История с заголовком «госмессенджер Max полностью взломали» звучит громко, но в таком виде она вводит в заблуждение. По публичным сообщениям на 17 марта 2026 года нет подтверждения того, что кто-то удаленно вскрыл инфраструктуру MAX, получил массовый доступ к аккаунтам пользователей или научился читать переписки прямо с серверов сервиса.
Зато есть другой, куда более приземленный сценарий. Речь идет о цифровой криминалистике, когда специалист получает физический доступ к смартфону, извлекает данные приложения и уже потом разбирает локальные артефакты: контакты, чаты, звонки, вложения, черновики и другие следы. Именно такой смысл следует из публикаций в «Ъ» и из более раннего описания возможностей самого комплекса у МКО.
MAX полностью взломали или нет
Если отвечать коротко, то нет, формулировка про «полный взлом» пока выглядит вымыслом. MAX публично отрицал доступ стороннего софта к своей инфраструктуре и данным пользователей как к сервису. С другой стороны, утверждение о том, что данные клиента MAX можно исследовать на уже изъятом телефоне, не выглядит фантастикой. Для рынка мобильной криминалистики такой сценарий давно нормален и касается не только MAX.
Вот где проходит граница между правдой и преувеличением. Правда в том, что форензик-комплексы умеют разбирать данные приложений на устройствах, которые уже попали на исследование. Вымысел в том, что такой сценарий автоматически означает «взлом мессенджера целиком». Это две разные истории. Одна про локальные следы на конкретном смартфоне, другая про компрометацию всей платформы.
Что в этой истории правда
Правда номер один в том, что современный мессенджер почти всегда оставляет на устройстве заметный цифровой след. Даже когда передача данных защищена, сам клиент хранит часть информации локально: базы чатов, кэш, миниатюры медиа, сведения о звонках, черновики, служебные журналы, токены, иногда ключи и метаданные. Поэтому чтение локальной базы приложения и «взлом шифрования на лету» вовсе не одно и то же.
Правда номер два в том, что мобильная криминалистика давно работает именно так. Специалисты получают не «магический доступ ко всему», а пытаются извлечь максимум из текущего состояния телефона. Если устройство уже разблокировано, если пароль известен, если версия ОС уязвима, если в памяти остались нужные ключи, объем доступных данных резко растет. Если телефон свежий, обновленный и после перезагрузки еще не разблокировался, результат может быть очень скромным.
Правда номер три в том, что риск не уникален для MAX. В своем SecurityLab уже обращал внимание, что MAX пока выглядит скорее как серверный мессенджер с не до конца прозрачной публичной моделью приватности, а не как максимально открыто описанная E2EE-платформа, где оператор технически исключен из доступа к обычным чатам. Но даже если бы речь шла о более закрытой модели хранения, локальные следы на телефоне все равно оставались бы отдельной проблемой.
Что в этой истории вымысел
Главное преувеличение звучит так: «софт вскрывает приложение и вытягивает с телефона все содержимое». На практике слово «все» почти всегда маркетинговое или паническое упрощение. Форензик-инструменты работают не с абстрактным «всем», а с тем, что реально хранится локально, что не стерто безвозвратно, что не защищено недоступным ключом и что позволяет извлечь конкретная связка из модели телефона, версии ОС, патчей и состояния устройства.
Нет и оснований считать, что речь идет об удаленном доступе к любому пользователю MAX по щелчку. Публичная картина указывает на классический сценарий исследования уже захваченного устройства. Это неприятно, но совсем не то же самое, что «у любого человека могут в любую минуту слить переписку из облака».
Еще один миф связан с тем, что любой защищенный мессенджер якобы либо неуязвим, либо «дырявый насквозь». Реальность сложнее. Один и тот же клиент может хорошо держаться при удаленной атаке, но оставлять богатые локальные артефакты. И наоборот, громкие слова про «шифрование» не спасают, если телефон оказался в состоянии после первой разблокировки и нужные ключи уже под рукой у системы.
Почему локальный доступ к телефону так много решает
Слабое место в подобных историях часто не сам мессенджер, а состояние смартфона. После первой разблокировки после перезагрузки часть ключей уже загружена в память, уведомления работают, приложения получают доступ к данным, а криминалистическим инструментам проще собирать артефакты. До первой разблокировки после включения защита обычно выше. Поэтому вопрос «какой мессенджер стоит» неотделим от вопроса «в каком состоянии был телефон, когда его изъяли».
Именно по этой причине громкая фраза «мы научились читать MAX» не обязательно означает, что кто-то нашел критическую сетевую уязвимость в самом сервисе. Намного чаще такое заявление переводится на нормальный технический язык так: «мы добавили поддержку парсинга данных клиента MAX, если добыча уже получена с устройства».
