Max: экспертное заключение специалиста
На основании технического анализа приложения «Макс» (MAX), выявлены следующие критические риски для пользователей:
1. Риски конфиденциальности и слежки.
- Сбор персональных данных:
- Возраст, пол, email, номера телефонов, ID мессенджеров (VK, ICQ, OK.ru), кастомные идентификаторы.
- Геолокация с точностью до GPS (
ACCESS_FINE_LOCATION) даже в фоне. - Контакты и аккаунты:
- Полный доступ к списку контактов (
READ_CONTACTS), учетным записям устройства (MANAGE_ACCOUNTS). - Медиафайлы:
- Чтение фото/видео (
READ_MEDIA_IMAGES/VIDEO), внешнего хранилища. - Биометрия:
- Доступ к отпечаткам пальцев (
USE_FINGERPRINT).
2. Угрозы безопасности устройства.
- Фоновый шпионаж:
- Службы с
foregroundServiceTypeпозволяют:
• Скрытую запись аудио (microphone) и видео (camera).
• Захват экрана (mediaProjection) во время звонков.
• Постоянный сбор геоданных (location). - Закрепление в системе:
• Автозапуск при включении устройства (BOOT_COMPLETED).
• Службы синхронизации контактов с внешними серверами. - Установка стороннего ПО:
• Разрешение REQUEST_INSTALL_PACKAGES может использоваться для скрытой инсталляции вредоносных APK.
3. Сетевые угрозы и манипуляции.
- Контроль веб-трафика:
• Компонент LinkInterceptorActivity перехватывает HTTP/HTTPS-ссылки, подменяя обработку (потенциальный фишинг). - Отправка данных на сторонние серверы:
• Модуль MyTracker передает собранные данные на неизвестные серверы (США, Чили — по предыдущему отчету). - Риск MITM-атак:
• Использование OkHttpClient с возможной кастомной настройкой TLS (tlsCertPolicy) для обхода проверки сертификатов.
4. Скрытые возможности.
- Обфускация кода:
• 90% кода (особенноcom.my.tracker.obfuscated) намеренно затрудняет анализ, скрывая:
• Логику сбора данных (например, методы trackEvent, a(),b()).
• Механизмы отправки пакетов (класс f1 управляет буферизацией данных). - Нетипичные для мессенджера функции:
• Сбор списка установленных приложений (InstalledPackagesProvider).
• Мониторинг времени в приложении (startAnytimeTimeSpent).
• Фиксация действий в чатах (lastInput,lastInputEditMessageId).
5. Юридические и операционные риски для спецслужб/военных.
- Утечка гостайны:
• Запись звонков + захват экрана + геолокация → передача данных за рубеж. - Инструмент для кибератак:
• Разрешение SYSTEM_ALERT_WINDOW позволяет показывать фишинговые окна поверх банковских/секретных приложений. - Криминальные последствия:
• Использование приложения сотрудниками силовых структур подпадает под ст. 275 УК РФ (Госизмена).
Итоговые рекомендации для пользователей:
- Немедленно удалить приложение MAX с устройств.
- Не использовать для личной/служебной связи, особенно военным и госслужащим.
- Провести аудит устройств, где было установлено приложение:
• Сменить пароли, включить 2FA.
• Проверить историю сетевой активности. - Сообщить в ФСТЭК/ФСБ о выявленных угрозах (на основе данного отчета).
Данный анализ подтверждает выводы предыдущего эксперта (Колмыков А.Н.): MAX — не мессенджер, а инструмент тотальной слежки, угрожающий национальной безопасности РФ. Требует срочного запрета и уголовного расследования».
Экспертное заключение:
Источник:
