Мессенджер MAX следит за пользователями?
Содержание
Подозрительные сигналы
В цифровом мире, где приватность становится всё более хрупкой ценностью, пользователи мессенджеров всё чаще задаются вопросом: кто и как следит за их действиями в сети? Недавние исследования выявили тревожные особенности работы одного из популярных российских мессенджеров — MAX. Анализ сетевого трафика приложения показал, что оно собирает и передаёт данные, выходящие за рамки стандартной работы мессенджера. Речь идёт не о случайных ошибках или технических особенностях, а о целенаправленно встроенном механизме. Он отслеживает, использует ли пользователь VPN‑соединение, и передаёт эту информацию на серверы разработчика.
Особенность ситуации в том, что этот модуль сложно заблокировать: он встроен в основной трафик приложения и управляется удалённо. Это значит, что его активность может меняться без ведома пользователя — включаться или отключаться для отдельных аккаунтов по команде с сервера.
Чтобы разобраться в работе мессенджера MAX, был проведён детальный анализ его сетевого трафика. Для этого использовали эмулятор Android и специальный инструмент перехвата трафика mitmproxy в режиме WireGuard. Это позволило увидеть все запросы, которые отправляет приложение, и изучить их структуру.
Исследователи столкнулись с рядом сложностей. Клиент MAX не содержит отладочной информации, а его сетевой протокол не поддаётся автоматическому декодированию. Трафик выглядит как бинарные данные с вкраплениями строк, что затрудняет анализ. Чтобы разобраться в формате сообщений, пришлось написать специальный модуль для mitmproxy. В ходе анализа выяснилось, что каждое сообщение состоит из заголовка (10 байт) и полезной нагрузки, которая может быть сжата. Заголовок содержит служебную информацию: версию протокола, команду, порядковый номер запроса, опкод и флаг сжатия. Полезная нагрузка передаётся в формате MessagePack.
Что именно собирает мессенджер?
Механизм, встроенный в MAX, выполняет комплексную проверку сетевых параметров устройства. При запуске приложения он:
- получает IP‑адрес пользователя через несколько внешних сервисов (включая российские и зарубежные);
- проверяет доступность ряда хостов с помощью ping (ICMP) и подключения к порту 443 (HTTPS);
- фиксирует тип соединения (Wi‑Fi, мобильный интернет и т. д.);
- определяет, активно ли VPN‑подключение на устройстве;
- собирает код мобильного оператора (PLMN), который включает код страны и код оператора.
Все эти данные отправляются на сервер api.oneme.ru в составе сообщения HOST_REACHABILITY. Примечательно, что список проверяемых хостов меняется от версии к версии. В нём периодически появляются и исчезают адреса Telegram, WhatsApp (принадлежит запрещённой в России организации) и других сервисов.
Особое внимание привлекает флаг vpn — он показывает, используется ли VPN на устройстве. Эта информация передаётся вместе с IP‑адресом и кодом оператора, что позволяет сделать выводы о местоположении пользователя и способе подключения к интернету.
Собранные данные не просто хранятся на серверах — они могут использоваться для решения конкретных задач. Методика проверки (ping + TCP:443) позволяет определить, успешно ли блокируются определённые ресурсы на уровне ТСПУ (технических средств противодействия угрозам). Это значит, что мессенджер фактически превращается в инструмент мониторинга эффективности блокировок.
Опасность заключается в нескольких аспектах:
- Таргетное управление. Функция может включаться и отключаться удалённо для отдельных пользователей или групп. Это даёт возможность выборочно отслеживать тех, кто потенциально обходит блокировки.
- Привязка к личности. Собранные данные (IP, код оператора, статус VPN) могут помочь связать использование VPN с конкретным человеком, особенно если речь идёт о частных VPN‑серверах с фиксированным IP.
- Маскировка под обычный трафик. Данные отправляются вместе с основным трафиком мессенджера, что делает их блокировку практически невозможной без отключения самого приложения.
- Эволюция модуля. От версии к версии функционал развивается: меняются списки проверяемых хостов, появляются признаки того, что модуль может получить возможность выполнять команды с сервера.
- Код оператора (PLMN) служит дополнительным маркером: он указывает, что пользователь, скорее всего, находится в России. В отличие от геолокации, запретить сбор этой информации стандартными средствами нельзя.
Официальная позиция и возможные решения
Разработчики мессенджера MAX категорически отрицают наличие какого‑либо следящего модуля. В официальном комментарии они заявили, что:
- информация об IP‑адресах используется исключительно для корректной работы звонков через технологию WebRTC;
- запросы к внешним серверам нужны для проверки доставки push‑уведомлений в сложных сетевых условиях;
- мессенджер не отправляет запросы на серверы WhatsApp (принадлежит запрещённой в России организации) и Telegram.
Тем не менее, если вы хотите минимизировать риски, связанные с работой MAX, есть несколько практических шагов:
Удаление приложения. Самый радикальный, но эффективный способ — полностью отказаться от использования мессенджера.
Изоляция на Android. Установите приложение в отдельное рабочее пространство, которое не наследует VPN‑соединение основного профиля. Например:
- на устройствах Samsung — используйте защищённую папку Knox;
- на Xiaomi / Redmi / POCO — активируйте «Второе пространство»;
- на Huawei / Honor — включите PrivateSpace («Личное пространство»);
- для других устройств подойдут универсальные решения вроде Shelter, Island или Insular.
Отдельный телефон. Для работы с MAX можно приобрести самый дешёвый Android‑смартфон. Это позволит отделить потенциально рискованную активность от основного устройства.
Блокировка IP‑сервисов. Попробуйте заблокировать доступ к сервисам, которые мессенджер использует для получения IP‑адреса (например, ifconfig.me, api.ipify.org). Однако этот метод ненадёжен: разработчики могут добавить новые адреса в любой момент.
Независимо от выбранного способа, важно помнить: даже если вам нечего скрывать, подобные механизмы могут ограничивать доступ к информации и влиять на цифровой комфорт.
Подготовлено по материалам с сайта: https://habr.com/ru/articles/1006666/
20 просмотров · 06.03.2026