В госмессенджере «Макс» нашли скрытый сбор данных и обход VPN

Исследователь, изучивший APK‑файл государственного мессенджера «Макс», выявил в коде функции, позволяющие приложению собирать избыточные данные о пользователях и выполнять действия в обход стандартных средств защиты Android.

Ключевые находки

• Фоновая отправка полного списка установленных на смартфоне приложений.
• Проверка наличия и активности VPN‑сервисов и наличие скрытого SDK для деанонимизации, способного выявлять реальные IP‑адреса в обход работающего VPN.
• Постоянный мониторинг изменений в списке контактов, включая информацию о людях, не зарегистрированных в мессенджере.
• Инструменты для скрытой записи звука с микрофона и отправки аудиоаналитики на серверы.
• Возможность удалять сообщения из локальной базы телефона через скрытые push‑запросы.
• Техническая способность загружать и устанавливать обновления вне Google Play и управлять NFC через внутренние мини‑приложения, передающие команды на терминалы.

Как это работает

В коде приложения обнаружены модули, которые в фоновом режиме собирают и отправляют данные на удалённые серверы. Некоторые из этих модулей реализованы так, что обходят стандартные механизмы ограничения прав и защиту через VPN, что повышает риск утечки приватной информации.

Риски для пользователей

Такая функциональность может привести к раскрытию приватных сведений о пользователях, отслеживанию контактов и деанонимации. Скрытая запись звука и удалённое управление локальными данными повышают угрозы для безопасности личной информации и устройств.

Эксперт рекомендует пользователям внимательно относиться к разрешениям приложений и следить за обновлениями безопасности. По факту таких находок целесообразно запросить официальные разъяснения от разработчиков и провести независимый аудит кода.