Какие программы реально существуют и что они умеют
| Инструмент | Реальная роль | Что обычно удается получить | Главные ограничения |
|---|---|---|---|
| «Мобильный криминалист» | Российский форензик-комплекс для анализа мобильных устройств, ПК и облачных следов | Локальные базы приложений, контакты, чаты, звонки, вложения, медиа, журналы, часть облачных артефактов | Нужен доступ к устройству или к уже извлеченным данным. Не равен удаленному взлому сервиса |
| Cellebrite UFED / Premium | Промышленный стандарт доступа и извлечения для многих iPhone и Android | Файловая система, данные приложений, геоданные, логи, иногда содержимое с заблокированных устройств | Современные модели и свежие версии ОС часто режут возможности. Универсального доступа нет |
| GrayKey | Специализированный инструмент доступа к iOS и Android | Ключницы, часть зашифрованного контента, фото, видео, чаты, локации, иногда удаленные фрагменты | Сильно зависит от версии ОС, патчей, модели и состояния телефона |
| Magnet AXIOM | Сильная аналитика уже полученных образов, бэкапов и артефактов | Чаты, браузерные следы, медиа, облачные следы, корреляция данных между источниками | Не универсальный «вскрыватель» телефонов. Лучше работает после успешного извлечения |
| Oxygen Forensic Detective | Извлечение, декодирование и анализ данных с мобильных и настольных систем | Сообщения, звонки, файлы, логи, данные приложений, кросс-платформенные артефакты | Упирается в те же барьеры ОС и железа, что и остальные |
| Belkasoft X | Сильный аналитический пакет по чатам, медиа и скрытым остаткам баз | Популярные мессенджеры, медиа, геоданные, данные из WAL, journal и частично удаленные фрагменты | Часто требует уже полученный образ, ключи или совместимый метод извлечения |
| MOBILedit Forensic | Форензика с упором на Android, в том числе на обход части app sandbox на поддерживаемых версиях | Данные приложений на некоторых Android без root, логи, файлы, артефакты мессенджеров | Критически зависит от уровня патчей безопасности и списка совместимых устройств |
| Elcomsoft | Инструменты для резервных копий, облачных следов и части Apple-устройств | Бэкапы, облачные данные, keychain и файловая система на части старых Apple-устройств | На новых iPhone без известного пароля чудес не делает |
Что такие комплексы «ломают» на самом деле
Самый честный ответ такой: чаще всего подобные продукты ломают не мессенджер как сервис, а защитный контур вокруг данных на устройстве. Где-то это подбор слабого пароля. Где-то использование уязвимости в ОС или чипсете. Где-то обход app sandbox. Где-то извлечение ключей из keychain или keystore. Где-то просто грамотный разбор уже доступной локальной базы SQLite, включая журнал транзакций и куски удаленных записей.
Именно поэтому один и тот же мессенджер на двух разных телефонах может дать совершенно разный результат. На старом Android без свежих патчей исследователь увидит много. На новом iPhone с актуальной системой и неизвестным паролем может не увидеть почти ничего. На уже разблокированном аппарате с богатым кэшем можно получить один объем данных. На устройстве после полной перезагрузки и без первого ввода пароля совсем другой.
Реальный вывод по истории с MAX
Самый точный вывод звучит так. Утверждение «MAX полностью взломали» по имеющимся публичным данным не подтверждено. Утверждение «инструменты цифровой криминалистики могут извлекать и разбирать локальные данные клиента MAX на конкретном телефоне» выглядит правдоподобно и укладывается в давно известную практику мобильной форензики.
Для обычного пользователя это плохая новость не потому, что MAX оказался уникально слабым, а потому, что почти любой современный мессенджер становится гораздо менее загадочным, когда телефон попадает в чужие руки в удачный для исследователя момент. Поэтому обсуждать нужно не только приватность сервиса, но и модель хранения данных на устройстве, силу системной защиты, свежесть патчей и реальное состояние телефона в момент изъятия.
Любые попытки получать доступ к чужому телефону, аккаунту или переписке без законных оснований незаконны. Материал носит информационный характер и нужен для понимания рисков мобильной криминалистики, а не для обхода защиты или несанкционированного доступа.
FAQ: что еще нужно понимать про «взлом MAX»
Можно ли удаленно вытащить все переписки из MAX без телефона в руках
Публичных подтверждений такого сценария нет. Доступные сообщения указывают на исследование данных на уже доступном устройстве, а не на удаленную компрометацию всей платформы.
Если на телефоне стоит пароль, проблема исчезает
Нет. Хороший пароль сильно поднимает планку, но итог зависит еще и от модели, версии ОС, патчей безопасности и того, разблокировался ли телефон после последней перезагрузки.
Форензик-комплекс правда может достать «все содержимое»
Обычно нет. Реальный объем данных почти всегда меньше громкого лозунга. Часть информации хранится локально и читается, часть недоступна, часть уже исчезла, а часть остается только на стороне сервиса.
Риск касается только MAX
Нет. Форензик-рынок давно работает с Telegram, WhatsApp, Signal, Viber, Element и десятками других клиентов. MAX здесь не исключение, а очередной поддержанный источник данных.
Самая слабая точка в такой истории где
Чаще всего не в громком слове «взлом мессенджера», а в состоянии конкретного смартфона. Когда устройство уже доступно, локальные базы, кэш, ключи и служебные журналы часто говорят о пользователе больше, чем ему кажется.
