Исследование насчёт шпионства Max за своими пользователями (4-5 марта 2026, Хабр)

Кто интересуется, видел разгоревшийся через Хабр скандал об уличении Маха в слежке за пользователями. Заявочка "единственного официального мессенджера" на продажность и вертухайство - более чем очевидная. Если раньше не было доказательств, что делает Мах в закрытом (проприетарном) своём коде, то теперь есть.

Из этого немедленно следуют правила безопасности для пользователей, которые вынуждены использовать Мах для работы с Госуслугами и по службе, например. И при этом "есть, что скрывать". Акцентирую внимание как раз на выводах из шпионства, чтобы пользователи знали неосвещавшуюся на АШ сторону Мах. (В июле 2025 освещалось на Хабре и цитировалось, но как догадки без доказательств и предположения о возможном, а сейчас есть доказательства, причём с наблюдениями на протяжении нескольких обновлений версий Мах.)

Пишу через 9 дней после публикации, после того как страсти улеглись и позиции сторон высказаны. Не буду повторять цитатами из 2 статей Хабра - каждый может посмотреть там (или есть много репостов с Хабра традиционно), а выскажу их выводы и следствия из них. Аналогичные обсуждены там в комментариях.

Сначала, о названии. С 1 марта действует закон РФ, что нельзя в публикациях продукты в РФ называть латинскими буквами или их транслитерацией. Поэтому, если видим где угодно после 1 марта 2026 "Мах", то это по-русски: Мах от слова "махать", но никак не "Макс". Аллюзии на слово "максимальный" в рекламе Маха становятся неактуальными и говорит лишь об неудавшемся западничестве ВК Груп на момент выбора имени.

Итак, суть проблемы. Ранее циркулировавшие слухи и догадки о ВОЗМОЖНОМ слежении за пользователями, сливании трафика и фактов о пользователях с компьютеров и смартфонов пользователей ПОДТВЕРДИЛИСЬ силами (1)https://habr.com/en/articles/1006394/ 4 мар 2026 энтузиастов (2)https://habr.com/en/articles/1006666/ 5 мар 2026  путём реверс-инжиниринга кода и расшифровки исходящего от пользователя трафика. Второй автор не прекращал отслеживание поведения Мах и дал комментарий:

"С сегодняшним обновлением 26.7.1 (RuStore) в мессенджере отключили отправку запросов к WhatsApp и Telegram. Вероятно, билд подготовили после вчерашней статьи. Но, тем не менее, из кода они не удалены, класс называется on7. Модуль целиком отключен не был..."

И вообще, в комментах там много интересных предложений типа

"Было бы интересно выполнить аналогичную проверку по другому гос. и около гос. (VK, Yandex) софту, например, из рустора. А также по "отечественным" ОС, типа Астры" (158 "плюсов").

В первой статье описано обнаружение на профильном NTC‑форуме необычного сетевого поведения российского мессенджера MAX (мобильный релиз с офиц. сайта). Обнаружено, что Мах (даёт маху - дарим новый рекламный слоган - прим.авт.) регулярно пингует или иным образом "дёргает" несколько внешних сервисов. В частности, api.ipify.org, checkip.amazonaws.com, ifconfig.me, и, та-дам-м-м, main.telegram.org и mmg.whatsapp.net. Далее, цитирую:

Само по себе обращение к сервисам определения IP не преступление — например, это может быть необходимо для корректной настройки P2P‑звонков через WebRTC. Однако у VK (создателей Max) уже давно есть собственные STUN-сервера, предназначенные именно для этой задачи, и следовательно нет необходимости использовать посторонние, особенно иностранные сервисы.

Кроме того, участников форума насторожили два момента: много проверок IP и ... разных источников. Обычно хватает одного сервиса. Когда несколько - похоже на попытку перепроверить результат и собрать «картину» с разных точек. И в списке видны обращения к доменам Telegram и WhatsApp.

И это уже выглядит как проверка сетевой среды (например, доступ к каким доменам режется провайдером) и доступны/заблокированы ли конкуренты. Например, домен mmg.whatsapp.net используется WhatsApp для загрузки медиа по прямым ссылкам. В настоящий момент Роскомнадзор блокирует этот домен, и его можно удобно использовать для мониторинга, грузится ли контент по определенному URL с этого домена или нет — учитывая, что зачастую блокировка к «запрещенным» доменам у РКН срабатывает не сразу, а только после получения ~16кб данных с «запрещенного сервера», либо вместо блокировки происходит «замедление».

...С учетом описанного, [отслеживание] может быть проверкой, выходит ли пользователь в интернет «напрямую» или через VPN/прокси.

Привожу выводы по безопасности от авторов, с которыми полностью согласен.

