Что скрывает MAX: эксперты объяснили, где искать реальные угрозы в новом мессенджере

Александр Куманев

Агрессивный сбор данных или стандарт для мессенджеров?

В Сети и Телеграм каналах которую неделю кипят страсти. Якобы мессенджер MAX ведет агрессивный сбор данных, а для его работы требуется огромный список разрешений от пользователя на доступ к конфиденциальной информации и перемещениях абонента.

«Геолокация и контакты — штука понятная и частая. Геолокация нужна, чтобы поделиться с собеседником своими координатами, чтобы быстрее друг друга найти. Доступ к контактам нужен, чтобы объединить контакты внутри мессенджера и контакты внутри телефона, чтобы пользователю не нужно было управлять сразу двумя разными списками», — рассказал «Новым Известиям» разработчик, эксперт по информационной безопасности одной из крупнейших российских компаний Олег Чирухин.

Эксперт по кибербезопасности Дмитрий Чумиков сравнил списки разрешений, которые запрашивают MAX (версия 25.8.1), Telegram и WhatsApp* с помощью Exodus Privacy — сервиса аудита конфиденциальности Android. Согласно результатам анализа, нацмессенджеру требуется 59 разрешений. У Telegram перечень состоит из 72 позиций, у WhatsApp* — из 85.

42 разрешения были общими для всех трех мессенджеров, 19 — только у Telegram и WhatsApp*, пять и девять — у MAX и Telegram или WhatsApp* соответственно. Больше всего уникальных прав доступа у WhatsApp* — 19, далее идет MAX — три, Telegram — два.

«Если смотреть на список разрешений MAX без пояснений, впечатление может сложиться тревожное: доступ к экрану, оверлеи, Bluetooth, установка APK и сбор данных о пользователях. Но при разборе каждого пункта становится ясно, что речь идет о стандартных механизмах, без которых современные мессенджеры работать не могут… Нет фактов, свидетельствующих о том, что в MAX присутствуют скрытые эксплойты, руткиты или иные средства несанкционированного доступа к системе: набор функций и разрешений соответствует ожидаемому для мессенджера со звонками, обменом файлами и встроенной аналитикой», — объяснила обозреватель Anti-Malware.ru Оксана Гриднева.

С политикой конфиденциальности мессенджера MAX можно ознакомиться на официальном сайте.

Согласно документу, компания может передавать данные пользователей третьим лицам, включая разработчиков приложений, операторов связи, партнеров и государственные органы, в соответствии с законодательством. При этом разные категории информации обрабатываются по-разному: часть передается автоматически, а для доступа к чувствительным сведениям необходимо отдельное разрешение пользователя.

«У Max выложено нечто, похожее на политику. Но все-таки это не политика по обработке персональных данных, как того требует РКН. И она точно не соответствует тому, что находится в реестре РКН», — обратил внимание бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий в июле.

Мессенджер MAX доступен в официальных магазинах Google Play и App Store. Такие проверки не гарантируют абсолютную защиту конфиденциальности, но подтверждают соответствие стандартам безопасности (отсутствие вредоносного кода и вирусов, корректность разрешений). Их прохождение исключает скрытую активацию камеры, микрофона и доступ к данным других приложений. Таким образом, опасения о тайной слежке, распространяемые отдельными источниками, не подтверждаются официальными данными и инструментами анализа разрешений.

Напомним, что с 1 сентября 2025 года предустановка MAX станет обязательной на все продаваемые в России устройства. В списке обязательных приложений он заменит «VK Мессенджер», который ставили с 2023 года. Стоит отметить, что предустановленные приложения могут иметь более глубокий уровень доступа в системе, чем те, которые скачали из магазинов приложений.

Также отметим, что сейчас распространяется Beta-версия мессенджера. Официальный релиз запланирован на осень 2025 года. По мере введения новых функций будет расти и список разрешений. Вице-президент по экономике и финансам VK Александр Морозов рассказал РИА «Новости» о запуске в начале осени.

Угроза MAX не там, где видится

Любой современный мессенджер имеет обширные привилегии, необходимые для запуска типовых функций. Олег Чирухин считает главной проблемой нового MAX — риск взлома. По его мнению, у приложения с широким доступом уровень безопасности должен быть очень высоким.

«Как могут воспользоваться этим мошенники? Они получат детальную аналитику и составят подробный социальный профиль пользователя. Они смогут следить за перемещениями пользователя. Они смогут найти всех твоих знакомых по данным из мессенджера», — объясняет эксперт.

Имея такую информацию, киберпреступники могут придумать крайне опасные схемы, ведь жертва даже не заподозрит, что общается не со своим знакомым или родственником. Например, аферисты могут проанализировать переписку, чтобы втереться в доверие и знать то, чего не мог знать посторонний. Это приводит к мгновенному доверию.

«Кроме того, легко представить пользователя, который не хочет, чтобы данные о его социальном профиле попадали в руки производителя мессенджера (администрация компании VK и команды MAX)», — добавил специалист.

Ранее схемы обмана со взломом аккаунта уже наблюдались в Telegram, а мошенники перед просьбой перевести деньги присылали фейковые «кружочки» и переписывались с потенциальными жертвами, у которой не возникало подозрений. Такие случаи были многочисленными. Когда речь идет о многоуровневой платформе с интеграцией госсервисов, последствия взлома аккаунтов могут быть крайне тяжелыми.

Сквозное шифрование: реальная защита или иллюзия безопасности?

При изучении нацмессенджера эксперты не нашли в нем сквозного шифрования (end-to-end encryption, E2EE). Его не обнаружил эксперт в области мобильной разработки Максим Гришутин. Об отсутствии сквозного шифрования в MAX сообщал юрист, руководитель Центра правопорядка в Москве и Московской области Александр Хаминский в беседе с РИА «Новости», заявивший об уязвимости данных, хранимых на серверах.

