В государственном мессенджере Max обнаружили функции тотальной слежки за пользователями. Программист под ником zarazaex полностью разобрал APK-файл приложения и выложил результаты исследования на Habr. Выяснилось, что Max собирает список контактов и установленных программ, может делать скриншоты переписок, вести скрытую запись звука, создавать фейковые чаты и стирать сообщения прямо с телефона без следа. Кроме того, мессенджер умеет определять реальный IP-адрес при включенном VPN и использует встроенный идентификатор устройства, который невозможно сбросить даже после удаления приложения или возвращения телефона к заводским настройкам.

Также утверждается, что Max отправляет скрытые команды и push-уведомления для сбора данных, в том числе с целью получения координат пользователя, незаметно записывает аудио во время звонков и затем заливает их на сервер, где они хранятся без end-to-end-шифрования. В мессенджере также нашли инструменты распознавания речи, определения ключевых слов и идентификации человека по голосу. Кроме того, Max принудительно обновляет приложение и собирает всю телефонную книгу, а сервер может «по клику мышки» выкачать все логи и контакты.

Также Max способен выключать TLS‑валидацию — процесс проверки подлинности цифрового SSL/TLS-сертификата и самого сервера, к которому коннектится пользователь. Вкупе с другими инструментами это образует комплект «дай мне все, что лежит у тебя в памяти, и не проверяй сертификат того, кто это запрашивает», резюмируется в исследовании.

Ранее к выводу о том, что Мах является шпионской программой, пришли исследователи на GitHub. Они также проанализировали APK-файл приложения и обнаружили, что оно отслеживает процессы и установленные программы, собирает геолокацию, записывает звук, видео и вводимый в сообщениях текст.

Крупнейший хостинг-провайдер Cloudflare ранее классифицировал Max как «шпионское программное обеспечение» (spyware) и предупреждал о его «вредоносности», однако позже эта пометка была удалена.

Госмессенджер был разработан по требованию Владимира Путина холдингом VK, который возглавляет сын первого замглавы Администрации президента Владимир Кириенко. В политике конфиденциальности Max прямо прописана передача данных по запросу в ФСБ, МВД, ФНС и Банк России.

Россияне неохотно переходили в госмессенджер, из-за чего власти стали использовать административный ресурс для принуждения к его скачиванию и обязали предустанавливать приложение на все продаваемые в стране гаджеты. В Max перевели школьные и домовые чаты, переписку чиновников и сотрудников госкомпаний, а также интегрировали его с сервисом «Госуслуги».

Параллельно Роскомнадзор заблокировал два самых популярных в стране мессенджера — WhatsApp и Telegram. Основатель последнего Павел Дуров говорил, что российские власти хотят загнать всех граждан в «контролируемое государством приложение, созданное для слежки и политической цензуры».