приложения, российский MAX спроектирован так, чтобы вся информация и переписка в нём хранились на российских серверах и были доступны всем заинтересованным государственным службам и подрядчикам, в том числе с использованием ИИ.
В MAX не предусмотрено сквозное шифрование, а значит информация, которой пользователи обмениваются с помощью приложения, может стать доступной для третьих лиц. Личная информация пользователей, которая будет в большом объеме агрегироваться в приложении, может быть подвержена утечкам или атакам.
Компания VK, являющаяся материнской организацией ООО "Коммуникационная платформа" — разработчика мессенджера MAX — внесена в реестр организаторов распространения информации (ОРИ). В соответствии с "законом Яровой", все ресурсы, признанные ОРИ, обязаны собирать и хранить данные пользователей (включая переписки и документы до 6 месяцев, а метаданные — до 3-х лет), а также предоставлять их силовым структурам по запросу.
Российское государство настойчиво продвигает MAX, пытаясь повторить успех китайского WeChat, где собрано всё от госуслуг до электронной коммерции. По подобию китайского приложения, российский MAX спроектирован так, чтобы вся информация и переписка в нём хранились на российских серверах и были доступны всем заинтересованным государственным службам и подрядчикам, в том числе с использованием ИИ.
В MAX не предусмотрено сквозное шифрование, а значит информация, которой пользователи обмениваются с помощью приложения, может стать доступной для третьих лиц. Личная информация пользователей, которая будет в большом объеме агрегироваться в приложении, может быть подвержена утечкам или атакам.
Компания VK, являющаяся материнской организацией ООО "Коммуникационная платформа" — разработчика мессенджера MAX — внесена в реестр организаторов распространения информации (ОРИ). В соответствии с "законом Яровой", все ресурсы, признанные ОРИ, обязаны собирать и хранить данные пользователей (включая переписки и документы до 6 месяцев, а метаданные — до 3-х лет), а также предоставлять их силовым структурам по запросу.
Это вызывает обеспокоенность среди экспертов: они допускают, что мессенджер MAX, находящийся под контролем структуры, связанной с государством, может не только выполнять требования по хранению и передаче данных, но и теоретически обладать возможностями для более глубокого контроля — вплоть до незаметного доступа к устройству пользователя и слежки в реальном времени. Такие сценарии, хотя и не подтверждены, рассматриваются как потенциально возможные с технической точки зрения.
Гипотеза
До настоящего момента не было данных, достаточных для того, чтобы эксперты могли сделать полноценные выводы о том, какие именно риски несёт пользователям установка супераппа MAX. Отсутствие эмпирических данных создаёт прецеденты ошибок и субъективных толкований.
Одна из самых тиражируемых в сети гипотез — это перманентная слежка, которую MAX ведёт за пользователями, запрашивая чрезмерно много доступов и/или используя их несанкционированно. В частности в сети распространялись мнения, что приложение может вести скрытую прослушку, самостоятельно делать скриншоты и в режиме реального времени наблюдать за тем, что происходит в других приложениях. Другая популярная гипотеза, что с точки зрения слежки активности на телефоне, MAX ведёт себе похоже на Whatsapp или Telegram.
Чтобы проверить гипотезу о непрерывной слежке, которую ведёт за пользователями приложение MAX, эксперты RKS Global провели специальное тестирование, чтобы понять, как приложение ведёт себя, попадая на телефон пользователей.
Одна из самых тиражируемых в сети гипотез — это перманентная слежка, которую MAX ведёт за пользователями, запрашивая чрезмерно много доступов и/или используя их несанкционированно. В частности в сети распространялись мнения, что приложение может вести скрытую прослушку, самостоятельно делать скриншоты и в режиме реального времени наблюдать за тем, что происходит в других приложениях. Другая популярная гипотеза, что с точки зрения слежки активности на телефоне, MAX ведёт себе похоже на Whatsapp или Telegram.
Чтобы проверить гипотезу о непрерывной слежке, которую ведёт за пользователями приложение MAX, эксперты RKS Global провели специальное тестирование, чтобы понять, как приложение ведёт себя, попадая на телефон пользователей.
Методология
Для тестирования были использованы мобильные устройства iPhone и Google Pixel. Перед тестированием, телефоны были сброшены до заводских настроек и потом обновлены до новейших версий ОС. Приложение MAX было впервые загружено на них через AppStore и Google Play.
Задачей было проверить когда и какие разрешения запрашиваются приложением MAX на телефоне пользователей, как приложение пользуется этими разрешениями, делает ли что-то без разрешения и как приложение связывается со своими серверами.
Тестирование длилось двое суток. На обоих устройствах приложению сначала был разрешён доступ ко всему, что приложение запрашивало (камере, микрофону, контактам, местоположению, звонкам, файлам, фотографиям и видео). В это время за тем, что происходит на телефоне наблюдали эксперты и фиксировали аномалии. По прошествии двух суток у приложения были отозваны все ранее выданные разрешения — теперь наблюдение шло за тем, будет ли MAX запрашивать их снова и при каких условиях.
