- jadx (декомпилятор) -- https://github.com/skylot/jadx

- apktool (разборка APK) -- https://github.com/iBotPeaches/Apktool

- mitmproxy (перехват трафика) -- https://mitmproxy.org/

- Frida (динамический анализ) -- https://frida.re/

Провёл вечер с мессенджером.

1. MAX -- это TamTam. Буквально.

Первое, что бросается в глаза при декомпиляции: в коде повсюду пакеты ru.ok.tamtam. База данных называется OneMeRoomDatabase, артефакт сборки -- tamtam-app_release. В пользовательских настройках хранится okToken -- токен Одноклассников.

MAX -- это не «новый безопасный мессенджер». Это ребрендинг TamTam, мессенджера из экосистемы Одноклассников/Mail.ru.

Вся инфраструктура -- серверы .oneme.ru, CDN mycdn.me и okcdn.ru, аналитика vk-analytics.ru -- принадлежит VK Group. Это не хорошо и не плохо само по себе, но важно понимать, с кем вы делитесь данными.

В прочем, это тоже не новости.

2. Сквозного шифрования нет. Вообще.

Главное: MAX не реализует сквозное шифрование (E2E). Это не баг -- это архитектура.

В декомпилированном коде нет ни Signal Protocol, ни Double Ratchet, ни какого-либо другого E2E-протокола. Нет генерации клиентских ключей, нет обмена ключами между собеседниками. Ничего.

Есть транспортное шифрование -- TLS с поддержкой ГОСТ через CryptoPro. Данные защищены в пути от вашего телефона до сервера. Но на самом сервере все сообщения лежат в открытом виде.

Для понимания: так же работает обычный Telegram вне секретных чатов. Разница в том, что Telegram хотя бы предлагает «секретные чаты» с E2E. MAX -- нет.

Почему это важно: VK Group технически может читать любое сообщение любого пользователя. А по закону Яровой (ФЗ-374) обязана хранить содержимое сообщений 6 месяцев и предоставлять по запросу.

Закон Яровой -- https://ru.wikipedia.org/wiki/Закон_Яровой

3. Сообщения на телефоне -- в открытом виде

А вот это уже проблема не государственного масштаба, а личного.

Все ваши сообщения хранятся на устройстве в обычной SQLite-базе cache.db, таблица messages, колонка text -- без какого-либо шифрования. Plaintext. Как есть. Удобно.

Для сравнения: Signal использует SQLCipher (https://www.zetetic.net/sqlcipher/) для шифрования локальной базы. Даже если кто-то получит доступ к файлам приложения -- без ключа шифрования данные бесполезны. В MAX такой защиты нет.

Там же, в SharedPreferences (auth.prefs), лежит токен авторизации -- тоже plaintext. Кто получит этот файл -- получит полный доступ к аккаунту: чтение переписки, отправка сообщений от вашего имени, доступ к контактам.

Кому это угрожает: не «хакерам из кино», а вполне бытовым сценариям:

- Ревнивый партнёр с доступом к разблокированному телефону.

- Вредоносное приложение, получившее root-привилегии через уязвимости ядра Android (такие публикуются каждый месяц -- https://source.android.com/docs/security/bulletin).

- «Ремонтник» телефона, который видит всё содержимое.

- Утерянный или украденный телефон с включённой USB-отладкой.

4. Что MAX знает о вас и отправляет «домой»

При запуске приложение подключается к 32 различным серверам за 2 минуты. Для мессенджера это, мягко говоря, много -- Signal обходится двумя-тремя.

Вот что происходит:

Определение вашего IP через 4 сервиса одновременно: ip.mail.ru, ifconfig.me, checkip.amazonaws.com, ipv4-internet.yandex.net. Зачем мессенджеру знать ваш IP через четыре разных провайдера? Даже один -- уже избыточно. Или это неуверенность? Или мультичек на VPN?

MyTracker (VK Analytics) -- полноценная система аналитики, отправляющая данные на tracker-api.vk-analytics.ru. Из декомпилированного кода класса MyTrackerParams видно, что SDK умеет собирать: номера телефонов, email-адреса, VK/OK/ICQ ID, пол, возраст, произвольные параметры. Это публичная документация MyTracker, не секрет -- https://tracker.my.com/docs/sdk/android/methods/configuratio...

Ежедневная синхронизация контактной книги. Класс DailyAnalyticsWorker запускается каждые 24 часа через WorkManager. Ваши контакты (имена + номера телефонов) регулярно отправляются на серверы VK Group. Даже контакты людей, которые не пользуются MAX и не давали на это согласия.

Crash-репорты отправляются на sdk-api.apptracer.ru с детальной информацией об устройстве и стек-трейсами, которые могут содержать фрагменты пользовательских данных.

5. Чем это опасно на практике (не для параноиков)

Забудьте про ФСБ и «большого брата» -- это, возможно, не ваша модель угроз. Вот реальные сценарии.

