В современном мире, где смартфон стал нашим паспортом, кошельком и дневником, вопрос конфиденциальности стоит особенно остро. И одной из самых горячих тем последних месяцев, безусловно, стал национальный мессенджер «Макс» – детище VK.
Информационное поле максимально заполнено слухами: «Макс» нечестен», «он передает персональные данные государственным органам», «он собирает просто все, что может найти в вашем телефоне». Я решил погрузиться в этот вопрос, чтобы отделить мифы от реальности. Я изучил официальную документацию, почитал мнения айтишников, а самое главное – зарегистрировался в «Максе» специально для этого обзора. И знаете что? Все оказалось не так однозначно, как кажется на первый взгляд, но и не так безоблачно, как нам пытаются показать.
Добровольно-принудительный переход
Начнем с главного: закон о национальном мессенджере не обязывает никого его скачивать. Нет никаких законных оснований, чтобы, например, заставить бюджетника или учителя установить его. Все, что мы сейчас видим — переход школ, больниц, администраций городских округов — это исключительно политические решения, основанные на письмах и рекомендациях.
Заявленная цель создания «Макса» выглядит благородно: повышение доступности услуг и сервисов в разных сферах, создание комфортной и безопасной среды, обеспечение конфиденциальности. Его ключевой функционал — это внедрение в мессенджер Госуслуг, что якобы должно облегчить гражданам предоставление государственных услуг.
Но есть и другая сторона. Как государство подталкивает нас к переходу? Недавно Роскомнадзор запретил звонки через Telegram и WhatsApp, объяснив это тем, что именно через них происходит большая часть мошенничества.
По моим личным наблюдениям, большая часть мошеннических звонков все-таки идет через обычную мобильную связь, а не через мессенджеры. Да, через мессенджеры могут звонить с использованием дипфейков, но статистика, приводимая для оправдания блокировок, выглядит весьма условно и вызывает много вопросов.
Несмотря на «добровольность», переход становится все более принудительным для определенных категорий:
- Врачи, чиновники, госслужащие.
- Администрация президента обязала чиновников перевести свои каналы из Telegram в «Макс».
- Министерство строительства и ЖКХ требует перевести все домовые чаты.
- С 1 июня крупным организациям (банкам, операторам связи, маркетплейсам, таким как Ozon или Wildberries, крупным соцсетям) запрещено использовать иностранные мессенджеры для официальной коммуникации с гражданами.
Это означает, что вся официальная переписка и коммуникация с крупными структурами, с которыми мы взаимодействуем ежедневно, будет постепенно перетекать в национальный мессенджер.
Устанавливать ли? Вопрос для владельцев Android.
«Макс» будет обязателен к предустановке на смартфонах. Пользователи Apple, скорее всего, этого не почувствуют — iOS более закрыта для подобных требований. А вот на устройствах Android, которые более лояльны к российскому законодательству, российское ПО уже стоит. Пока мы можем удалить любое ненужное приложение из Android, но я задаюсь вопросом: сможем ли мы удалить «Макс», когда он появится в предустановленном виде?
Если звонки в других мессенджерах будут блокироваться, перед нами неизбежно встанет выбор альтернативы. Учитывая тенденцию, «Макс» выходит на первый план.
Политика конфиденциальности: Что собирает и кому передает?
Самые главные обвинения, которые я услышал: приложение собирает IP-адреса, данные о местоположении и активности, а его политика допускает передачу этих сведений государственным органам.
Пункт первый – Шифрование. В отличие от WhatsApp или Signal, в «Максе» пока не реализовано сквозное (End-to-End) шифрование. Используется только защита канала связи, что оставляет данные уязвимыми на серверах. Проще говоря: если нет E2E-шифрования, теоретически, вашу переписку можно прочитать.
Пункт второй – Сбор данных. При регистрации, согласно политике конфиденциальности, «Макс» запрашивает:
- Минимальный набор: номер телефона и имя.
- Опционально: фамилию, дату рождения, никнейм, описание, фотографии.
- Присваивается внутренний ID-номер.
При доступе к сервису приложение обрабатывает:
- Данные о вашем техническом устройстве, IP-адрес.
- Вид операционной системы (Android, Windows и т.д.), тип браузера.
- Местоположение (причем, айтишники утверждают, что очень точное).
- Поставщика услуг интернета (ваш провайдер).
