18 августа в сообществе GitHub появился детальный анализ APK-файла российского мессенджера Max (или «Макс»). Анализ, проведённый энтузиастами, выявил обширный сбор персональных данных, фоновую запись звука и доступ к множеству системных ресурсов. Результаты анализа шокируют: мессенджер не просто передаёт сообщения, но и активно мониторит устройство, собирая данные о пользователе, его окружении и даже установленном ПО.
Doberman.media подробно изучил отчет GitHub.
Что такое мессенджер Max?
Max — это приложение для обмена сообщениями, звонков и файлов, разработанное в России. Оно доступно на Android (через Google Play, RuStore, AppGallery), iOS и десктопных платформах. Заявленные фичи включают высококачественные звонки, анимированные стикеры, отправку файлов до 4 ГБ, чат-боты и мини-приложения.
Пакет приложения — ru.oneme.app. Однако, по данным анализа, под этой оболочкой скрывается мощный инструмент для телеметрии и слежки. Ранее пользователи замечали, что приложение активирует камеру каждые 5–10 минут даже в фоне, а теперь разбор APK подтвердил ещё более глубокий уровень доступа.
Приложение позиционируется как «госмессенджер», и есть подозрения на связь с ФСБ: серверы расположены в России, что даёт спецслужбам юридический доступ к данным. Эксперты с GitHub разобрали код и обнаружили, что значительная часть его обфусцирована — зашифрована для затруднения анализа.
Обфускация кода: почему анализ затруднён?
Одна из ключевых проблем — обфускация. Модуль com.my.tracker.obfuscated содержит классы с бессмысленными именами вроде e0, c1, y2 и методов a(), b(). Это стандартная практика для защиты от реверс-инжиниринга, но в контексте мессенджера она вызывает подозрения: реальный масштаб слежки остаётся скрытым. Без полной деобфускации невозможно точно понять, как именно данные обрабатываются и куда отправляются. Однако даже видимая часть кода показывает тревожные признаки.
Собираемые данные: от возраста до списка приложений
Модуль MyTracker отвечает за сбор телеметрии. Он фиксирует:
— Пользовательские события: Рекламные взаимодействия, покупки (включая ID продуктов, цены, валюты), приглашения, запуски приложения, прогресс по уровням, логины, регистрацию, время в приложении.
— Персональные данные: Возраст, пол, кастомные ID, email, номера телефонов, ID из соцсетей (ICQ, OK.ru, VK), язык интерфейса, произвольные параметры.
— Данные атрибуции: Источники переходов (диплинки), системные события.
Кроме того, приложение получает доступ к:
- Местоположению (GPS, Wi-Fi, сети).
- Контактам (чтение/запись).
- Учётным записям на устройстве.
- Файлам, изображениям, видео.
- Камере и микрофону (фоновая запись звука).
- Bluetooth, биометрии.
- Списку установленных приложений.
Анализ показал, что приложение может вести фоновую запись аудио и видео, захватывать экран и синхронизировать контакты с внешними серверами. Это выходит за рамки типичного мессенджера: данные включают IP-адрес, характеристики устройства и даже время, проведённое в мини-приложениях.
| Категория данных | Примеры |
|---|---|
| Персональные | Возраст, пол, email, телефон, ID соцсетей |
| Системные | Местоположение, IP, модель устройства, список приложений |
| События | Логины, покупки, время, реклама |
| Доступы | Камера, микрофон, контакты, файлы |
Разрешения и компоненты: полный контроль над устройством
Файл AndroidManifest.xml в APK MAX раскрывает запрошенные разрешения — их список огромен и включает:
- Доступ к сети, Wi-Fi, Bluetooth.
- Чтение/запись контактов, учётных записей.
- Камера, микрофон, геолокация.
- Автозапуск при загрузке, уведомления, фоновые службы.
- Захват экрана (mediaProjection), установка пакетов.
Компоненты вроде MainActivity, LinkInterceptorActivity (перехват ссылок), ContactsSyncService и фоновых служб (CallServiceImpl) позволяют приложению работать в фоне, синхронизировать данные и даже отображать контент поверх других окон. ForegroundServiceType включает microphone|camera|location|mediaPlayback|dataSync, что означает постоянный мониторинг с минимальными уведомлениями.
Закрепление в системе и сетевые манипуляции
Приложение закрепляется через автозапуск (BootCompletedReceiver), фоновые службы и синхронизацию контактов. Нет прямых признаков root-эксплойтов, но разрешения позволяют запрашивать установку других APK и захват экрана.
По сетевым аспектам: Нет VPN-разрешений для тотального сниффинга, но LinkInterceptorActivity перехватывает ссылки, а OkHttpClient может модифицировать запросы. Упоминания VPN в WebRTC — для адаптации связи, не для слежки.
Дополнительно: Сбор ввода в чатах (lastInput), но без системного кейлоггинга.
Мессенджер Max — это риск для приватности
Анализ подтверждает: Max — не просто мессенджер, а центр сбора данных. Он фиксирует всё — от личных данных до фоновой активности, с обфускацией, скрывающей детали. В контексте российского законодательства это может означать доступ ФСБ к информации. Пользователям рекомендуется избегать установки или использовать альтернативы с end-to-end шифрованием, как Signal или Telegram (с оговорками).
Эксперты подчёркивают: без шифрования риск утечек высок. Если вы уже используете Max, проверьте разрешения и мониторьте активность устройства. Это напоминание о важности приватности в цифровом мире.
