📱 Мессенджер МАХ: Технический разбор

*картинка сделана через ChatGPT

Введение: «Конкуренты отдыхают»? Да они просто ржут

Октябрь
2025 года. В России с фанфарами запускают национальный мессенджер МАХ.
Государственные чиновники рапортуют о переходе, Z-блогеры рекламируют, а
Минцифры обещает "цифровой суверенитет". Проходит полгода — и что мы имеем?

213 уязвимостей, массовые сбои, слежка и неработающая «Змейка».

Разбираем по косточкам этот «убийцу Telegram». Спойлер: убивать он пока никого не собрался, кроме собственной репутации.

🔥 Сразу к делу: 213 уязвимостей, включая доступ к чужим сообщениям, файлам и перепискам. Это вам не шутки.

1. Технический разбор: Код, который не прошел баг-баунти

1.1. Цифры, от которых волосы дыбом

В апреле 2026 года в рамках программы Bug Bounty «белые» хакеры отчитались о проверке защищенности МАХ.

Итог поражает:

• ✅ Найдено 213 подтвержденных уязвимостей
• ✅ Всего подано 459 отчетов
• ✅ Принято 288 отчетов
• ✅ Выплачено хакерам почти 22 миллиона рублей

Средняя выплата за одну найденную дыру — 349 000 рублей. Это говорит о том, что уязвимости там не мелкие, а критические.

"Практика
показала, что этот метод довольно-таки эффективен, потому что белые
хакеры и киберисследователи заинтересованы искать уязвимость и получать
за это деньги", — Алексей Батюк, технический директор Positive
Technologies.

1.2. Самая опасная уязвимость: IDOR

Чаще всего в МАХ находили IDOR
(Insecure Direct Object References) — класс ошибок, при котором доступ к
чужим данным получают через подмену идентификаторов в запросах к
серверу.

Что это значит на практике:

Простыми
словами: если ты знаешь ID (идентификатор) чужого сообщения или файла,
можно просто подставить его в запрос — и сервер отдаст тебе данные
другого пользователя.

Как отмечают эксперты, такой механизм может открывать дорогу к:

• 🔓 Чужим сообщениям
• 🔓 Чужим чатам
• 🔓 Пользовательским файлам и фотографиям
• 🔓 Ключам шифрования и токенам аутентификации

В топе самых «дорогих» сценариев (за которые платят больше всего) указаны:

• «Доступ к приватным сообщениям конкретного пользователя»
• «Доступ ко всему пользовательскому контенту Max»
• Серверные уязвимости с утечкой защищенных персональных данных

1.3. «Удаленные файлы не удаляются»

В
марте 2026 года на «Пикабу» вышло расследование, в котором
утверждалось, что фотографии из переписок МАХ доступны для третьих лиц,
причём даже ранее удалённые.

Ведущий аналитик Mobile Research Group Эльдар Муртазин лично подтвердил это:

«Я лично проверил доступность к удалённым файлам из переписки, и указанная пользователями информация оказалась верна».

При
этом независимые наблюдатели не выявили массовых утечек данных
пользователей, хотя опубликованная статья подразумевала, что ссылки на
хранилище фотографий и видео можно получить методом простого подбора.

То есть: удалил фото из чата — а оно всё ещё висит где-то на сервере, и кто-то может до него достучаться.

1.4. Реакция разработчиков: «Это фейк!»

Пресс-служба МАХ, естественно, всё опровергла:

«Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них»

Проблема в том, что эксперты уже подтвердили — проблема есть. И 213 уязвимостей — это не шутки.

1.5. Слежка за VPN: Шпионский модуль или паранойя?

В марте 2026 года на «Хабре» вышла статья, в которой утверждалось, что МАХ содержит шпионский модуль, который:

• Следит за теми, кто использует VPN
• Отправляет запросы к Telegram и WhatsApp
• Сделан «неблокируемым»
• Имеет удаленное управление

Автор поста сам признался, что использовал не официальный код, а скачал версию, «которую нашел на 4pda».

