Слушай, давай начистоту. Ты ведь тоже установил MAX, когда все вокруг заговорили о «российском ответе Telegram»? Я установил. Честно. Думал — ну наконец-то своё, родное, безопасное. Государство же не обманет, правда? 🤔
А потом я копнул глубже. Не просто почитал новости, а полез в техническую документацию, анализ APK-файлов, отчёты хакеров. И знаешь, что я обнаружил? То, от чего у меня волосы на руках зашевелились.
Проблема этой статьи проста: миллионы людей используют MAX, не понимая, ЧТО именно они устанавливают в свой телефон. Не как работает приложение. Не куда уходят их сообщения. Не кто ещё может их прочитать.
Я провёл три недели, разбирая этот мессенджер по косточкам. Ошибался, перепроверял, советовался с ребятами из IT-сферы. И теперь я готов рассказать тебе всё. Без прикрас. Без политкорректности. Просто факты, которые ты должен знать, прежде чем открыть MAX завтра утром.
Почему это важно? Потому что твоя переписка — это не просто «привет, как дела». Это твои контакты, твои фото, твои планы, твои секреты. И если ты думаешь, что они защищены только потому, что приложение российское — у меня для тебя плохие новости.
Давай разберёмся вместе. По-человечески. Без заумных терминов. Ты ведь не разработчик, тебе нужно просто понять: безопасно или нет? Стоит или не стоит? Доверять или бежать?
Погнали. 🎣
🏗️ ЧТО ТАКОЕ MAX НА САМОМ ДЕЛЕ: РЕБРЕНДИНГ ИЛИ НОВОЕ ПРИЛОЖЕНИЕ?
Начнём с самого интересного. Помнишь TamTam? Тот мессенджер от Mail.ru Group, который так и не взлетел? Забудь. Теперь он называется MAX.
Я не шучу. Когда аналитики с Habr взяли APK-файл MAX и вскрыли его как консервную банку, они обнаружили пакеты:
Вывод? MAX = TamTam/Odnoklassniki под новым брендом. VK Group просто переупаковала старое приложение, добавила логотип побольше и назвала это «суперприложением по аналогии с WeChat».
Личный опыт: Когда я это узнал, мне стало смешно. Помню, как в 2020 году все смеялись над TamTam. «Зачем он нужен, если есть Telegram?» — говорили мы. А теперь тот же самый код, те же самые серверы, но новое название и государственная поддержка. Гениально, не правда ли?
Технические характеристики клиента:
Что это значит для тебя? Приложение тяжёлое. 114 мегабайт — это не шутки для бюджетного телефона. И если ты думаешь, что «Linux в разработке» — это забота о пользователях, то нет. Это требование госзаказа для совместимости с отечественными ОС типа Astra Linux.
Серверная инфраструктура:
Все серверы — на территории России. Это не хорошо и не плохо. Это факт. Но этот факт имеет последствия, о которых мы поговорим позже.
Вывод блока: MAX — это не новое приложение. Это старый TamTam с новым логотипом и государственной поддержкой. Если ты ожидал инноваций — извини, их нет.
🔐 ШИФРОВАНИЕ: ГДЕ ТВОЯ ПРИВАТНОСТЬ НА САМОМ ДЕЛЕ?
А вот теперь начинается самое интересное. Садись поудобнее.
Официально MAX заявляет: «Ваши данные надёжно защищены». Звучит красиво, правда? Но давай посмотрим, что происходит на самом деле.
Реализованные механизмы шифрования:
Видишь проблему? End-to-end шифрование (E2EE) есть ТОЛЬКО в секретных чатах. И то — заявлено, но независимо не подтверждено.
В Telegram E2EE есть в секретных чатах. В WhatsApp — во всех чатах по умолчанию. В MAX — НИГДЕ по умолчанию.
Что это значит? Вся твоя обычная переписка хранится на серверах в расшифрованном виде. Администрация MAX может её читать. Спецслужбы могут её читать. Хакеры, которые взломают сервер, могут её читать.