По информации РИА «Новости», внедрение сквозного шифрования все же заявлено разработчиками. Таким образом, технология может появиться в сентябрьской версии. В то же время, в Роскачестве уже заявляют, что мессенджер использует технологию E2EE, а в сообществе разработчиков Сбербанка месяц назад утверждали, что в MAX используется «собственный протокол шифрования, в основе которого лежат стандарты AES-256 и ГОСТ». Такая вот зашифрованная история.

Сквозное шифрование гарантирует, что содержание разговора будет известно только его участникам, объяснил Олег Чирухин. В противном случае данные могут собираться на серверах компании.

«Со включенным сквозным шифрованием, все данные хранятся на устройстве пользователя, пересылаются по Интернету в полностью зашифрованном виде, и расшифровываются только у получателя. Иначе говоря, на промежуточных серверах ничего не остается — или остаются такие данные, расшифровать которые не может никто», — рассказал он.

При отсутствии сквозного шифрования хранящиеся на серверах данные представляют особый интерес для хакеров. Таким образом, сквозное шифрование становится очевидным преимуществом одного мессенджера над другим, выступая в качестве средства защиты пользователей.

«Прослушать» общение при идеальном сквозном шифровании невозможно даже спецслужбам на законных основаниях, что гарантирует проблемы для таких мессенджеров в разных странах. Но это в идеальных условиях, а на деле все происходит немного иначе.

«Обычно мессенджеры придумывают какие-то такие способы „прослушки“, которые временно понижают качество защиты, специально для сотрудников силовых ведомств. Например, WhatsApp* и iMessage успешно работают в разных юрисдикциях, и у внимательного пользователя может возникнуть закономерный вопрос: как это возможно, что силовики все еще не закрыли их? Думайте сами! У компании-производителя всегда есть этот выбор — отказаться от настоящего сквозного шифрования, чтобы избежать лишних проблем. Будут ли люди после этого пользоваться таким мессенджером — уже другой вопрос», — говорит Олег Чирухин.

У национального мессенджера обнаружили украинские элементы: безопасно ли это?

Еще одним поводом для критики нацмессенджера стало использование библиотек от разработчиков из других стран, в том числе из списка недружественных. Одна из таких библиотек — uCrop (обрезка изображений). Ее разработала интернациональная компания, офисы которой находятся в Польше, Эстонии, на Кипре и Украине. Тг-канал Scamshot, обративший на это внимание, отметил, что одного из разработчиков зовут Михайло Майдан. Как утверждает источник, с ним связались представители пресс-службы MAX.

«Все данные МАХ и данные пользователей хранятся в российских дата-центрах и не передаются за пределы РФ. Развитием MAX занимается команда российских специалистов. Команда использует собственные разработки и библиотеки с открытым исходным кодом, которые проходят обязательный аудит информационной безопасности — как внутренний, так и с привлечением внешних партнеров. ИТ-компании по всему миру применяют именно такой подход», — говорится в ответе от имени пресс-службы MAX.

Олег Чирухин уточнил, что такой подход действительно активно используется программистами в современной практике. Большинство крупных проектов, таких как операционная система Linux, создаются совместными усилиями программистов со всего мира. Более того, по словам эксперта, в кибербезопасности бесполезно оперировать терминами национальности или географического положения, так как «любой мошенник в мире украдет у тебя последнюю копейку при возникновении малейшего шанса», а данные об участниках международных проектов могут быть легко сфабрикованы.

«Настоящая проблема любых мессенджеров — в неизвестных уязвимостях. А также в том, что мессенджеры по своей природе обязаны часто обновляться из интернета — чем больше обновлений, тем больше шанс встретиться с попыткой взлома», — объяснил разработчик.

Для обеспечения реальной безопасности существуют проверенные методологии, такие как «процесс безопасной разработки» (SDL или его российский аналог ГОСТ Р 56939-2016), в котором описаны роли и обязанности участников.

Важные для страны информационные системы могут быть отнесены к объектам Критической Информационной Инфраструктуры (КИИ) в соответствии с Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ. За соблюдением правил следит Федеральная служба по техническому и экспортному контролю (ФСТЭК), которая определяет уровень доверия и может присвоить особо важным частям инфраструктуры «четвертый уровень доверия».

«У меня нет информации о том, насколько в процессе разработки и эксплуатации мессенджера MAX реализован процесс безопасной разработки, и можно ли считать сервера MAX (как главного российского мессенджера) достаточно важными, чтобы их причислили к КИИ и обязали соответствовать ФСТЭК УД-4. Возможно, это хорошая область для постановки на общественный и государственный контроль», — подчеркнул эксперт.

MAX: больше, чем мессенджер

Нацмессенджер стоит перед теми же испытаниями, что и любая крупная коммуникационная платформа: защита данных, рост уязвимостей и новые попытки атак. В таких условиях ключевым становится вопрос прозрачности и надежности работы системы. Причины для обеспокоенности пользователей действительно есть, но это не «шпионские функции», о которых массово тиражируют публикации в соцсетях и на иностранных площадках.

MAX все меньше похож на мессенджер и все больше — на операционную систему повседневной жизни, где можно решать практически все бытовые и деловые задачи. Удобно? Безусловно. Но что будет, если доступ к данным или аккаунту получат злоумышленники? Смогут ли разработчики защитить пользователей и предотвратить утечки? И самое главное: готовы ли россияне платить за удобство дополнительными рисками?

* WhatsApp принадлежит корпорации Meta, которая признана в РФ террористической и экстремистской, ее работа запрещена на территории России.