Про мессенджер MAX пишут, снимают и говорят уже не первую неделю. К этой достаточно неплохой и в некоторой степени перспективной разработке много вопросов и у простых пользователей, и у непростых и просто у любителей эпичных споров в комментариях. На момент написания этого материала мессенджер то обвиняли в слежке за пользователями, то рассказывали, как он хорошо "ловит" сигнал и как с него удобно делать видеозвонки. Как видите, мнения полярные. Мне захотелось проверить самые негативные отзывы о Max, ведь от программ с закрытым исходным кодом можно ожидать чего угодно и наличие в них функций по сбору информации о пользователе не только не исключено, но и становится привычным делом. Поэтому, чтобы понять, а настолько ли большую угрозу представляет мессенджер для приватности пользователя, проанализировал его подручными средствами. В качестве эталона решил сравнить его с телеграмом, столь любимым многими мессенджером.
Для анализа использовался онлайн-сервис VirusTotal, программы Permissions Manager (для отслеживания разрешений программы) и TrackerControl (для слежения за тем, какую информацию собирает та или иная программа). Ссылки на них я, как видите, оставил и каждый может повторить нехитрую проверку, о которой я пишу. Итак, вначале посмотрим что Permissions Manager выдаст, анализируя телеграм.
Соответствующим значком отмечены "опасные" разрешения, которые могут быть использованы для компрометации устройства. Вообще, разрешения приложениям нужны, чтобы получить различные права, необходимые для их работы. Так, GET_ACCOUNTS например позволяет программе получить доступ к списку учетных записей, а WRITE_CONTACTS даёт приложению возможность вносить контакты в память устройства. Эти функции могут быть использованы в совершенно разных целях. У телеграма таких опасных разрешений Permissions Manager нашёл немало:
А теперь MAX. По разрешениям программы сходны, но таковых у российского мессенджера чуть меньше, это внушает оптимизм:
Кстати, и у телеги и у Мax программа нашла wake_lock, разрешение, которое позволяет удерживать устройство во включенном состоянии, предотвращая переход в спящий режим.
Перейдём к вопросу сбора данных о пользователе через трекеры. Здесь у телеграма преимущество, TrackerControl нашёл один трекер:
А вот у MAX их больше, как видите три, две явно от гугла, что нельзя считать аномалией на смартфонах:
Среди этого списка много вопросов у пользователей вызывает система аналитики myTracker. Да, её нет у телеграма, но у российского мессенджера есть. В интернете можно найти описание функционала системы и авторы российского софта myTracker используют вовсю: TrackerControl нашёл её у приложений банка Райффайзен, Юмани и Дзена. Так что никакая это не эксклюзивная "закладка" в Максе и демонизировать её назначение я бы не стал. Ну и напоследок, проверим установщик российского мессенджера через VirusTotal. Всё хорошо и никаких срабатываний, что бы там не писали:
Что же, я буду рад, если информация показалась уважаемым читателям интересной, однако считаю необходимым разъяснить: данные из публикации вовсе не глубокое исследование и скрытые функции могут быть у каждой программы на вашем компьютере или смартфоне, чей исходный код не открыт. А может их и нет, это нельзя сказать сразу и без углублённого анализа. У российского мессенджера при беглом исследовании я не нашёл ничего, что вызывало бы серьёзные подозрения и продолжу его использовать, а разговоры о вредоносном характере приложения для обычного пользователя оставлю на совести их авторов.
Добавлю так же несколько замечаний в отношении Max: уже август скоро, а разработчики всё не выпускают версию для Linux, недавнее тестирование каналов не все восприняли однозначно из-за приглашённых авторов (хотя это дело вкуса), а системы двухфакторной аутентификации всё ещё нет. При всём при этом, приложение работает нормально и обладает привычным функционалом мессенджера, новостные каналы появились и я надеюсь на его поступательное развитие, несмотря на имеющиеся недостатки. Болезни роста можно преодолеть.
Возможно, в среднесрочной перспективе мы и исходный код его увидим. Было бы здорово, чтобы возмущающиеся в комментариях граждане именно на эту проблему обратили внимание и сделали бы что-то кроме упражнений во владении русским матерным. Но, я думаю, это уже ненаучная фантастика. И кстати помните, если хотите обвинить автора в продажности и выразить своё решительное фи софту, ни в чём себя не ограничивайте (кроме норм закона!), только не выражайтесь и не переходите на личности. Больше комментариев - больше показов :D
Обновление: в конце лета вышла версия приложения под Linux, которая работает весьма стабильно, появилась дополнительная защита в виде установки пин-кода, а так же программа по созданию каналов наконец была расширена. Так что читать теперь меня можно и в MAX https://max.ru/prepod2012