Мессенджер MAX - баги и риски бета-версии
Потратили время и изучили MAX на безопасность и “забагованность”. Спасибо ребятам из моего чата в MAX.
Делюсь результатами ⬇
1. Подозрительная активность:
🔹Возможность захвата экрана (FOREGROUND_SERVICE_MEDIA_PROJECTION) без запроса к пользователю вызывает подозрение в нарушении приватности
🔹Приложение имеет доступ к управлению сетевыми настройками, что нехарактерно для обычного мессенджера и может быть использовано для слежки или обхода пользовательского контроля
🔹Max проверяет устройство на root-права, собирает данные о других приложениях и процессах, а также удерживает устройство в активном состоянии (wake lock), что не характерно для мессенджеров
🔹Количество трекеров превышает 100, что значительно выше среднего и может указывать на агрессивную политику сбора данных
2. Архитектурная "лоскутность":
🔹MAX построен на основе мессенджера "ТамТам" (разработка Mail.ru Group), что делает его сборной солянкой с унаследованными старыми багами
🔹Разработчики не полностью скрыли чувствительные файлы, аналогичные .env, что открывает потенциальную дыру в защите ключей и токенов
3. Уязвимости в мессенджере MAX:
🔹Обнаружены дыры в безопасности, включая доступ к системным функциям устройства через jar-файлы, что не типично для мессенджеров
🔹Исходный APK легко извлекается и модифицируется, а многие файлы разработчика лежат "в открытом доступе"
Итог ⬇
Создается впечатление, что команду просто загнали в жесткие сроки перед принятием закона - на полноценную проработку ядра времени не хватило. Главный вопрос теперь: что будет дальше?
Если пойдут по пути формального закрытия задач "для галочки", нас может ждать катастрофический сценарий. После интеграции с Госуслугами риски утечек персональных данных возрастают на порядок. Такой скандал не просто похоронит идею "русского WeChat", но и надолго дискредитирует саму концепцию супераппа.
Особенно тревожно выглядит ситуация на фоне двух факторов:
- Запланированный масштаб финансовых сервисов
- Текущая геополитическая обстановка
Это делает мессенджер идеальной мишенью для хакерских атак. Опыт WeChat показывает, что основное время их разработчиков уходит именно на противодействие мошенничеству: фейковые госаккаунты, взломы, вредоносные мини-приложения, фишинг - арсенал злоумышленников огромен.
А теперь масштабируем риски: в одном клиенте - вся приватная жизнь пользователя
- Личная переписка
- Финансовые операции
- Паспортные данные
- Социальные связи
Если сейчас телефонные мошенники обирают людей поштучно, то утечка такой базы даст им доступ к миллионам. Последствия будут на порядок серьезнее.
MAX сейчас находится под пристальным вниманием. Каждая ошибка в безопасности будет мгновенно раздута. Поэтому разработчикам критически важно:
- Сделать безопасность приоритетом №1
- Перенять лучшие практики WeChat по защите
- Не гнаться за "галочками" в ущерб надежности
Только так можно избежать катастрофы и реализовать потенциал супераппа. Иначе - провал и долгие годы восстановления доверия.
Сравнение трех мессенджеров -
Появление МАХ вызвало нереальный ажиотаж и желание найти в нем уязвимости, доказать - это супер вредоносная программа. Все это привело к большому количеству статей, в которых МАХ сравнивали с вирусом и находили признаки тотальной слежки за устройством. Но любая аналитика должна быть в сравнении.
Мой канал в Телеграм - Малкин про TMA и MAX