Чем грозит Max
Фото: АГН «Москва»
Национальный мессенджер Max с 1 сентября будут предустановливаться на всех мобильных телефонах и планшетах, которые продаются в России. К безопасности приложения есть множество вопросов.
Подробный разбор Max недавно появился на крупнейшей платформе для разработчиков GitHub. Автор под ником RigOlit изучил, к каким данным получит доступ приложение, и пришел к выводу, что Max по сути представляет собой «мощный инструмент для глубокого и постоянно сбора данных».
После того как статья RigOlit разошлась в соцсетях, автор ее удалил. В личном телеграм-канале разработчик написал, что его работа «используется оппозиционными группами для обсирания власти» и что он лично «ничего против власти не имеет».
«Новая газета Европа» изучила материал разработчика, поговорила с техническими экспертами и дает ответы на вопросы о том, настолько опасен мессенджер для пользователей.
В тексте приведены цитаты эксперта по цифровой безопасности и разработке программного обеспечения. «Новая-Европа» объявлена нежелательной организацией в России, поэтому из соображений безопасности мы не называем имя собеседника.
Max хочет иметь доступ ко всему: он запрашивает доступ к геолокации, контактам, файлам, камере, микрофону, Bluetooth, уведомлениям, биометрии. Приложение также собирает информацию о возрасте, поле, телефоне, e-mail, идентификаторах социальных сетей, а также фиксирует все события в приложении: регистрация, вход, покупки, использование мини-приложений, рекламная активность.
Max, российский мессенджер от компании VK, запустили для бета-тестирования весной 2025 года. Летом он был выбран национальным мессенджером. Max позиционируется как «суперапп» наподобие китайского WeChat: он должен объединить чат, госуслуги, платежи и другие сервисы, приложение также предлагается интегрировать с электронной подписью.
С 1 сентября Max должен быть предустановлен на всех мобильных телефонах и планшетах, продаваемых в России. Различные медиа сообщали, что этот мессенджер может стать обязательной платформой для родительских и домовых чатов, а также о том, что госслужащим рекомендовали зарегистрироваться в Max и активно использовать его в рабочей коммуникации.
Мессенджер запускается автоматически при старте телефона или планшета, а также запрашивает постоянный доступ к микрофону, камере и к экрану устройства с возможностью делать скриншоты.
Тем не менее, по словам экспертов, требования мессенджера довольно стандартны. Аналогичные разрешения запрашивают, например, Telegram, Facebook и Instagram. Приложения банков обычно имеют еще более широкий доступ к устройству.
«Более-менее все приложения собирают максимум информации, следят за всем, чем могут. Например, когда ты в инстаграме что-то пишешь, ты еще даже сообщение не отправил, а оно уже улетело на сервера инстаграма и сохранилось. И тебе показывают контекстную рекламу. Все так делают. Это пугает. Но это стандарт де-факто в 2025 году», — говорит эксперт.
Они есть. Даже если речь идет о наборе персональных данных, которые уже анализируют западные корпорации, это не значит, что надо отдавать эти сведения в руки российского государства.
«Да, есть другая часть этой истории. Она состоит в том, что мы знаем, как в России используются данные. Они используются, чтобы прессовать несогласных, данными торгуют нечистоплотные полицейские и так далее. В какой-то момент собранная госмессенджером информация может появиться в даркнете — всё это стандартные российские проблемы.
Здесь они становятся еще страшнее, они имеют еще большее значение, потому что ты, конечно, будешь в кармане у себя носить это приложение постоянно. Это приложение будет видеть, с какими людьми ты общаешься, с кем ты переписываешься, кому ты переводишь деньги. Оно будет видеть, с какими детьми твои дети учатся в одной школе, с какими родителями ты переписываешься, а с кем нет.
Думаю, что через несколько лет государство сможет делать очень интересную аналитику. Но в любом случае всё это — часть какой-то большой картины. Большая часть данных о россиянах у государства и так есть. Пока, кажется, они не научились ими эффективно пользоваться, это отдельная большая работа. Но так или иначе защититься от этого можно, только если уйти жить в лес, ну или переехать в другую страну. Но там будет другое государство».
