В сети появился якобы «технический анализ» мессенджера МАХ, авторы которого утверждают, что разобрали APK-файл приложения и обнаружили массу подозрительных функций. Критики поспешили подхватить эту тему, обвиняя приложение в слежке за пользователями.
Но так ли все страшно на самом деле? Давайте спокойно разберем основные претензии и посмотрим, насколько они обоснованы.
Количество разрешений: много или нормально?
Авторы исследования сразу же обрушиваются на MAX с обвинениями в запросе «подозрительно большого» количества разрешений. Они приводят длинный список функций, к которым приложение просит доступ, и представляют это как доказательство вредоносности.
На деле картина совсем другая. MAX запрашивает 63 разрешения, необходимых для работы приложения. И это даже меньше, чем у признанных лидеров рынка. У WhatsApp таких разрешений 85, у Telegram — 71. Получается, что российский мессенджер более "скромен" в своих запросах.
Важно еще понимать, что любое приложение проходит проверку перед попаданием в App Store, Google Play и другие официальные магазины. Если бы разрешения MAX действительно были избыточными или подозрительными, приложение скорее всего просто не прошло бы модерацию.
Насколько страшны эти разрешения?
Критики особенно возмущаются несколькими конкретными разрешениями, представляя их как инструменты шпионажа. Разберем их по порядку.
Так, например, составители отчета утверждают, что разрешение SYSTEM_ALERT_WINDOW можно использовать для мошенничества — создавать фальшивые окна, которые появляются поверх других программ и могут ввести пользователя в заблуждение, заставив ввести личные данные или нажать не ту кнопку. В реальности это просто возможность показать небольшое окошко поверх других приложений — например, индикатор активного звонка, чтобы вы видели, что разговор продолжается, даже если свернули приложение. Точно такая же функция есть у всех современных мессенджеров.
Не менее зловеще авторы описывают разрешение REQUEST_INSTALL_PACKAGES, утверждая, что оно якобы позволяет «загружать и устанавливать скрытые модули, обновления и даже вредоносное ПО, минуя официальные магазины приложений». На практике это просто возможность поделиться APK-файлом через чат и установить его вручную с согласия пользователя, что, кстати, даже сами «разоблачители» подтверждают. Такое же разрешение есть у Telegram и WhatsApp. Тут нет ничего принципиально нового и страшного.
Функцию демонстрации экрана (mediaProjection) «эксперты» называют «серьезной угрозой конфиденциальности», утверждая, что через нее можно тайно записывать все действия пользователя. В действительности это обычная возможность показать свой экран собеседнику во время видеозвонка. Каждый раз система обязательно запрашивает ваше разрешение — без вашего согласия ничего не работает.
Доступ к Bluetooth составители отчета тоже представляют подозрительным, хотя он нужен просто для автоматического переключения звука на беспроводные наушники во время разговора — стандартная функция любого приложения для звонков.
Особое возмущение у критиков вызвал модуль MyTracker, который они представили как инструмент «обширного сбора пользовательских». Звучит действительно пугающе.
Правда, в реальности MyTracker — это стандартный сервис веб-аналитики, который используют множество крупных и известных компаний. Он интегрирован в приложения Wildberries, Ozon, СберМаркета, Delivery Club, Avito, AliExpress, Shein, Joom, Azur Games, SayGames, 1C-Company и других сервисов, которыми мы пользуемся каждый день.
Функции этого модуля предельно прозрачны: отслеживание того, откуда пользователи скачивают приложение, оценка эффективности рекламных кампаний, отправка push-уведомлений и понимание того, как люди пользуются приложением. Это абсолютно нормальная практика для любого продукта.
Почему MAX «скрывает» код?
Авторы также возмутились тем, что код приложения «обфусцирован» — то есть специально усложнен для чтения. Они представляют это как попытку скрыть зловещие функции от глаз исследователей.
На самом деле обфускация — это стандартная практика защиты любого серьезного проекта, особенно тех, которые работают с критичными данными. Обфускация защищает интеллектуальную собственность, предотвращает обратную инженерию. Представьте: вы создали уникальный алгоритм или потратили годы на разработку технологии. Естественно, вы не хотите, чтобы конкуренты просто скопировали ваше решение.
Кроме того, она защищает от взлома и модификации приложения. А для мессенджера, который работает с личными сообщениями, дополнительная защита кода — это вопрос безопасности пользователей.
Ну и то, что бросается в глаза при внимательном чтении «экспертного заключения» — полное отсутствие конкретных доказательств вредоносной активности.
Создатели отчета постоянно используют слова-маркеры: «может быть использовано», «теоретически возможно», «предположительно». Но нигде нет фактов о том, что MAX реально делает что-то плохое с данными пользователей. Зато полно эмоционально окрашенных формулировок вроде «тотальный сбор информации» и «инструмент слежки».
Это больше похоже на попытку запугать и создать нужное впечатление через нагромождение технических терминов, чем на объективный и правдивый анализ. Каждая обычная функция мессенджера представляется в максимально зловещем свете, а стандартные отраслевые практики выдаются за признаки вредоносности.
Лично мне все эти «разоблачения» кажутся притянутыми за уши. А что думаете вы?