-
Дата и время
В марте 2025 года компания VK представила мессенджер MAX, который должен был стать основой «национальной цифровой платформы» по аналогии с китайским WeChat и прийти на замену провальному VK Мессенджер. Планировалось, что это приложение объединит чаты, боты, мини-приложения, госуслуги и другие сервисы в единой экосистеме. Госдума в июне приняла закон, согласно которому MAX должен предустанавливаться на все смартфоны и планшеты, продаваемые в России с сентября. Однако вместо триумфального старта мессенджер столкнулся с волной критики от экспертов по информационной безопасности. Уже через несколько недель после запуска в профессиональных Telegram-каналах начали появляться тревожные сообщения о потенциальных уязвимостях и нарушениях приватности. Что именно вызвало такую реакцию и насколько обоснованны претензии к безопасности MAX?
Главные обвинения против MAX
Утечка данных за рубеж
Самое серьёзное обвинение связано с подозрением, что MAX передаёт пользовательские данные на зарубежные серверы. Автор Telegram-канала Scamshot утверждает, что с последним обновлением мессенджер получил полный доступ к буферу обмена смартфона и начал собирать информацию обо всех установленных приложениях, после чего эти данные якобы отправляются за пределы России. Особенно иронично выглядит тот факт, что мессенджер, позиционируемый как «полностью отечественный», использует библиотеки из «недружественных стран». В коде MAX обнаружили украинскую библиотеку uCrop от компании Yalantis, а также компоненты из США и Польши. Критики язвительно называют это «безопасным национальным мессенджером с утечкой данных непосредственно в днепровские офисы».
Слежка за пользователями
Анализ политики конфиденциальности MAX выявил агрессивный сбор метаданных. Мессенджер официально сохраняет IP-адреса, списки контактов, время активности и другие данные пользователей. Более того, эта информация может передаваться третьим лицам, включая государственные органы. Интеграция с порталом «Госуслуги» полностью деанонимизирует пользователей. Эксперты опасаются, что MAX станет инструментом тотальной слежки, сохраняя все переписки и предоставляя доступ к ним спецслужбам по первому требованию. Саркис Дарбинян из «Роскомсвободы» прямо назвал проект «сумасшедшим экспериментом над людьми», который может привести к созданию системы социального рейтинга по китайскому образцу.
Технические недостатки
Ранние пользователи жаловались на постоянные сбои при регистрации, зависания при загрузке фотографий и другие баги. Авторизацию некоторым удавалось пройти только с четвёртой попытки. Хотя обновления частично улучшили стабильность, функциональность осталась ограниченной. В MAX отсутствуют привычные настройки конфиденциальности, двухфакторная аутентификация, сквозное шифрование чатов. Нет поддержки секретных чатов или самоуничтожающихся сообщений — всего того, что считается нормой для защищённых мессенджеров. Исследователи также выяснили, что MAX фактически является переименованной версией старого мессенджера TamTam, который создавался Mail.ru для «Одноклассников», но не снискал популярности. Если это так, то MAX наследует все архитектурные ограничения предшественника.
Ответ разработчиков
Столкнувшись с потоком обвинений, представители VK выступили с опровержениями. Пресс-служба категорически заявила: «Данные MAX хранятся в российских дата-центрах и не передаются за пределы РФ». По словам компании, вся инфраструктура размещена на территории России. Относительно использования иностранных библиотек разработчики признали факт, но подчеркнули, что каждый компонент проходит тщательный аудит безопасности. Такой подход назвали международным стандартом, на который опираются Google, Microsoft, Яндекс и другие крупные компании. Чтобы повысить доверие, VK запустила программу Bug Bounty с максимальным вознаграждением до 5 миллионов рублей за критические уязвимости. Это довольно существенная сумма, сопоставимая с наградами за 0-day уязвимости в мессенджерах мирового уровня.
Параллельно в проправительственных каналах появилась версия о целенаправленной информационной атаке на MAX. Утверждается, что конкуренты развернули кампанию дискредитации, чтобы помешать технологической независимости России.