Во время тестирования на Android использовался мониторинг приложения по названию приложения (ru.oneme.app) или ID, мониторинг активности приложения через adb, штатные средства Android (Панель управления разрешениями), журнал с ошибками adb bugreport.
Для iPhone проведён анализ файла sysdiagnose с логами приложений и системы с помощью iLEAPP, мониторинг активности приложения через штатные средства iPhone (Отчёт о конфиденциальности приложений).
Мониторинг трафика с обоих устройств происходил с помощью PiRouge.
Приложение тестировалось с российскими IP-адресом, геолокацией и номером телефона. А также с IP-адресом и геолокацией вне России.
Задачей было проверить когда и какие разрешения запрашиваются приложением MAX на телефоне пользователей, как приложение пользуется этими разрешениями, делает ли что-то без разрешения и как приложение связывается со своими серверами.
Тестирование длилось двое суток. На обоих устройствах приложению сначала был разрешён доступ ко всему, что приложение запрашивало (камере, микрофону, контактам, местоположению, звонкам, файлам, фотографиям и видео). В это время за тем, что происходит на телефоне наблюдали эксперты и фиксировали аномалии. По прошествии двух суток у приложения были отозваны все ранее выданные разрешения — теперь наблюдение шло за тем, будет ли MAX запрашивать их снова и при каких условиях.
Во время тестирования на Android использовался мониторинг приложения по названию приложения (ru.oneme.app) или ID, мониторинг активности приложения через adb, штатные средства Android (Панель управления разрешениями), журнал с ошибками adb bugreport.
Для iPhone проведён анализ файла sysdiagnose с логами приложений и системы с помощью iLEAPP, мониторинг активности приложения через штатные средства iPhone (Отчёт о конфиденциальности приложений).
Мониторинг трафика с обоих устройств происходил с помощью PiRouge.
Приложение тестировалось с российскими IP-адресом, геолокацией и номером телефона. А также с IP-адресом и геолокацией вне России.
Выводы
На протяжении двух суток наблюдения ни в одной из конфигураций тестирования не было выявлено неправомерного доступа к камере, местоположению, микрофону, уведомлениям, контактам, фото и видео. Технически, у приложения была возможность собирать эти данные и отправлять их, но эксперты не зафиксировали, что такое происходило.
После отзыва разрешений у приложения не зафиксировано попыток получить эти доступы снова через запросы или несанкционированно.
После отзыва разрешений у приложения не зафиксировано попыток получить эти доступы снова через запросы или несанкционированно.
Исследование экспертов RKS Global показывает, что в настоящее время приложение MAX не ведёт слежку по умолчанию за пользователями.
Тем не менее наблюдения необходимо продолжать, изменяя локацию и условия. Есть вероятность, что у разных пользователей, находящихся в разных географических точках, приложение может вести себя по-разному. Также есть вероятность, что с течением времени приложение все-таки может начать делать запросы на доступы или же несанкционированно вторгаться в пользовательское устройство. Требуется более детальный анализ трафика и его расшифровка.
Также следует помнить, что любые приложения и сайты получают IP-адреса, которые косвенно могут указывать на геолокацию. То есть любые российские приложения, включая МАX, могут фиксировать, где приблизительно находится пользователь. Это означает, что силовики с помощью СОРМ тоже могут получить эту информацию.
Также следует помнить, что любые приложения и сайты получают IP-адреса, которые косвенно могут указывать на геолокацию. То есть любые российские приложения, включая МАX, могут фиксировать, где приблизительно находится пользователь. Это означает, что силовики с помощью СОРМ тоже могут получить эту информацию.
Рекомендации
Эксперты RKS Global напоминают, что через мессенджер MAX не стоит вести конфиденциальную переписку и пересылать чувствительные документы. Необходимо помнить, что у MAX есть большой потенциал к слежке, так как вся информация в нём, все переписки могут быть доступны государственным органам в реальном времени.
В любой момент поведение мессенджера, связанного с государством, может измениться, он может просить больше доступов или пытаться получить их самостоятельно, может передавать больше информации для анализа и слежки. Все ваши дальнейшие действия по установке приложения MAX и работе внутри него должны исходить из этого знания и необходимых мер безопасности.
Эксперты рекомендуют по возможности использовать безопасные аналоги (Google Meet, FaceTime, Jitsi, Zoom и пр.) или восстановить доступ к привычным звонкам через WhatsApp и Telegram с помощью устойчивых к блокировке VPN.
Эксперты рекомендуют по возможности использовать безопасные аналоги (Google Meet, FaceTime, Jitsi, Zoom и пр.) или восстановить доступ к привычным звонкам через WhatsApp и Telegram с помощью устойчивых к блокировке VPN.