Приватность под угрозой: разбор полетов мессенджера MAX и инструкция по безопасности
Слушай, а ты когда-нибудь чувствовал этот неприятный холодок по спине, когда телефон будто бы слушает твои разговоры? Ты только что вслух сказал, что хочешь купить новую удочку, а через пять минут лента соцсетей пестрит рекламой рыболовных снастей. Совпадение? Может быть. Но иногда совпадений становится слишком много, и доверие к цифровому миру начинает трещать по швам.
Мы привыкли думать, что мессенджер — это наше личное пространство. Что-то вроде цифровой гостиной, куда нет входа посторонним. Ты пишешь другу, скидываешь фото, обсуждаешь рабочие моменты. И вроде бы всё честно: компания предоставляет сервис, ты пользуешься. Но что, если внутри этого «сервиса» спрятано нечто большее, чем просто функция отправки сообщений? Что, если приложение смотрит не только на то, что ты пишешь, но и на то, как ты обходишь блокировки, каким оператором пользуешься и включен ли у тебя VPN?
Недавно в сети всплыла информация, которая заставила многих задуматься. Речь о российском мессенджере MAX. На первый взгляд — обычное приложение, висит на телефоне у миллионов. Но энтузиасты решили заглянуть под капот и обнаружили там вещи, которые не вяжутся с понятием «пользовательское соглашение». Это не просто сбор статистики для улучшения сервиса. Это полноценный шпионский модуль, который мониторит твою связь с внешним миром. И самое неприятное — он умеет прятаться так, что обычными методами его не вычислить.
Давай разберемся без паники, но с предельной честностью. Что именно нашли, зачем это нужно и, главное, что делать тебе прямо сейчас, чтобы не стать частью большой базы данных. Я не буду грузить тебя сложными терминами без необходимости, но и сказки рассказывать не стану. Дело серьезное.
Что скрыто за красивым интерфейсом
Когда мы устанавливаем приложение, мы обычно жмем «Принять» на все вопросы, даже не читая. Кто же будет вникать в юридические тонности текста, написанного мелким шрифтом? Но код программы — это истина в последней инстанции. Он не врет. И когда независимые исследователи взяли клиент MAX и начали его «потрошить», картина вырисовалась не самая приятная.
Проблема началась с того, что пользователи заметили странные обращения приложения к серверам Telegram и WhatsApp. Казалось бы, зачем мессенджеру MAX стучаться к конкурентам? Сначала появились версии про интеграцию, потом про случайные ошибки аналитики. Но когда дело дошло до реверс-инжиниринга, туман рассеялся. Внутри оказался модуль, который целенаправленно проверяет доступность заблокированных ресурсов и статус твоего VPN-подключения.
Самое интересное здесь не сам факт сбора данных. В конце концов, многие приложения собирают телеметрию. Проблема в том, как именно это сделано. Разработчики MAX постарались сделать этот модуль неблокируемым. Они смешали шпионский трафик с основным потоком сообщений. То есть, если ты попытаешься заблокировать эту слежку стандартными средствами, ты рискуешь нарушить работу самого мессенджера. Это как если бы почтальон приносил тебе письма, но по пути записывал в блокнот, во что ты одет и кто стоит у тебя за спиной, причем так, что нельзя выгнать почтальона, не оставшись без корреспонденции.
Трафик идет не через привычный HTTPS, который легко прочитать, а через кастомный TCP-поток. Данные упакованы в бинарную мешанину, используют сжатие и специфическую сериализацию. Для обычного пользователя это черный ящик. Ты видишь иконку, нажимаешь её, пишешь текст. А в фоне, тихо и незаметно, уходит пакет информации о том, что ты сейчас в сети через VPN, твой оператор связи — МТС, и ты пытаешься достучаться до серверов Telegram.
Как работает эта «кухня» изнутри
Давай немного приоткроем занавес технической магии, но без лишней сложности. Чтобы понять масштаб, нужно знать, что именно уходит с твоего телефона. Исследователи перехватили трафик и увидели конкретные поля данных. Это не абстрактные «метрики», это твои цифровые отпечатки.
Во-первых, статус VPN. Приложение не просто видит, что трафик идет через туннель. Оно использует нативный API Android, чтобы понять, включено ли VPN-приложение в системе. Флаг vpn: 1 улетает на сервер. Это маркер. Для кого-то это просто статистика, но в текущих реалиях это может стать признаком «неблагонадежности» пользователя.