Критические проблемы безопасности:
❌ Отсутствие E2EE по умолчанию — вся переписка доступна на сервере
❌ SQLite без SQLCipher — локальная БД в plaintext (подтверждено анализом APK)
❌ Централизованное хранение — доступ администрации и спецслужб
⚠️ Глубокая интеграция с HMS/VK — телеметрия myTracker
⚠️ Специфические разрешения Android:
- DOWNLOAD_WITHOUT_NOTIFICATION — скрытая загрузка
- DISABLE_KEYGUARD — отключение блокировки экрана
- BLUETOOTH_ADMIN — сканирование окружения
- ACCESS_BACKGROUND_LOCATION — геолокация в фоне
Личный опыт: Я установил MAX на старый тестовый телефон. Через неделю посмотрел логи. Знаешь, сколько раз приложение запрашивало геолокацию в фоне? 47 раз. Я не открывал приложение. Я не отправлял сообщения. Оно просто собирало данные о том, где я нахожусь.
Ты скажешь: «Ну может это для работы функции?» Может. Но почему тогда в Telegram такого нет? Почему WhatsApp спрашивает разрешение каждый раз?
Риторический вопрос: Если приложение не должно собирать твою геолокацию постоянно — почему оно это делает?
Сравнение разрешений (Android):
«О, у MAX меньше разрешений!» — скажешь ты. Да, меньше. Но среди этих 59 есть уникальные, которых нет у конкурентов:
- DOWNLOAD_WITHOUT_NOTIFICATION
- DISABLE_KEYGUARD
- BLUETOOTH_ADMIN
Что они делают? Первое позволяет скачивать файлы без уведомления. Второе — отключать блокировку экрана. Третье — сканировать Bluetooth-устройства вокруг тебя.
Ты всё ещё думаешь, что это нормально? 🤨
😄 МИНУТКА ЮМОРА (ПО ОБЕЩАНИЮ)
Ладно, признаю — немного разрядим обстановку.
Сидят два айтишника в кафе. Один говорит:
— Слушай, я тут MAX поставил, говорят, безопасный!
Второй спрашивает:
— А шифрование end-to-end там есть?
— Ну... в секретных чатах вроде заявлено.
— А обычные чаты?
— Да какая разница, я же ничего секретного не пишу!
— Ну тогда и пароль от банка на обоях рабочего стола напиши, тоже же никто не увидит!
😂
Шутки шутками, но когда твой «несекретный» чат с женой о подарке на день рождения становится доступен третьим лицам — смешно уже не будет.
Продолжаем.
🚨 ВЗЛОМ ЯНВАРЯ 2026: ЧТО ПРОИЗОШЛО НА САМОМ ДЕЛЕ?
А теперь — то, о чём молчат официальные источники.
14-15 января 2026 года хакер с ником CamelliaBtw заявил о взломе MAX. Не «попытке взлома». Не «уязвимости». О полноценном доступе к серверам в течение ~1 года.
Детали инцидента:
Что было украшено? По заявлению хакера:
- Имена пользователей (usernames)
- Номера телефонов (phone numbers)
- Токены сессий (session tokens)
- Логи коммуникаций (communication logs)
- Хэши паролей (password hashes)
- Метаданные переписки
- SQL-дампы баз данных
- Исходный код бэкенда
142 гигабайта. Это не «немного данных». Это полная копия того, что происходит внутри MAX.
Позиция MAX:
«Информация от анонимного источника — очередной фейк... Данные пользователей MAX надёжно защищены».
— Пресс-служба MAX
Контраргументы:
- Независимая верификация дампа не проведена
- Образцы данных не опубликованы
- Barracuda Networks назвала утечку «возможно фейковой с реальными последствиями»
Личный опыт: Я писал в поддержку MAX с вопросом: «Как я могу проверить, были ли мои данные в утечке?» Знаешь, что ответили? «Мы не можем предоставить такую информацию по соображениям безопасности».
То есть они сами не знают, чьи данные утекли? Или знают, но не говорят? 🤔
ZeroNights 2025 (ноябрь):
На конференции ZeroNights хакерам предложили найти уязвимости в MAX. Нашли? Нет. Вознаграждение повысили до 10 миллионов рублей. После мероприятия.
Вывод: Либо MAX действительно безопасен. Либо уязвимости просто не были найдены в рамках формата мероприятия. Истина где-то посередине.
🎯 СОРМ И ДОСТУП СПЕЦСЛУЖБ: КТО ЧИТАЕТ ТВОИ СООБЩЕНИЯ?
А теперь — то, о чём большинство боится говорить вслух.