- Данные из адресной книги (если вы дадите разрешение, как в любом мессенджере).
- Данные о вашем поведении в мессенджере.
Честно говоря, это стандартная история для большинства социальных сетей и мессенджеров, за исключением отсутствия E2E-шифрования.
Пункт третий – Передача данных. Вот здесь кроется самое интересное. Кому могут быть переданы наши данные?
- Лицам, участвующим в исполнении соглашения.
- Операторам сотовой связи.
- Технологическим партнерам, которые не поименованы. То есть, все, что собрали, могут передать некоторым партнерам, которых даже не называют.
- Сервису Myracker (для аналитических сведений о вашем поведении в интерфейсе).
- И самое главное: любому государственному органу власти или местного самоуправления, которому компания обязана предоставлять информацию в соответствии с применимым законодательством, по соответствующему запросу или требованию.
На первый взгляд это звучит как «стандарт». Когда идет следствие, следователь может запросить информацию о переписке у любого мессенджера.
Но сравним это с тем, что пишет, например, Telegram. Он предоставит данные только по официальному запросу от компетентных судебных властей, которые подтверждают, что вы являетесь подозреваемым в уголовном деле о незаконных действиях. Формулировка Telegram гораздо более конкретна: в рамках уголовного дела, если вы подозреваемый. В «Максе» же: «любому госоргану по запросу». Эта формулировка выглядит более хитрой и позволяет трактовать ее максимально широко.
Технические сигналы тревоги от айтишников
Если официальная документация вызывает лишь вопросы, то технический анализ от IT-специалистов прямо настораживает.
- Внедрение в систему: Айтишники обнаружили, что «Макс» использует JAR-файлы для внедрения в систему устройства. Эти файлы дают приложению доступ к системным функциям, которые мессенджеру, по сути, не нужны.
- Глубокий контроль: В коде был замечен тег execution, который объявляет сервисы с разрешением привязки к системе. Это означает, что «Макс» потенциально может работать на уровне, недоступном обычным чат-приложениям, и контролировать гораздо больше, чем ваши переписки.
- Сбор данных о других приложениях: Приложение собирает данные об аккаунтах других приложений на устройстве.
- Скрытая активность: Тег Discovery читает ваши контакты и содержимое фотографий.
- Постоянная активность: Приложение удерживает устройство в активном состоянии с помощью WakeLock, что нетипично для простого мессенджера. Другой IT-специалист прямо заявил, что такое поведение характерно для вредоносного ПО.
- Проверка Root-доступа: «Макс» проверяет Root-доступ, чтобы понять, насколько глубоко он может внедриться в систему.
То, что декларируется в политике конфиденциальности, и то, что обнаруживают айтишники в коде, несколько разнится. Утверждать однозначно, что «Макс» — это шпионская программа, я не могу, но совокупность всех этих технических особенностей, наряду с мягкой формулировкой о передаче данных «любому госоргану», не добавляет уверенности.
Мой личный опыт: Удаление аккаунта
Начитавшись всего этого, я, естественно, задался вопросом: «А как мне теперь удалить аккаунт в „Максе“?»
К моему удивлению, функционал по удалению оказался не где-то спрятан, а достаточно на поверхности. Я зашел в настройки и увидел красными буквами: «Удалить профиль». Приложение, однако, предупредило меня: «Удалим ваш профиль через 30 дней».
Итак, мой профиль находится в статусе удаления. Через месяц я обязательно проверю, был ли он действительно удален из всех систем.
Вывод
«Макс» – это не просто еще один мессенджер. Это амбициозный проект с государственным участием и интеграцией ключевых государственных сервисов. Он имеет все шансы стать обязательным инструментом для взаимодействия с государством и крупными корпорациями.
С одной стороны, его политика сбора персональных данных почти не отличается от мировых гигантов. С другой стороны, отсутствие E2E-шифрования, расплывчатая формулировка о передаче данных госструктурам и тревожные выводы айтишников о его коде заставляют серьезно задуматься.
Будете ли вы им пользоваться вместо привычного Telegram или WhatsApp? Готовы ли вы загружать туда свои документы и синхронизировать его с Госуслугами, учитывая все эти нюансы? Решать, как всегда, вам.
Я продолжу следить за этой темой и делиться с вами самыми актуальными новостями из мира технологий, смартфонов и кибербезопасности.
Подписывайся на телеграм канал