Мессенджер, который знает о вашем смартфоне больше, чем вы сами.
Мессенджер MAX снова оказался в центре громкого спора о приватности. Автор технического разбора на Хабре заявил, что изучил APK приложения и нашёл в нём механизмы, которые могут собирать сведения об установленных программах, контактах, VPN, сетевых подключениях, звонках и мини-приложениях. Часть выводов выглядит серьёзно, но требует независимой проверки и комментариев разработчиков.
По словам автора, в MAX встроен модуль MyTracker от VK, который получает список установленных на телефоне пользовательских приложений. Системные пакеты отфильтровываются, а для остальных, как утверждается, собираются имя пакета и время установки. Если список изменился, приложение может отправить на сервер не только разницу, а полный обновлённый перечень.
Отдельная часть разбора посвящена VPN. Автор пишет, что MAX проверяет наличие VPN-соединения стандартными средствами Android и может показывать предупреждение с просьбой отключить VPN. По его словам, серверный флаг способен ужесточить поведение приложения – вплоть до того, что чаты и мини-приложения будут заблокированы, пока пользователь не отключит VPN.
Серьёзные вопросы вызывает работа с адресной книгой. В разборе говорится, что приложение отслеживает изменения контактов, отправляет размер телефонной книги и может передавать хеши номеров, включая номера людей, которые не зарегистрированы в MAX. Как часто собирать данные и какими порциями их отправлять, по данным автора, задаёт сервер.
Не спрашивайте почему мы в MAX.
Автор также утверждает, что приложение поддерживает принудительное обновление через собственный сервер, минуя Google Play. При включении серверного флага текущая версия может перестать отправлять сообщения и принимать звонки, а пользователь увидит экран с требованием обновить приложение.
Ещё одна спорная находка связана с мини-приложениями и NFC. В разборе описан сервис, который может передавать NFC-терминалу данные, подготовленные открытым мини-приложением. Автор уточняет, что речь не про банковскую оплату, но такой механизм потенциально подходит для пропусков, карт лояльности и других неплатёжных сценариев.
В материале перечислены и другие находки: серверные флаги для поддельных чатов и встроенной оценки приложения, проверка доступности внешних сервисов вроде Telegram и WhatsApp, скрытые push-команды для удаления сообщений из локальной базы, запросы координат, настройка маршрута звонков и отключение проверки TLS-сессии через серверный параметр.
Отдельно автор описывает аудиомодули. По его словам, в старых версиях MAX присутствовали компоненты, чтобы распознавать речь и ключевые слова на устройстве, а в версии 26.16.0 часть такого кода убрали. При этом инфраструктура, позволяющая загружать модели с сервера, как утверждается, осталась.
Самые тяжёлые утверждения касаются того, что приложение может записывать сырой звук во время звонков, собирать настоящий внешний IP-адрес через скрытый модуль trace_flow, использовать Widevine DRM для устойчивого отпечатка устройства, а также уязвимости ZipSlip в службе загрузки файлов. Последняя, по версии автора, могла позволить перезаписывать файлы внутри песочницы приложения, включая настройки и локальные базы.
Ещё один риск связан с Mobile ID. В разборе говорится, что MAX разрешает незашифрованные HTTP-запросы к доменам российских операторов связи, чтобы те могли добавить номер телефона в заголовки запроса. Такой подход используется для авторизации без SMS, но открытый канал создаёт очевидные вопросы к безопасности и контролю доступа. Автор также утверждает, что похожий механизм доступен доверенным мини-приложениям через закрытый интерфейс.
Опубликованный разбор остаётся односторонним техническим заявлением и не является окончательным выводом.