RKS Global: Тестирование MAX на Android и iPhone: приложение не ведёт скрытой слежки, но риски сохраняются

Тестирование слежки в MAX на Android и iPhone: что показали проверки

Мессенджер МАХ от VK за короткое время стал массовым: к августу 2025 года число его пользователей превысило 18 миллионов. Приложение активно продвигается государством как национальный мессенджер, а с 1 сентября оно должно быть предустановлено на всех новых смартфонах, продаваемых в России. На фоне блокировок и сбоев в работе зарубежных сервисов именно MAX становится главным инструментом для общения, звонков и работы.

Однако у экспертов с самого запуска были опасения: отсутствие сквозного шифрования, хранение данных на российских серверах и выполнение требований «закона Яровой» делают приложение потенциально удобным инструментом для слежки. В сети активно обсуждались версии о скрытой прослушке, доступе к камере и сборе данных без ведома пользователей.

Что проверяли

Чтобы подтвердить или опровергнуть эти опасения, специалисты RKS Global, проекта по защите интернет-свобод, провели тестирование работы MAX на двух устройствах — Google Pixel 7a и iPhone 13. Телефоны были сброшены до заводских настроек, обновлены и на них «с нуля» установили приложение через Google Play и App Store. Проверка длилась двое суток и включала два сценария:

• работа приложения с полным набором разрешений (камера, микрофон, контакты, файлы, геолокация);
• работа после полного отзыва всех разрешений.

Мониторинг активности велся с помощью системных инструментов iOS и Android, логов, а также анализа сетевого трафика через PiRouge.

Сетевая активность приложения, источник RKS Global

Результаты проверки

Главный вывод — в течение двух суток приложение MAX не проявляло скрытой активности. Эксперты не обнаружили:

• незапрошенного доступа к камере или микрофону;
• неразрешённых обращений к контактам, фото и видео;
• попыток самостоятельно вернуть отозванные разрешения.

На iPhone и Android приложение запрашивало доступ только тогда, когда пользователь сам нажимал на соответствующую кнопку — например, «Подключить контакты» или «Включите микрофон».

На Android была зафиксирована аномалия:

В конфигурации, где приложение было открыто, было замечено, что оно отправляет пакеты размером 2,48 Кб на сервер 217.20.152.209 — и одновременно иногда отрабатывает задача на перерисовку интерфейса. 

В командах отрисовки интерфейса не замечено обращение к пользовательским данным, но трафик не был расшифрован из-за особенностей стенда: нет настроенного механизма расшифровывания трафика в связи со срочностью исследования.

RKS Global

RKS Global отметили, что в дальнейшем следует глубже проанализировать сетевой трафик — расшифровать пакеты, изучить взаимодействие с разными хостами и доменами, отслеживать возможные аномалии при смене геолокации и номера телефона и детально исследовать поведение приложения.

Выводы RKS Global

По данным RKS Global, проведённое тестирование не выявило признаков скрытой слежки в MAX «по умолчанию» и не подтвердило распространённые опасения о «тотальном контроле». Вместе с тем эксперты отмечают, что приложение технически способно собирать пользовательские данные, а его поведение может различаться в зависимости от локации, аккаунта или обновлений.

Также специалисты обращают внимание на отсутствие в MAX сквозного шифрования, что, по их словам, означает хранение переписки и документов на серверах с возможностью доступа к ним государственных структур по закону.