Реакция ИБ-сообщества
Профессиональное сообщество встретило MAX с изначальным недоверием. Telegram-канал Scamshot стал одним из главных источников критических материалов, публикуя технические детали об обнаруженных проблемах. Алексей Лукацкий в своём канале перечислил все выявленные «тревожные звоночки» и саркастически адресовал вопрос властям, понимают ли они, что именно пытаются навязать россиянам. Его мнение важно, поскольку канал читают многие специалисты отрасли. На форумах и в блогах обсуждение вышло за рамки технических вопросов. Пользователи вспоминали провальные попытки создать «российские аналоги» мессенджеров в прошлом, шутили и выражали скепсис относительно принудительного перехода на MAX.
Правозащитники резко раскритиковали саму концепцию государственного мессенджера. Они предупредили, что для массового перехода на MAX власти будут «душить» иностранные сервисы, что приведёт к монополизации общения в одном подконтрольном приложении. Впрочем, нашлись и защитники принципа использования открытого кода. Они указывали, что само наличие библиотеки от украинского разработчика не означает наличия бэкдора, поскольку open source-код прозрачен для анализа.
Проблемы централизации и прозрачности
MAX представляет собой централизованный сервис, контролируемый одним провайдером. Все данные пользователей стекаются на серверы VK и потенциально доступны для мониторинга. По российским законам операторы связи обязаны хранить переписки и предоставлять их спецслужбам по запросу. Прозрачность проекта оставляет желать лучшего. Хотя MAX использует открытые библиотеки, исходный код самого приложения не опубликован. Проверить заявления о безопасности можно только методом «чёрного ящика» через поиск уязвимостей. Закон предусматривает обязательную предустановку MAX на все смартфоны и планшеты с сентября 2025 года. Такая принудительность настораживает многих пользователей, которые опасаются ограничений работы конкурирующих мессенджеров.
Что дальше?
Ситуация вокруг MAX наглядно показала важность доверия и прозрачности в вопросах информационной безопасности. Первые дни присутствия на рынке привели к серьёзному репутационному ущербу. В ИБ-сообществе MAX уже приобрёл образ приложения для слежки, а не нейтрального мессенджера. Разработчики ответили на критику смесью оборонительных мер и попыток улучшения. Запуск Bug Bounty и готовность исправлять ошибки — позитивный сигнал. Однако для восстановления доверия потребуются дополнительные шаги: независимый аудит с публикацией результатов, доработка политики конфиденциальности, получение официальных сертификатов.
Открытие хотя бы части исходного кода также могло бы существенно повысить прозрачность. Пока же MAX остаётся в глазах многих экспертов потенциально небезопасным решением, независимо от его реальных качеств. Безопасность — это не только технология, но и воспринимаемая категория. Государственная поддержка породила страх усиления контроля, а агрессивное продвижение — отторжение у части аудитории. Даже при безупречной технической реализации эти факторы требуют серьёзной работы с общественным мнением. Для национального мессенджера, претендующего на всеобщее использование, негативный имидж неприемлем. Значит, работу над ошибками необходимо провести максимально тщательно и публично. Время покажет, сможет ли MAX преодолеть недоверие и стать действительно безопасным и популярным решением.
Какие регионы переводят на MAX в этом году?
В рамках пилотного проекта по переводу школьных чатов в мессенджер Max запланированы мероприятия в шести регионах России:
- Тверская и Владимирская области;
- республики Алтай, Марий Эл и Татарстан;
- Ханты-Мансийский автономный округ.
В Татарстане переход планируют начать с 1 сентября и завершить к 1 ноября. В Курганской области планируют перейти до 15 августа. Дмитрову – приготовиться!
Основанием для нововведения стал Федеральный закон от 24 июня 2025 года №156-ФЗ, который устанавливает обязательное использование национального мессенджера для общения между педагогами, учениками и родителями якобы с целью обеспечения цифровой безопасности.
Источник: securitylab.ru
4 августа 2025 года