Не пользоваться MAX;

При необходимости пользоваться им, ставить его на отдельное «чистое» и изолированное устройство;

При использовании VPN/прокси, настраивать для split tunneling разделение маршрутов не по GeoIP, а по приложениям (особенно учитывая, что подобным может промышлять не только Max, а вообще любое отечественное приложение);

Использовать не один прокси‑сервер, а цепочку из двух; альтернативно — использовать на прокси‑сервере 2 IP‑адреса (один для входящих, другой для исходящих подключений), либо, при наличии только 1 IP на сервере, заворачивать исходящий трафик с прокси на Cloudflare WARP.

Чтобы не быть сосредоточенным на Мах, приведу и коммент, показывающий, что и другие сервисы в РФ балуются эксплуатацией незакрытых пока дыр безопасности, но это совершенно другая проблема, которая здесь не обсуждается:

Тот же Яндекс уже ловили с поличным на даже более плохих вещах: https://habr.com/ru/articles/915732/

Речь не о том, что вещи плохие или бывают хуже. Речь о факте отслеживания, пользователей, которые обходят блокировки "замедляемых", заблокированных или обещаемых с 1 апреля 2026 быть заблокированными ресурсах за рубежом.

Ответ, на вопрос, какими средствами это делают, дала вторая статья (номер интересный), буквально на следующий день от другого автора.

Замечу, что прошедшие 10 дней показали, что НЕ происходит новая кампания врагов РФ - нет последующего литья "обжигающей пгавды" от проплаченных аккаунтов. Прошли 2 статьи, знающие люди сделали однозначные выводы. Хайпа нет. Хотя на сейчас у статей +338 и +1036 рейтинг; 458 и 813 комментов там (обычный зашкаливающий уровень Хабра, который достигается при публикациях о новых уязвимостях раз в 1-2 года и не более). Выводы есть.

Вторая статья "Мессенджер MAX следит за пользователями VPN? Реверс инжиниринг говорит — да (добавлено обновление)" поисследовала далеко не всем арсеналом возможностей разные инсталляции Мах. Но и те, что автор привёл и описал, полностью вскрывают минимум эту проблему.

Был замечен нетрадиционно упакованный трафик от клиента на сервер Мах с интересным содержимым. Да, любопытный Мах формально делает допустимую вещь, но не говорит пользователям, что изнутри себя мониторит уже знакомые по 1-й статье 7 адресов чужих доменов. Слов типа malware и других в статьях политкорректно не звучит; ну, мало ли, какими аргументами отвертятся исследуемые; но есть "spyware" с оговоркой). Выводы - строго по увиденному. Цитирую из середины мысли автора, но примерно понятно:

...Параллельно опрашиваются хосты назначения, используя:
ping (ICMP)
connect TCP:443 (проверка доступности по HTTPS). Таймаут такой же - 3000ms

При сворачивании/разворачивании приложения данные отправляются на api.oneme.ru сообщением HOST_REACHABILITY

Отдельно хочется отметить, что это не заброшенный модуль, он развивается от версии к версии и есть признаки того, что планируется приделать к нему полноценный модуль выполнения команд с сервера чтобы превратить его в карманный Ревизор для Роскомнадзора.

Также, от версии к версии список проверяемых хостов меняется. К примеру проверка Telegram и WhatsApp то включается, то выключается (но не удаляется, apk всегда содержит эти хосты в своем коде). Я считаю что сейчас идет тестирование и обкатка, после чего ничего не стоит переключить этот модуль в полностью удаленно управляемый режим.

Ну, кажется все и так очевидно, но давайте поговорим о нюансах:

Это точно получилось не случайно. Они любят рассказывать о opensource модулях аналитики, но это не тот случай. ...

Эти данные отправляются не на отдельный аналитический домен, а смешиваются с основным трафиком мессенджера так, чтобы заблокировать эту аналитику не заблокировав мессенджер было невозможно. Отдельным бонусом идет то, что их протокол не декодируется автоматическими инструментами.

Методика проверки (ping + tcp:443) это прямая проверка успешности блокировки ресурса на ТСПУ.

Очевидно, что выбор источников получения IP не случаен, это 50/50 российские и зарубежные сервисы. Зачем? Чтобы ловить умников, которые настроили маршрутизацию трафика и не заворачивают в туннель местный трафик.

Текущие функции удаленного управления и кажущаяся неизбежность их совершенствования превращает национальный мессенджер в государственный шпионский инструмент (spyware).

Этот подход очень хорош для отлавливания и блокировки личных (приватных) ВПН серверов, у которых обычно одинаковый входной и выходной ip.

Этот подход очень хорош для привязывания пользователей конкретных впн сервисов к конкретным людям (я не буду развивать тему что из этого следует).

Возможность включать эту функцию таргетно для отдельных людей или групп очень настораживает.

Отправка PLMN кода оператора будет являться неплохим маркером того, что пользователь скорее всего в РФ. 

Вероятно, они хотят превратить миллионы устройств в сканеры успешности своих блокировок и поиска тех, кто их обходит.

