В коде MAX якобы нашли то, что называют бэкдором. Технически это совсем не так — но и не совсем не так

В начале марта на Хабре и ntc.party появились результаты реверс-инжиниринга модуля HOST_REACHABILITY. Среди перехваченных сообщений исследователи нашли event-тип GET_HOST_REACHABILITY, в рамках которого клиент отправляет на сервер api.oneme.ru подробный отчёт с IP-адресом пользователя, типом соединения, PLMN-кодом мобильного оператора, флагом активности VPN, который определяется через стандартный Android API NetworkCapabilities.TRANSPORT_VPN, а также результатами проверки доступности ряда хостов, включая gosuslugi.ru, gstatic.com, main.telegram.org и mmg.whatsapp.net. Для каждого адреса клиент проверяет два параметра: ping по ICMP и TCP-подключение к порту 443.

Модуль срабатывает при сворачивании и повторном открытии приложения, а серверный флаг host-reachability позволяет включать и отключать такую проверку точечно, для отдельных аккаунтов. Телеметрию мессенджер передаёт вместе с основным трафиком по проприетарному протоколу, что серьёзно затрудняет блокировку таких запросов без отключения самого MAX. По мнению исследователей, схема позволяет выявлять факт использования VPN по расхождению IP-адресов, полученных от российских и зарубежных сервисов, проверять эффективность блокировок на ТСПУ и, в отдельных сценариях, вычислять адреса приватных VPN-серверов.

Поверх подтверждённых фактов быстро вырос второй сюжет. Канал VPN Liberty в X назвал домен st.max.ru «модулем удалённого управления» и связал обращения к нему с серверной командной логикой. Официальная документация MAX для разработчиков, однако, прямо указывает, что с этого адреса загружается библиотека max-web-app.js для мини-приложений. Сам по себе запрос к домену не доказывает наличие скрытого сервера управления, а тезис про «управляемый бэкдор» независимые исследователи категорически оспаривают, называя выводы Liberty непрофессиональными и предвзятыми.

Команда мессенджера обвинения отвергла. По версии компании, данные об IP-адресах нужны исключительно для корректной работы звонков, поскольку WebRTC использует внешний IP для построения прямого P2P-маршрута между устройствами, а проверка доступности mtalk.google.com связана с доставкой push-уведомлений. Исследователи, впрочем, указывают на несоответствие: собранные IP-адреса фигурируют не в механизме звонков, а в событии HOST_REACHABILITY. Зачем приложению параллельно обращаться к нескольким HTTP-сервисам проверки IP в разных странах и сетях, официальный комментарий не объясняет.

Резонанс вокруг истории объясняется не только техническими деталями. MAX развивает VK, сервис интегрируют с госуслугами, а с 1 сентября 2025 года приложение обязали предустанавливать на новые смартфоны и планшеты в России. По данным компании, к марту 2026 года в мессенджере зарегистрировались более 100 млн пользователей. Поэтому любой найденный модуль сетевого контроля здесь мгновенно превращается не просто в багрепорт для узкого круга реверсеров, а в большой общественный сюжет о доверии к мессенджеру, который государство продвигает как базовую альтернативу зарубежным сервисам.