Мессенджер MAX следит за пользователями VPN
UPD: Также МАХ позволяет просматривать картинки, отправленные в личной переписке, без ввода логина и пароля, пишет «Борус». Каждая фотография, отправленная собеседнику в личной переписке, получает уникальную, легко открываемую ссылку и остаётся на сервере МАХа, даже если это фото удалено из диалога для всех собеседников.
Если кинуть любую картинку в любом диалоге, потом открыть MAX в веб-версии (на компьютере) и скопировать ссылку на картинку в формате https://i.oneme.ru через отладку сайта или сочетанием клавиш ctrl+shift+C, то после по этой ссылке картинка будет доступна кому угодно без ввода логина и пароля, даже после удаления изображения из диалога.
Таким образом разработчики МАХа получают доступ к огромному массиву данных. Кроме того, ссылку на фото могут получить и мошенники. В распоряжении посторонних могут оказаться интимные фотографии, сканы документов и другая личная информация.
------------------------------
При каждом запуске приложение MAX проверяет доступность Telegram, Signal, WhatsApp и других заблокированных сервисов, фиксирует реальный IP пользователя и отправляет данные на сервер, следует из исследования, опубликованного вчера на IT-портале «Хабр».
Анализ был проведен после того, как в сети начали появляться сообщения о странных обращениях мессенджера MAX к Telegram и WhatsApp. Модуль для отслеживания нельзя отключить, он управляется удаленно, что позволяет настраивать его на конкретных людей и использовать Max как шпионский инструмент.
«Это не заброшенный модуль, он развивается от версии к версии и есть признаки того, что планируется приделать к нему полноценный модуль выполнения команд с сервера, чтобы превратить его в карманный Ревизор для Роскомнадзора», – пишет автор статьи.
В списке проверяемых доменов также поддомены для звонков Одноклассников и Google, основные домены Госуслуг и CDN Google.
Пост с разбором подозрительного трафика был опубликован 5 марта. На этот разбор уже успела отреагировать пресс-служба мессенджера.
В MAX заявили, что «используемые технические решения направлены на обеспечение высокого качества работы сервисов – в первую очередь звонков и уведомлений. К персональным данным или пользованию другими сервисами, включая VPN, они не имеют никакого отношения».
Сегодня автор статьи отметил, что в новом обновлении (вышло после публикации) в мессенджере отключили отправку запросов к WhatsApp и Telegram. Тем не менее из кода обращения к WhatsApp и Telegram не удалены, и модуль в целом остается активен. Список проверяемых доменов и раньше менялся от версии к версии, а проверка Telegram и WhatsApp то включалась, то выключалась (но эти хосты всегда содержатся в коде).
Власти принуждают россиян к установке национального мессенджера с июля 2025 года. К регистрации принуждают бюджетников, студентов, родителей школьников. С начала декабря установка МАХа стала обязательной при входе в приложение «Госуслуг» или в мобильной версии браузера. В конце декабря Путин подписал закон, обязывающий управляющие компании создавать в национальном мессенджере MAX общедомовые чаты и через эти чаты общаться с собственниками и арендаторами жилья
Вчера стало известно, что в Сыктывкарском государственном университете имени Питирима Сорокина преподаватели потребовали от студентов установить MAX, угрожая тем, кто откажется, вызовами в «службу безопасности» и проблемами с получением диплома.
Фото: Xpert.Digital