<p>Крупнейший интернет-провайдер Cloudflare 30 апреля 2026 года присвоил российскому государственному мессенджеру MAX метку «шпионское программное обеспечение». Под эту классификацию попали домены max.ru и web.max.ru — Cloudflare выявил у них пять проблем с сертификатами и четыре нарушения безопасности. Несмотря на скандальную метку, у домена по-прежнему сохраняется TLS-сертификат, а само приложение без каких-либо ограничений доступно для скачивания в App Store и Google Play. Разработчики назвали классификацию ошибкой.</p><p>MAX — российский национальный мессенджер, разработанный холдингом VK при поддержке государства. Запущен в марте 2025 года в бета-версии, с 1 сентября 2025 года обязателен к предустановке на все новые смартфоны и планшеты, продаваемые в России. Приложение включено в реестр российского ПО, интегрировано с порталом Госуслуг — через него можно получать коды входа, использовать электронную подпись и цифровой ID. Позиционируется как многофункциональный сервис для общения и доступа к государственным услугам. Доступен на Android, iOS, Windows, macOS и в веб-версии.</p><p>Претензии к безопасности MAX появились ещё в марте 2026 года — задолго до метки Cloudflare. Независимые исследователи, проанализировав APK-файл приложения методом реверс-инжиниринга и перехвата сетевого трафика, обнаружили скрытый модуль удалённой проверки. По их данным, приложение определяет наличие активного VPN-подключения на устройстве, собирает IP-адрес пользователя, данные о сетевом операторе и типе соединения, а также пингует заблокированные в России домены Telegram и WhatsApp — предположительно для проверки их доступности. Ключевой вывод исследователей: модуль управляется дистанционно с серверов разработчика и может включаться и отключаться без ведома пользователя.</p><p>Более широкий анализ, опубликованный на GitHub и Habr, выявил дополнительные возможности приложения: отслеживание процессов на устройстве, сбор геолокации, получение полного списка установленных программ, а также потенциальную возможность записи звука, видео и вводимого текста. Отдельно исследователи обратили внимание на политику конфиденциальности MAX: в ней прямо прописана передача данных по запросу в ФСБ, МВД, ФНС и Банк России. Это стандартное требование российского законодательства для любого отечественного сервиса — однако в сочетании с выявленными техническими возможностями приложения оно приобретает иное звучание.</p><p>Разработчики MAX отвергли все обвинения. По их версии, сбор IP-адресов необходим исключительно для обеспечения голосовых звонков через технологию WebRTC — она требует знания внешнего IP для установки прямого соединения между устройствами. Запросы к серверам Google и Apple объяснены проверкой доставки push-уведомлений в условиях сетевых ограничений. Метку Cloudflare представители MAX назвали «неправильной трактовкой запросов к веб-аналитике сайта» и заверили, что приложение регулярно проходит аудиты безопасности в рамках программы Bug Bounty. Независимые исследователи эти объяснения не приняли, указав на несоответствие между заявленными техническими целями и реальным поведением кода.</p><p>Прецедент с аналогичным исходом уже был. Неофициальный клиент Telegram под названием Telega ранее получил от Cloudflare ту же метку — шпионское ПО. Последствия оказались куда серьёзнее: TLS-сертификат был отозван, приложение удалено из App Store. MAX пока избежал этой судьбы — сертификат сохранён, приложение доступно в обоих магазинах. Однако репутационный ущерб уже нанесён: классификация от Cloudflare создаёт прецедент для зарубежных партнёров и может повлечь дальнейшие ограничения функциональности — вплоть до блокировки домена провайдерами, использующими базы данных Cloudflare для фильтрации трафика.</p><p>Ситуация с MAX разворачивается на фоне общей дискуссии о цифровом суверенитете и слежке в России. Государство одновременно ограничивает VPN, обязывает граждан пользоваться отечественными приложениями и предустанавливает их на устройства — а независимые исследователи фиксируют в этих приложениях функциональность, которую сложно объяснить исключительно техническими нуждами. Вопрос о том, является ли MAX инструментом слежки или просто плохо написанным приложением с избыточными разрешениями, официального ответа пока не получил.</p>
|
