В госмессенджере Max нашли функции скрытого сбора данных и слежки за пользователями
В приложении государственного мессенджера Max обнаружили широкий набор функций, связанных со сбором пользовательских данных и потенциальной слежкой. На это обратил внимание программист под ником zarazaex, который проанализировал APK-файл приложения и опубликовал результаты исследования на Habr.
По его данным, Max получает доступ к списку контактов и установленных приложений, способен записывать звук, делать скриншоты переписок, удалять сообщения без уведомлений и создавать фиктивные чаты. Также исследователь утверждает, что приложение умеет определять настоящий IP-адрес даже при использовании VPN и использует уникальный идентификатор устройства, который не исчезает после удаления программы или сброса телефона.
В исследовании говорится, что мессенджер может отправлять скрытые команды через push-уведомления, запрашивать геолокацию, а также записывать разговоры и передавать аудио на сервер без end-to-end-шифрования. Кроме того, в коде нашли инструменты распознавания речи, поиска ключевых слов и идентификации пользователя по голосу.
Отдельно автор обратил внимание на возможность отключения TLS-валидации — механизма проверки подлинности серверов. По его словам, в сочетании с другими функциями это позволяет получать практически полный доступ к данным устройства.
Ранее похожие выводы сделали исследователи на GitHub, а Cloudflare временно помечал Max как spyware — «шпионское ПО», хотя позднее эта отметка исчезла.
Мессенджер Max разработан холдингом VK по поручению российских властей. В пользовательском соглашении сервиса указано, что данные могут передаваться по запросу ФСБ, МВД, ФНС и Банка России.
➡️ Власти активно продвигают Max административными методами: приложение предписано предустанавливать на устройства, а школьные, домовые и чиновничьи чаты постепенно переводят в новый сервис. Одновременно в России были заблокированы WhatsApp и Telegram. Основатель Telegram Павел Дуров ранее заявлял, что власти пытаются перевести россиян в «контролируемое государством приложение для слежки и цензуры».
@news_sirena