Анализ установочного файла госмессенджера «Макс» выявил в коде ряд функций, которые позволяют собирать избыточные сведения об устройствах и обходить стандартные механизмы безопасности Android.
Основные находки
В коде приложения обнаружено фоновое отправление на серверы полного списка всех установленных на смартфоне приложений. Отдельная проверка фиксирует наличие и активность VPN‑сервисов, при этом в приложении интегрирован скрытый SDK деанонимизации, способный определять реальные IP‑адреса пользователей в обход работающего VPN. Кроме того, мессенджер непрерывно отслеживает изменения в списке контактов, собирая данные даже о людях, не зарегистрированных в сервисе.
В коде также найдены инструменты для тайной записи звука с микрофона с последующей отправкой аудиоаналитики на серверы, техника удалённого удаления сообщений из локальной базы через скрытые push‑запросы, возможность загружать и устанавливать обновления в обход официального магазина приложений и механизмы управления NFC‑чипом через встроенные мини‑приложения для передачи команд терминалам.
Пользователям рекомендуется внимательно относиться к разрешениям приложений и при необходимости использовать проверенные инструменты защиты и контроля трафика. Официальных комментариев разработчиков и представителей власти на момент публикации нет.
