Введение: установка и цели разбора
Начнём с установки приложения Max на телефон.
А нет, показалось.
Ощущение шпионского ПО складывается после рекламы огромной господдержки и форсирования загрузки приложения в школах и универах. У меня нет цели захейтить приложение или его прорекламировать. Мне как разработчику интересно, как дела обстоят в реальности. Я погружусь во внутренности Макса, чтобы понять, что он узнает о вас и действительно ли это мегашпионская программа, которая раскроет все секретики и передаст «тащ Майору».
Скрытый код и обфускация
Многие говорят, что у приложения очень хорошо скрыт код и получение доступа к нему практически невозможно. Однако это называется обфускацией. Названия методов и переменных заменяются на нечитаемые наименования, чтобы никто не мог понять смысл участка кода. На самом деле — это требование для разработки приложений. Apple и Google имеют встроенный обфускатор, и делается это исключительно ради безопасности. Сокрытие кода — это в первую очередь вопрос безопасности сервиса, это must-have для любого приложения.
Разрешения (Permissions) и AndroidManifest
Как же определить, какие данные о вас может собрать приложение, если нет доступа к коду? Для этого есть разрешения или пермишены. В конфигурационном файле AndroidManifest.xml видно, что приложение собрано под Android 14. Это «серьёзная взрослая жизнь», где без runtime-разрешений ничего не откроется. Не получится, как раньше: поставил приложение, и оно молча забрало все твои фотки. Система всегда спросит: «разрешить доступ к камере или локации?». Только после вашего разрешения приложение получит доступ.
Сетевой блок, уведомления и пакеты
В сетевом блоке мы видим доступ к Wi-Fi. Max может включать и выключать Wi-Fi, что нужно для нормальной работы звонков, чтобы приложение понимало, через что лучше тащить звук. Что касается уведомлений — на Android 13 и выше они не включаются сами, система сначала спросит ваше согласие.
Пункт request install packages часто пугает людей («вирус, оно само ставит обновление»), но это стандартная штука для мессенджеров. Без вашего согласия ничего не поставится.
Это как парень с коробкой пиццы у двери: пока вы её не откроете, пицца останется за порогом.
Личные данные: геолокация и контакты
Приложение запрашивает доступ к геолокации. В большинстве случаев это нужно, чтобы отобразить вас на карте или показать ближайшие объекты. Важно понимать: мессенджер забирает геолокацию через официальные методы ОС, но после получения может отправить её куда угодно.
Однако если вы нажали «нет» — приложение идет лесом. Android реально блочит доступ на уровне операционной системы. Если вы откажете, максимум, что увидит приложение — это собственные «слёзы в логах». Контакты и номер телефона нужны для идентификации и поиска друзей, но всё упирается в одно слово: «разрешить».
Камера, микрофон и биометрия: мифы о шпионаже
Есть хайп, что Макс делает фотографии каждые 15 секунд. Разрешения на камеру и запись аудио действительно есть, но доступ выдаётся только по запросу. Никакого тихого шпионажа без вашего «окей» не будет. Современные смартфоны всегда включают индикаторы, когда камера или микрофон активны.
Использование биометрии (use fingerprint) тоже не страшно. Это не значит, что отпечатки улетают в ФСБ. Это значит, что приложение просит смартфон подтвердить личность. Все биометрические данные хранятся только внутри операционной системы, у самого приложения к ним доступа нет.
Технические фишки и интеграции
В коде есть «технарские» штуки: WakeLock, чтобы телефон не засыпал во время звонка, и Disable Keyguard, чтобы показать экран входящего вызова на заблокированном дисплее.
Интересен блок queries: он нужен для интеграции. Например, чтобы Max видел, установлены ли у вас Google Maps, и мог перебросить вас туда по нажатию кнопки. Это не про шпионаж, а про удобство. Ссылки типа Applinks также нужны для того, чтобы доменные ссылки открывались сразу в приложении, а не в браузере.
Итоги: шпион или мессенджер?
Макс просит доступ к камере, микрофону, контактам и локации через официальные механизмы Android и iOS с подтверждениями. У Телеграма общих разрешений даже больше. Если вы отклоняете пермишены — ничего собираться не будет.
Никаких фоток каждые 15 секунд приложение не делает. Но доступ к перепискам, конечно, есть — они хранятся на серверах, как и в любом другом приложении. Если вы в Максе отправите «чушь», вас легко найдут. Реальность всегда где-то посередине: это обычный мессенджер со своими особенностями, и активный хейт вокруг него часто кажется просто частью конкурентной борьбы.
Разумеется, найдутся и хейтеры такого разбора, которые скажут "все понятно, тебе заплатили, ты должен был как все блоггеры захейтить мессенджер". Лично я только против активного навязывания мессенджера, и блокировки конкурентов. Конкуренцию государства создавали не по доброте душевной, а потому что она двигатель прогресса, без конкуренции будет застой и остановка в развитии. Из-за этого, желания устанавливать этот мессенджер становится меньше.