В современных телефонах такое практически невозможно. Причем защита от такого постоянного доступа встроена в сами операционные системы, будь то iOS или Android. В настройках телефона пользователь сам может решать, когда у конкретного приложения есть доступ к микрофону или камере.
«Можно не давать Max никаких доступов, можно не давать доступ к геолокации, можно не давать доступ к микрофону и к камере и пользоваться мессенджером только для переписки. Можно на время разговора давать доступ к микрофону, а потом его отнимать. Это всё делается в настройках Android или Apple, а не в настройках приложения Max», — говорит технический эксперт, с которым пообщалась «Новая-Европа».
При этом таких настроек нет в ранних версиях Android, они менее безопасны с точки зрения доступа к личным данным пользователя.
Телефон на операционной системе, начиная с одиннадцатой версии, позволяет гибко управлять настройками приватности (номер вашей версии Android можно посмотреть в системных настройках).
Apple не позволит мессенджеру Max или любому другому приложению на устройстве с iOS получить доступ к такой информации.
Такая проблема существовала у старых Android, но в новых устройствах, выпущенных после 2020 года, эта возможность закрыта.
Скорее всего, разработчики просто запросили максимум всего, что можно. Как считают опрошенные «Новой-Европа» специалисты, это стандартное поведение любого программиста: запросим данные, а потом разберемся.
«Может ли приложение Max использоваться для того, чтобы определить всех людей, у которых установлена “Медуза”, чтобы потом организовать еще одно массовое уголовное дело, как с пожертвованиями ФБК? Ну, наверное, в каком-то фантастическом сценарии такое можно представить. Но кажется, что у государства есть варианты попроще, чем собирать эти данные через приложение Max».
Короткий ответ на этот вопрос дать нельзя.
«Когда говорят про IT-безопасность, нужно мыслить сценариями: расскажите мне сценарий, в котором это приведет к проблеме. И у меня пока такого сценария нет», — считает эксперт.
Есть ряд действий, которые нужно совершить, чтобы себя обезопасить: прежде всего, обновить телефон. Опасными могут быть ранние версии Android. Все операционные системы старше 11 версии предоставляют достаточно надежную защиту.
«Я бы не давал приложению доступ к геолокации. Даже если конкретного сценария опасности тут нет, это просто базовая гигиена: не надо давать Левиафану лишние данные. Да, доступ к геоданным есть у других приложений — у того же “Яндекса”, который тоже находится под полным контролем российского государства. Но объединение разрозненных данных о тебе — сложная работа, поэтому не надо ее облегчать и предоставлять Maxу доступ ко всему».
Помимо этого, переписку в Max нужно по умолчанию считать доступной публично. То есть не стоит обсуждать там ничего, что может навредить, если станет известно властям.
«Я вообще не вел бы в нём никакую переписку, которую я не хотел бы делать публичной. Как, в принципе, в любом мессенджере, который не делает end-to-end шифрования. Поэтому пользуйтесь WhatsApp, пользуйтесь “Сигналом”», — призывает айти-специалист.
Мессенджер Max может видеть IP-адрес, через который пользователь выходит в сеть. Если в России будет прямо запрещено пользоваться VPN-сервисами, лучше выключать прокси, когда пользуешься мессенджером. Но это в равной степени будет относиться ко всем государственным ресурсам: банкам, сайту «Госуслуги».
Если профиль пользователя действительно будет совмещен с госуслугами, это, вероятно, осложнит для мошенников возможность представляться кем-то другим.
«Любой IT-продукт — это всегда баланс между удобством и безопасностью. Для коммерческих программ главное всегда — это удобство, и безопасность — это последнее, о чём они думают. Мессенджер Max — не рыночный продукт, им не надо думать про рост, государство заставляет пользователей туда приходить. То есть у них есть шанс сделать в мессенджере нормальную систему безопасности. Но будут ли они этим заниматься?»
Тем не менее, государственные органы в России нередко становятся источником утечки данных, а госслужащие продают доступ к данным россиян на черном рынке. Такими утечками как раз и пользуются мошенники для обмана граждан. Чем больше данных будет собирать Max, тем более интересной целью система станет для хакеров.
{{subtitle}}
{{/subtitle}}