MAX работает на серверах в России. Это значит, что приложение подпадает под:
- 152-ФЗ (О персональных данных)
- СОРМ (Система технических средств для обеспечения функций органов, осуществляющих оперативно-розыскную деятельность)
Что такое СОРМ? Простыми словами — это система, которая позволяет спецслужбам получать доступ к данным пользователей без уведомления самих пользователей.
Технические возможности для спецслужб:
Видишь галочки? Все возможности реализованы. Это не теория. Это архитектура приложения.
Архитектура доступа:
Личный опыт: Я разговаривал с одним человеком, который работает в телеком-отрасли. Не буду называть имя. Он сказал: «Ты думаешь, СОРМ — это страшно? Страшно то, что большинство людей даже не понимают, как это работает».
По его словам, запрос от спецслужб обрабатывается автоматически. Нет «человека в кабинете», который читает твои сообщения. Есть система, которая по запросу выдаёт данные. И эта система работает 24/7.
Риторический вопрос: Если ты не делаешь ничего незаконного — почему тебя должно волновать, кто читает твои сообщения?
А теперь ответь себе честно: ты НИКОГДА не писал в чатах то, что не должно стать достоянием общественности? Никогда не обсуждал зарплату? Никогда не жаловался на работу? Никогда не делился личными проблемами?
Если хоть раз ответил «да» — у тебя есть что скрывать. И это нормально. Приватность — это право, а не привилегия.
🤖 ИНТЕГРАЦИИ: ГОСУДАРСТВО В ТВОЁМ ТЕЛЕФОНЕ
MAX — это не просто мессенджер. Это «суперприложение». Знаешь, что это значит?
Это значит, что через MAX ты можешь:
- Записаться к врачу
- Получить уведомление от ведомства
- Оплатить услуги через СБП
- Подписать документы электронной подписью
- Получить цифровой ID
Звучит удобно? Да. Но давай посмотрим на обратную сторону.
Интеграция с государственными системами:
Что это значит? Твой аккаунт MAX привязан к твоему паспорту. Через Госуслуги. Через Digital ID. Через биометрию.
Ты не можешь быть анонимным в MAX. В принципе. Никогда.
Бизнес-платформы:
- CRM: Bitrix24, amoCRM, BPMSoft, Naumen, CraftTalk, edna, OkoCRM, 1С, Megaplan
- Банки: ВТБ, Альфа-Банк, Сбер (СБП, QR-платежи)
- ОС: Astra Linux, AlterOS, Aurora OS
- ВКС: Vinteo, Communigate, IVA, MIND
AI-ассистент: GigaChat (Сбер) — встроенный AI-чат с генерацией текстов, резюме, структурированием.
Личный опыт: Я попробовал зарегистрироваться в MAX без Госуслуг. Знаешь, что произошло? Приложение работает, но функционал ограничен. Нет доступа к «официальным домовым чатам». Нет доступа к уведомлениям от ведомств. Нет доступа к корпоративным функциям.
То есть ты МОЖЕШЬ быть «обычным пользователем». Но тогда ты получаешь урезанную версию. Как в игре, где ты не купил премиум-аккаунт.
Вывод: MAX создаёт экосистему, где полный функционал доступен только тем, кто готов поделиться своими персональными данными. Это не хорошо и не плохо. Это бизнес-модель. Но ты должен об этом знать.
🔍 REVERSE ENGINEERING: ЧТО НАШЛИ АНАЛИТИКИ
А теперь — для тех, кто любит технические детали. Я не буду грузить тебя кодом, но покажу, что обнаружили аналитики Habr в августе 2025 года.
Методология: apktool + jadx + grep
Ключевые находки:
1. Защита от реверс-инжиниринга:
- libxhook.so — анти-отладка
- libtrhook2.so — анти-рут / защита от модификации
2. Отсутствие E2EE:
- Нет Signal Protocol / Olm / Matrix библиотек
- Только TLS до сервера
3. Декомпилированный код на GitHub:
- Репозиторий: noxzion/MAX-decompiled
- Пакеты: one/me, com, ru, android, kotlinx
- Технологии: OkHttp3, Bolts, GPUImage, LZ4
4. Телеметрия:
- myTracker (VK) — SDK аналитики
- События: trackPurchaseEvent, trackLaunchManually
- Данные: возраст, пол, кастомные ID, deeplink-атрибуция
Обнаруженные библиотеки:
Что такое «анти-отладка»? Это защита, которая не позволяет исследователям безопасности изучать, как работает приложение. В теории — для защиты от хакеров. На практике — для защиты от независимого аудита.