Во-вторых, список хостов. Приложение пингует конкретные адреса. Среди них безобидные gosuslugi.ru и gstatic.com, но также main.telegram.org и mmg.whatsapp.net. Зачем? Чтобы проверить, работают ли они у тебя. Если ты используешь средства обхода блокировок, приложение это фиксирует. Методика проверки (ping + подключение к порту 443) позволяет понять, режет ли доступ провайдер или ТСПУ (технические средства противодействия угрозам).
В-третьих, твой оператор и IP. В пакете данных уходит PLMN-код оператора. Например, 25001 — это Россия, МТС. Запретить сбор этой информации сложно, в отличие от геолокации. Плюс, приложение асинхронно опрашивает кучу сервисов вроде ifconfig.me или api.ipify.org, чтобы узнать твой реальный IP. Причем список источников постоянно меняется, включая российские и зарубежные сервисы. Это нужно, чтобы поймать тех, кто настроил маршрутизацию хитро и не заворачивает весь трафик в туннель.
И вот тут начинается самое «вкусное». Этот модуль не статичен. Он управляется удаленно. При логине сервер может прислать конфигурацию: включить слежку для этого аккаунта или выключить. Это значит, что функция может быть активирована таргетно. Для всех — тишина, для конкретного пользователя — полный мониторинг. Список хостов тоже меняется от версии к версии. То Telegram проверяется, то исчезает из списка, но код остается в APK. Это похоже на тестирование инструмента перед большим запуском.
Кстати, о программистах.
Знаете, почему программисты путают Halloween и Christmas?
Потому что Oct 31 == Dec 25.
🤓Шутка для своих, но суть в том, что иногда за безобидными цифрами скрывается совсем не праздничное настроение. В случае с MAX за цифрами трафика скрывается желание превратить миллионы устройств в сканеры для проверки эффективности блокировок.
Личный опыт: когда доверие лопается
Я помню один случай, который сильно изменил мое отношение к установке софта. Пару лет назад я поставил одно популярное приложение для редактирования фото. Все было хорошо, пока я не заметил, что батарея садится странно быстро, даже когда телефон лежит в кармане. Полез в настройки расхода энергии — приложение постоянно обращалось к сети в фоне.
Тогда я не стал лезть в код, просто удалил. Но осадок остался. Позже я узнал, что это приложение продавало данные о местоположении пользователей рекламным сетям. Казалось бы, ну и что, реклама же бесплатная? Но потом я начал получать предложения от магазинов, рядом с которыми я просто проходил, не заходя внутрь. Это перестало быть смешным.
С историей про MAX у меня похожие чувства, только масштабнее. Когда я читал отчеты исследователей о том, как трафик маскируется под основные сообщения, я вспомнил тот случай с фото-редактором. Разница лишь в том, что здесь речь не о рекламе кроссовок, а о мониторинге средств обхода блокировок.
Я решил провести небольшой эксперимент на своем запасном Android-смартфоне. Установил MAX, настроил перехват трафика через эмулятор, как это делают специалисты. Не буду описывать все технические детали настройки сертификатов и WireGuard, скажу лишь о результате. Когда я увидел в логах запросы к серверам конкурентов, которые я даже не открывал в интерфейсе, у меня внутри все сжалось. Это не ошибка. Это функция.
Вывод, который я сделал для себя тогда и делаю сейчас: бесплатное или условно-бесплатное приложение, которое позиционирует себя как «национальное» или «безопасное», не обязательно является таковым. Код не врет. Если разработчики прячут функционал так глубоко, что его нельзя увидеть без дизассемблера, значит, они не хотят, чтобы вы об этом знали. А если не хотят, чтобы вы знали — значит, знают, что вам это не понравится.
Доверие в цифровую эпоху — это валюта, которую очень легко потратить и почти невозможно восстановить. Один такой инцидент заставляет перепроверять каждое приложение. И знаете что? Это утомляет. Но безопасность того стоит.
Почему это опасно именно сейчас
Можно сказать: «Ну и что, мне нечего скрывать». Это классическая позиция человека, который еще не сталкивался с последствиями утечек или неправильной трактовки данных. Проблема не в том, что ты пишешь в чате. Проблема в мета-данных.
