Почему многие считают мессенджер MAX небезопасным: мифы и факты, настройки и чек-лист защиты

Почему многие считают мессенджер MAX небезопасным: мифы и факты, настройки и чек-лист защиты

MAX шумно ворвался в повестку: кто-то называет его «национальным мессенджером», кто-то — «большим братом в телефоне». В итоге вокруг приложения царит редкий информационный шум: от реальных рисков до конспирологий. Давайте аккуратно разложим по полочкам, без паники и без фанатизма, опираясь на доступные документы и наблюдаемые факты — и с набором практических настроек, если пользоваться всё-таки приходится.

Что вообще такое MAX и зачем он нужен

Официально MAX позиционируется как универсальная платформа для общения и сервисов: личные и групповые чаты, звонки, мини-приложения и бот-сценарии для бизнеса и госуслуг. Базовая информация и дистрибутивы — на официальном сайте , а технические материалы и вход для интеграторов — на портале для разработчиков . В роли «супераппа» MAX стремится стать точкой входа к государственным и коммерческим сервисам, что удобно… и одновременно повышает ставки в вопросах приватности.

Дополнительно обсуждается требование предустановки на новые устройства и «национальный» статус — это усиливает подозрения: чем глубже интеграция, тем выше риск злоупотреблений, особенно без прозрачности архитектуры и шифрования.

Откуда взялось недоверие: четыре главных триггера

1. Политика конфиденциальности и сбор данных

В действующей политике конфиденциальности перечислены категории собираемых данных: регистрационные сведения (имя, телефон, дата рождения, аватар и т.п.), технические данные (IP-адрес, ОС, тип браузера, провайдер), геолокация, журналы активности (клики и переходы в интерфейсе), а также данные из адресной книги при предоставлении доступа. В документе отдельно указана возможность передачи информации третьим лицам и государственным органам при наличии правовых оснований. Для пользователя это означает: переписка и поведение в приложении — не «чёрный ящик», а операционная реальность, где метаданные как минимум собираются и обрабатываются.

2. Неясность со сквозным шифрованием

Самый болезненный вопрос — есть ли в MAX полноценное сквозное шифрование (E2EE) для обычных чатов. Публичной спецификации, независимого аудита и прозрачного описания протокола пока нет. В медиа и пользовательских разборках регулярно звучит тезис, что у MAX «классическая облачная модель синхронизации», а не E2EE «по умолчанию». Проще говоря: если содержимое сообщений шифруется и хранится «в облаке», но ключи и логика недоступны внешней проверке, то уровень доверия ограничен самим доверием к оператору сервиса.

3. Предустановка и связь с экосистемой государства

Обязательная предустановка, интеграции с госуслугами и прочими сервисами — это удобно для пользователей, но для части аудитории выглядит как расширение периметра контроля. В восприятии людей предустановка = «значит, будут смотреть». Формально предустановка — это политика дистрибуции, а не автоматический «прослушивающий модуль», но вне технической прозрачности тревожность растёт.

4. Закрытый код и отсутствие независимого аудита

У MAX закрытый исходный код, нет открыто опубликованной криптоспецификации для чатов и результатов внешнего аудита безопасности. Это не «доказательство вины», но важная причина скепсиса: без внешней проверки нельзя подтвердить корректную реализацию шифрования, хранение ключей, отсутствие закладок и устойчивость к инцидентам.

Что из этого правда, а что миф

Правда

  • Данные действительно собираются и могут передаваться третьим лицам по правовым основаниям. Это прямо следует из политики конфиденциальности . Туда входят не только учётные данные, но и метаданные активности, cookies и аналитика.
  • Прозрачной спецификации E2EE для обычных чатов нет. Пока не опубликовано описание протокола на уровне, достаточном для внешней верификации. Для пользователей это означает неопределённость: нельзя независимым способом подтвердить, что «содержимое чата недоступно даже провайдеру».
  • Риск расширенного профилирования выше из-за «супераппа». Интеграции мини-приложений и ботов усиливают ценность слитой базы и увеличивают площадь атаки: больше контуров, больше токенов, больше поводов для социальной инженерии. Это системный риск любых «супераппов», не только MAX.
  • Приложение агрессивно собирает метаданные, как и большинство крупных мессенджеров. Отличие — контекст эксплуатации: хранение данных внутри одной юрисдикции и возможная интеграция с гос-инфраструктурой повышают регуляторные риски.

Мифы и преувеличения

  • «MAX читает все сообщения в реальном времени». Технические детали публично не подтверждены. Без доказательств это скорее гипербола. Но важно другое: при отсутствии публичной E2EE-архитектуры доверие по умолчанию ниже. Вывод не «всё читают», а «надо вести себя так, будто читать могут» — и соответствующе выстраивать гигиену общения.
  • «Приложение всегда слушает микрофон и следит за камерой». На iOS и Android доступ к этим датчикам регулируется системными разрешениями, видно индикаторы активности, а доступ можно выдавать «на время вызова» и отзывать после. Проверьте настройки и отключите постоянные разрешения — это базовая практика цифровой гигиены.
  • «Без MAX скоро ничего не заработает». Предустановка и продвижение — не то же самое, что «монополия на доступ к сервисам». Да, часть сценариев будут удобнее внутри «супераппа», но это не равно «всё остальное отключат». Стоит следить за регуляторными изменениями, но паниковать раньше времени нет смысла.