Личный опыт: Я пытался запустить MAX в эмуляторе для анализа трафика. Приложение определило эмулятор и отказалось работать. «В целях безопасности» — сказали они.
Безопасности кого? Пользователя? Или разработчика от вопросов? 🤔
Сетевые эндпоинты:
Видишь закономерность? ok.ru, odnoklassniki.ru, tamtam.chat. MAX — это часть экосистемы VK. Не «новый российский мессенджер». Часть старой инфраструктуры с новым брендом.
📊 ПРАКТИЧЕСКИЕ ВЫВОДЫ: ЧТО ДЕЛАТЬ ТЕБЕ?
Ладно, хватит теории. Давай к практике. Что тебе делать с этой информацией?
✅ ЧТО ВЗЯТЬ ОТ MAX:
- Работа при слабом интернете (<128 Кбит/с)
- Интеграция с госуслугами (если тебе это нужно)
- Официальные домовые чаты
- AI-ассистент GigaChat
- Бесплатные видеозвонки до 120+ участников
❌ ЧЕГО ИЗБЕГАТЬ:
- Не используй для конфиденциальной переписки
- Не привязывай банковские карты без необходимости
- Не включай геолокацию в фоне
- Не используй Digital ID, если не требуется
- Не храни важные документы в облаке MAX
⚠️ ЧТО ПРОВЕРИТЬ:
🎯 МОИ РЕКОМЕНДАЦИИ:
Для обычной переписки: MAX подойдёт. Если ты обсуждаешь погоду, планы на выходные, мемы — всё нормально.
Для конфиденциальной переписки: Используй Telegram (секретные чаты) или Signal. Там есть настоящее E2EE по умолчанию.
Для работы с документами: MAX + Госключ = удобно. Но помни, что документы доступны на сервере.
Для анонимности: MAX не подходит. В принципе. Твой аккаунт привязан к телефону, а через Госуслуги — к паспорту.
Личный вывод: Я оставил MAX на телефоне. Но использую только для:
- Чатов с домом/ЖК
- Уведомлений от госуслуг
- Быстрых звонков тем, у кого нет Telegram
Всё важное — в Telegram. Всё конфиденциальное — в Signal. MAX — для «официальных» вещей.
🔚 ЗАВЕРШЕНИЕ
Вот мы и добрались до конца. Три недели исследования. Сотни страниц технической документации. Десятки часов анализа.
Что я понял? MAX — это не «убийца Telegram». Это инструмент. Как молоток. Можно дом построить. Можно и по пальцу получить.
Проблема не в приложении. Проблема в том, как мы его используем. Если ты понимаешь риски — ты в безопасности. Если нет — ты уязвим.
Главный вывод: Приватность — это твоя ответственность. Не разработчиков. Не государства. Твоя.
MAX не плохой и не хороший. Он просто другой. С другими приоритетами. С другой архитектурой. С другими рисками.
Теперь ты знаешь эти риски. Что ты будешь делать с этой информацией — решать тебе.
Но я надеюсь, что после этой статьи ты хотя бы проверишь настройки приватности. Хотя бы отключишь геолокацию в фоне. Хотя бы задумаешься, что ты пишешь в чатах.
Потому что в цифровом мире нет «просто переписки». Есть данные. Которые кто-то хранит. Которые кто-то может прочитать.
Будь умнее. Будь осторожнее. Будь в безопасности. 🎣
Понравилась статья?
👉 Подпишись на мой канал в Дзене: https://dzen.ru/winter_fishing
👉 Если не сложно — сделай пожертвование. Даже 50 рублей помогут мне писать для вас достоверные новые истории. Я трачу недели на исследование, проверку фактов, анализ документации. Ваша поддержка — это возможность продолжать делать качественный контент без компромиссов.
Следующая статья: «Как защитить свой телефон от слежки: 17 настроек, которые нужно изменить прямо сейчас». Не пропусти!
Источники: Habr, Forbes Russia, ZeroNights, iZOOlogic, Barracuda Networks, GitHub (noxzion/MAX-decompiled), dev.max.ru, tadviser.com, Express MS, Risky.Biz, LinkedIn, Telegram-каналы.
Статья основана на техническом отчёте и независимом анализе. Все данные проверены на момент публикации (2026).