Рекомендации этого автора о защите:

Если не можете удалить [Max] по каким-либо обстоятельствам, то у вас буквально пара вариантов (кроме технически сложных)

Если у вас Android, можно установить приложение в отдельное, изолированное рабочее пространство. Обычно такое пространство не наследует VPN соединение основного профиля.

Samsung — защищённая папка Knox

Xiaomi / Redmi / POCO — Второе пространство

Huawei / Honor — PrivateSpace (Личное пространство)

Универсальный вариант, в том числе для Pixel / Motorola / Nothing: Shelter, Island, Insular

Если у вас IOS или совсем не хотите риска, то, вероятно, стоит купить для этого отдельный самый дешевый телефон. Самый дешевый android на момент написания статьи в DNS стоит около 5 тысяч рублей.

Заблокировать все перечисленные сервисы получения ip адресов. Но это ненадежно, в любой момент могут добавить новые.

Также, автор привёл ответ пресс службы мессенджера MAX на статью от 5 марта; и ещё 3 появившихся ссылки на аналогичные исследования, включая Айфон-клиент.
https://habr.com/ru/companies/femida_search/news/985510/comments/#commen...
(Ютуб!) https://www.youtube.com/watch?v=FvFKjtRwTWg
(для айфонов) https://appleinsider.ru/sudy-i-skandaly/pravda-li-chto-max-sledit-za-vpn...

Обобщая, приведу пересекающиеся источники выводов своими словами. Что из этого следует и как следует работать с Мах, не подвергая себя риску обнаружения через него наличия у клиента не рекомендуемых Роскомнадзором инструментов и не только. Включая собственные переосмысления.

1. 1. Поскольку Мах неявно позиционирует себя как официальный spyware, для безоглядного общения им предпочтительно не пользоваться, даже если вы каждому встречному готовы сказать "мне нечего скрывать!".
       Почему? Если вы цените своё время, вам не будут нужны "приключения на свою голову", поскольку процесс выходит за рамки официально декларируемых. Где гарантия того, что робот ошибётся, а люди, которые вас вызовут, не будут иметь права сообщать причину своих выводов. Или даже не вызовут, а просто заблокируют нечто чувствительное - счёт в банке, госуслуги, записи на приём, ответы на обращения, и т.п. . И будете вы долбиться в поисках правды, и никто официально вам не скажет причину сегрегации.
2. 2. Если придётся или будет интересно общаться через Мах (например, для голосового чата с товарищами по несчастью), следует позаботиться, чтобы окружение ОС не пересекалось с любыми другими рабочими или домашними ОС с обычным "безоглядным" пользованием ими. Самое простое - это установить на отдельный смартфон, но новые, имеющие Android 10+ - это 5+ тыс новые или 3+ тыс б/у. Но есть и другие выходы:
       Через браузерную версию Мах можно полноценно общаться и на любых других версиях Android. Но зарегистрироваться придётся, УЖЕ имея Мах на телефоне, поскольку есть пункт "Войти по номеру телефона или с помощью QR-кода с другого устройства.". Не исключено, что проблемы просьб "Войти по номеру телефона" будут и далее. (Такое давно и широко Ватсап практиковал, из-за чего им было практически неудобно пользоваться.)
       Алиса - тупая, не даёт ответа на вопрос "Как установить Мах для Android версий 8 и 9, не имея другого телефона с установленным Мах?". Гугл-ИИ - не тупой, сразу даёт вариант "через APK-файл (реально работает). И, кстати, в дальнейшем MAX может работать через Wi-Fi на устройстве без сим-карты. Она будет нужна только при регистрации. А на версии 7 пишут, что модифицированный APK Мах часто падает со всей ОС Android 7, т.к. сам подтягивает новые несовместимые либы.
3. 3. Если при этом хотите обойтись без лишнего телефона. Первый путь - использовать смартфоны с изолированным рабочим пространством (таких много, но все именитые и не дешёвые; и вопрос, как протестировать и убедиться, что утечек нет?). Для IOs нет вариантов.
4. 4. Если обоснованно уверены в своих возможностях правильно настроить прокси, в нём туннелировать маршруты по приложениям. Но и тут требуется следить, чтобы инсталлятор Маха инсталлировал только себя, а не второй "помощник" с другим именем.
5. 5. Как насчёт виртуальной машины? Она обычно выходит на общий Ethernet. Нужно иметь 2 карты на компьютере, развести потоки и на второй не ставить прокси.
6. 6. Разные ОС на 1 компе по очереди. Практика показывает, что очень "лениво" их переключать перезагрузкой. Но если раз в полгода нужно, то почему бы нет? Тогда на второй ОС не должно быть ничего "неосмотрительного", и это не всё. Доступ к разделам пока что можно не ограничивать. Но это, пока Мах не уличён в подглядывании в файлы.