MAX vs популярные мессенджеры: короткая шпаргалка

Критерий MAX Telegram WhatsApp
Шифрование по умолчанию Публичной спецификации E2EE для обычных чатов нет; прозрачность ограничена. В обычных чатах не E2EE; E2EE есть только в «Секретных чатах» ( FAQ ). Личные сообщения и звонки — E2EE по умолчанию ( подробности ).
Прозрачность и аудит Код закрыт, независимый аудит публично не представлен. Клиенты частично открыты, протокол описан, но E2EE по умолчанию нет. Закрытый код, но протокол E2EE документирован, архитектура широко исследована.
Сбор метаданных Широкий (аккаунт, устройство, гео, активность, cookies) — см. политику . Сервер-клиентная модель для обычных чатов — метаданные хранятся на серверах. Метаданные собираются (как у большинства мессенджеров), контент чатов — E2EE.
Багбаунти Заявлена публичная программа вознаграждений; позиционируется как фокус на защите пользователей. Есть независимые исследования и внешние разборы уязвимостей. Широкая история программ bug bounty и внешних расследований.

Окей, а как жить: если MAX обязателен (или «так сложилось»)

Трезвая стратегия проста: разделяйте каналы, минимизируйте след, ограничивайте доступы. Ниже — шаги, которые действительно имеют смысл для бытового и рабочего сценария.

  1. Ставьте жёсткие системные ограничения. На iOS и Android отключите постоянный доступ к геолокации, камере, микрофону и Bluetooth. Разрешайте только «по запросу» и на время звонка. Проверяйте индикаторы использования датчиков.
  2. Отключите импорт контактов. Не давайте доступ к адресной книге, если он не критически нужен. Так вы сокращаете объём загружаемых на сервер связей.
  3. Разделите номера и профили. Для мессенджеров удобно иметь отдельный номер (eSIM/вторую SIM) — и отдельный профиль/рабочее пространство (на Android — «Профиль работы»), чтобы разграничить данные и разрешения.
  4. Не отправляйте секреты «в чистом виде». Чувствительные документы/файлы передавайте в зашифрованном архиве (например, 7-Zip с AES-256) и сообщайте пароль в другом канале. Это базовая, но рабочая гигиена.
  5. Минимизируйте персональные маркеры в профиле. Без необходимости не указывайте дату рождения, место работы, биометрию, «официальные фото» и т.п. Снизьте потенциальный ущерб при утечке.
  6. Регулярно чистите историю и медиа-кэш. Чем меньше «лишнего» лежит на устройстве и в облаке, тем меньше уйдёт при компрометации аккаунта или телефона.
  7. Следите за фишингом и техподдержкой-самозванцем. Никому не сообщайте коды из SMS и push-подтверждений, не переходите по «ссылкам для защиты». Официальные каналы общения лучше проверять через сайт сервиса.

Короткий чек-лист настроек прямо сейчас

  • Проверьте разрешения: камера/микрофон/гео — только «по запросу».
  • Отключите доступ к контактам и автосинхронизацию записной книжки.
  • Очистите кэш, настройте автозагрузку медиа на «никогда/по Wi-Fi/спросить».
  • Включите блокировку приложения по PIN/биометрии (если доступно в системе).
  • Отдельный номер/eSIM для мессенджера; на Android — отдельный профиль.
  • Все чувствительные файлы — только в зашифрованных контейнерах/архивах.
  • Периодически проверяйте обновления: баги закрываются, политики меняются.

Вывод

Почему многие считают MAX небезопасным? Потому что пока не хватает прозрачности там, где она критична: сквозное шифрование, аудит, ясные гарантии по ключам и хранилищам. Добавьте к этому предустановку и роль «супераппа» — и получите идеальный коктейль для недоверия. Это не повод впадать в истерику, но и не повод расслабляться. Рецепт здравого смысла тот же, что и для любого «тяжёлого» мессенджера: минимизируйте данные, дробите каналы, шифруйте сами, держите разрешения под замком. Пока не появится публичная спецификация E2EE и результаты независимого аудита, лучше считать MAX «полупрозрачным» и вести себя соответствующе.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Онлайн-митап Positive Technologies по сетевой безопасности.

16 сентября специалисты по ИБ поделятся честным опытом работы с PT Sandbox и PT NAD.

Успей зарегистрироваться

Реклама. 18+ АО «Позитив Текнолоджиз», ИНН 7718668887


article-title

Николай Нечепуренков

Я – ваш цифровой телохранитель и гид по джунглям интернета. Устал видеть, как хорошие люди попадаются на уловки кибермошенников, поэтому решил действовать. Здесь я делюсь своими секретами безопасности без занудства и сложных терминов. Неважно, считаешь ты себя гуру технологий или только учишься включать компьютер – у меня найдутся советы для каждого. Моя миссия? Сделать цифровой мир безопаснее, а тебя – увереннее в сети.