Представь, что у тебя есть привычка пользоваться VPN для работы с зарубежными сервисами. Ты не нарушаешь никаких законов, просто тебе нужен доступ к инструментам. Но если приложение отправляет сигнал «User uses VPN» и «Telegram is reachable», это создает цифровой профиль. В связке с данными оператора связи (а они уходят в открытом виде через PLMN) это позволяет точно идентифицировать человека в сети.
Особенно тревожит возможность удаленного управления модулем. Сегодня он просто собирает статистику доступности хостов. Завтра ему могут прислать команду на сбор более детальной информации. Или использовать его для выявления конкретных пользователей приватных VPN-серверов. Если входной и выходной IP совпадают (что часто бывает в личных настройках), вычислить владельца становится делом техники.
К тому же, методика проверки через ping и TCP-порт 443 — это прямой способ оценить эффективность работы ТСПУ у конкретного провайдера в конкретном регионе. По сути, пользователи становятся добровольными тестировщиками системы цензуры. Вас превращают в инструмент мониторинга без вашего согласия.
И еще один момент. Данные отправляются не на отдельный аналитический домен, который можно заблокировать списком. Они смешаны с основным трафиком api.oneme.ru. Хочешь заблокировать слежку? Придется блокировать работу мессенджера. Это шантаж функционалом. Либо ты терпишь слежку, либо остаешься без связи через этот канал.
Что делать: инструкция по выживанию
Паника — плохой советчик. Удалить приложение сразу — это радикально, но не всегда возможно. У многих там контакты, рабочие чаты, привязанные сервисы. Поэтому давай посмотрим на варианты действий от простого к сложному.
Самый надежный способ — удаление. Если приложение не критично для жизни, просто избавьтесь от него. Переведите общение в другие мессенджеры, которые имеют репутацию более прозрачных (с открытым исходным кодом или проверенной репутацией). Но я понимаю, что в реалиях иногда выбора нет.
Если удалять нельзя, нужно изолировать. На Android есть функции, позволяющие создать отдельное рабочее пространство.
Samsung: Защищенная папка Knox.
Xiaomi / Redmi: Второе пространство.
Huawei / Honor: PrivateSpace.
Универсально: Приложения вроде Shelter, Island или Insular.
Суть в том, что в этом изолированном профиле приложение не будет иметь доступа к данным основного профиля, включая настройки VPN основного пространства. Часто VPN включается только в основном профиле, а «песочница» работает без него. Это разрывает цепочку сбора данных о том, что вы используете туннель.
Для владельцев iOS вариантов меньше. Там нет таких гибких настроек изоляции. Если вы не хотите риска, единственный выход — отдельное устройство. Самый дешевый Android-смартфон стоит около 5 тысяч рублей. Купить «звонилку» специально для подозрительных приложений — это цена вашего спокойствия.
Можно попробовать заблокировать домены через hosts или DNS-фильтры, но это ненадежно. Разработчики могут в любой момент добавить новые IP-адреса или сменить домен. Как мы видели в отчете, список источников IP меняется от версии к версии. Это гонка вооружений, которую пользователь скорее всего проиграет.
И последнее — информируйте окружающих. Даже если вам нечего скрывать, право на приватность должно соблюдаться. Расскажите друзьям, коллегам. Чем больше людей знает о проблеме, тем сложнее её игнорировать.
Заключение
Ситуация с мессенджером MAX — это яркий пример того, как быстро меняется ландшафт цифровой безопасности. То, что вчера казалось безопасным, сегодня может оказаться инструментом сбора данных. Важно не впадать в паранойю, но и не быть наивным.
Разработчики уже отреагировали на утечку информации. В обновлении версии 26.7.1 запросы к WhatsApp и Telegram были отключены. Но код никуда не делся. Класс on7 остался в теле приложения. Это значит, что функцию можно включить обратно в любой момент простым обновлением конфигурации на сервере. Осадочек, как говорится, остался.
Берегите свои данные. В конце концов, это единственное, что по-настоящему принадлежит вам в интернете. Не позволяйте превращать свой телефон в устройство слежения, даже если оно маскируется под удобный инструмент для общения.
А вы проверяли, какие запросы делают ваши любимые приложения? Или доверяете разработчикам на слово?
Как думаете, стоит ли жертвовать удобством ради полной приватности, или это уже перебор?