Мошенники и социальная инженерия. Утечки баз данных из крупных компаний -- регулярная реальность (https://haveibeenpwned.com/). Если база MAX утекает (а серверы видят всё), мошенники получают не просто номера телефонов, а содержимое переписок. Кажется... мы уже проходили через подобные сливы.

«Привет, ты вчера писал Маше про перевод 50 тысяч -- вот реквизиты, перешли сюда» -- такая атака работает в разы лучше обычного спама.

Вредоносные приложения. Android-малварь, получающая root через публичные эксплойты (CVE-2024-53104 -- свежий пример из ядра Linux/Android, https://nvd.nist.gov/vuln/detail/CVE-2024-53104), мгновенно получает доступ ко всей переписке MAX. В Signal ей пришлось бы ещё ломать SQLCipher. В MAX -- просто SELECT FROM messages.

Захват аккаунта. Один файл auth.prefs = полный контроль. Не нужен пароль, не нужна СМС-верификация. Токен не привязан к устройству -- работает откуда угодно.

Об этом классе уязвимостей подробно написано в OWASP Mobile Security Testing Guide, раздел «Testing Local Storage for Sensitive Data» -- https://mas.owasp.org/MASTG/tests/android/MASVS-STORAGE/MAST...

Перехват в публичных Wi-Fi. В конфигурации приложения (network_security_config.xml) явно разрешён HTTP-трафик (без шифрования) к доменам .voskhod.ru и .gov.ru.

Это значит, что в кафе или аэропорту часть трафика MAX может идти открытым текстом. Проблема Cleartext Traffic документирована Google -- https://developer.android.com/privacy-and-security/security-...

6. Что известно публично и без моего скромного исследования?

Это не «открытие Америки». Всё перечисленное -- известные классы проблем.

- Отсутствие E2E. MAX открыто не заявляет о сквозном шифровании (https://help.max.ru). Они и не обязаны. Но пользователи часто путают «защищённое соединение» (TLS) с «защищённой перепиской» (E2E) -- это принципиально разные вещи.

- Plaintext-хранилище. Описано в OWASP MSTG как M9 -- Insecure Data Storage (https://mas.owasp.org/MASTG/). Одна из самых распространённых уязвимостей мобильных приложений.

- Избыточная телеметрия. MyTracker SDK (https://tracker.my.com/docs/) -- публичный продукт VK Group. Его возможности задокументированы: сбор телефонов, email, VK/OK ID. Вопрос не в том, что SDK может это делать, а в том, что конкретно передаёт MAX.

- Синхронизация контактов. Стандартная практика мессенджеров, но обычно с хешированием номеров, как в Signal (https://signal.org/blog/private-contact-discovery/). Проверить, хеширует ли MAX номера перед отправкой, не удалось из-за certificate pinning -- но в коде классы хеширования при синхронизации не обнаружены.

7. Что ещё я нашёл, но не расскажу в деталях

В ходе аудита обнаружены дополнительные особенности, которые могут расширить поверхность атаки. Мы намеренно не описываем конкретные механизмы эксплуатации, но обозначим направления:

- Существуют способы получить полный доступ к аккаунту, имея лишь кратковременный физический доступ к разблокированному устройству. Время -- менее минуты. Серьёзно.

- Отсутствие определённых защитных механизмов позволяет вредоносному ПО с повышенными привилегиями скрытно извлекать данные без ведома пользователя.

- Некоторые данные авторизации открывают доступ не только к MAX, но и к другим сервисам экосистемы VK Group.

- Геолокация пользователя может управляться удалённо через серверную конфигурацию аналитического SDK -- без уведомления.

Если вы разработчик MAX и читаете это -- вы знаете, о чём речь. Я 100% уверен. Иначе, извините, вы слепые и... ладно, я буду мягок.

Базовые рекомендации: SQLCipher для локальной БД, Android Keystore для токенов, опциональный E2E хотя бы для «секретных чатов».

8. Так что, не пользоваться MAX?

Нет. Пользуйтесь. Для бытового общения -- «привет, как дела, во сколько встречаемся» -- MAX работает нормально. Стикеры красивые, звонки работают, интерфейс удобный. Госуслуги только, крайне нерекомедую, привязывать.

Но не питайте иллюзий о безопасности. MAX -- это далеко не копия Telegram с секретными чатами. Это мессенджер, в котором оператор (VK Group) видит всё, данные на устройстве лежат открыто, а аналитика собирает больше, чем вы думаете.

Простые правила:

- Не давайте MAX доступ к контактам и геолокации, если не хотите делиться ими с VK.

- Не публикуйте invite-ссылки MAX -- в них зашит ваш трекинг-токен.

- Выключите USB-отладку на телефоне. Ну, если у вас ROOT включён -- земля пухом.

- Периодически проверяйте список активных сессий в настройках аккаунта.

Исследование проведено в образовательных целях с использованием стандартных инструментов аудита безопасности (jadx, apktool, mitmproxy, Frida, Wireshark). Все данные получены из публично доступного APK-файла и открытых логов на тестовом устройстве. Ни один сервер не был атакован/вскрыт/сканирован.