Разработчики МАХ опровергли информацию:

«МАХ
не отслеживает пользование VPN-сервисами [и] не отправляет запросы на
сервера WhatsApp и Telegram. Используемые технические решения направлены
на обеспечение высокого качества работы сервисов — в первую очередь
звонков и уведомлений»

Однако сам факт того, что модифицированные версии приложения свободно гуляют по сети — это уже проблема безопасности.

Техническое пояснение от разработчиков:

• IP-адреса нужны для WebRTC, чтобы построить прямой маршрут «телефон-телефон». Это стандарт
• Запросы на серверы Apple/Google — для проверки доставки push-уведомлений

При этом МАХ отказался от end-to-end шифрования для звонков,
что делает их технически доступными для прослушивания на сервере. В
Telegram звонки защищены сквозным шифрованием по умолчанию в секретных
чатах, а в обычных — опционально.

2. Инфраструктура и стабильность: Танцы с бубном

2.1. Массовые сбои — новая норма

30 марта 2026 года:
Петербуржцы массово жалуются на сбой. Не работают уведомления, не
отправляются сообщения, не грузятся медиафайлы. К 11 утра — около 1000
жалоб.

1 апреля 2026 года: Новый сбой. 45% жалоб — на проблемы с оповещениями, 22% — на сбои мобильного приложения, 13% — общие сбои.

Пользователи отмечают, что проблемы возникают как при использовании мобильного интернета, так и при Wi-Fi.

Больше всего жалоб — из Москвы, Московской области, Татарстана, Санкт-Петербурга, Самары, Краснодара.

Вопрос: Как можно доверять «национальному мессенджеру», который падает два раза за три дня?

2.2. Что работает, а что нет?

Журналисты «Медузы» провели тестирование МАХ и выявили впечатляющий список того, что НЕ РАБОТАЕТ:

ФункцияСтатусКомментарий«Змейка» (игра)❌ Ошибка 404Не запускается вообщеБоты для бизнеса❌ Только /testДругого функционала нетOzon Travel❌ Редирект на сайтНе интеграция, а пародияСоздание ботов❌ «Попробуйте позже»Функция отключенаКопирование ссылок на посты❌ ОтсутствуетКак делать репосты — загадкаСекретные чаты❌ НетЭнд-ту-энд шифрования нет«Кружки» (видеосообщения)❌ НетЕсть в Telegram, нет в МАХНегативные реакции❌ ЗапрещеныТолько позитив!Поиск приложений и ботов❌ Нет вкладкиТолько через сторонний сайт

Что работает:

• ✅ Звонки (стабильно, но без end-to-end шифрования)
• ✅ Переписка
• ✅ Подписка на каналы
• ✅ Расшифровка голосовых через GigaChat

3. Политика и ограничения: «Неграм вход запрещён»

3.1. Дискриминация создателей контента

Как пишет Дмитрий Михайлин в «Аргументах Недели», у МАХ есть правило, которое он называет «плевком в лицо людям»:

*«Правило
MAXа „неграм вход запрещён“ — что канал там может завести только
пользователь А+, то есть зарегистрированный в Роскомнадзоре блогер с
аудиторией не меньше 10 000 человек»*

Вопросы, на которые у МАХ нет ответов:

• А про отдалённый улус в Якутии, где живёт меньше 10 000 человек, подумали?
• А про профессиональные паблики специалистов по палеоботанике, которых в мире человек сто?
• А про каналы поэтов? У Игоря Караулова в Telegram 5 905 подписчиков — он не заслужил быть в МАХ?

«Вы
сформулируйте все требования — типа, у кого нет миллиарда, пусть идёт в
жопу — мы поймём. Мы поймём, просто пользоваться вами не будем».

3.2. Запрет негативных реакций

В
МАХ нельзя ставить дизлайки или любые негативные реакции на посты и
сообщения. Зато позитивных много: палец вверх, огонёк, сердечко,
аплодисменты.

При этом ранее негативные реакции в МАХ были — они до сих пор видны на первых постах в канале «Сбера» за июль 2025 года.

Вывод: Разработчики сознательно убрали возможность выражать недовольство. Потому что критика — это не суверенно.

3.3. Искусственное завышение статистики

На сайте Max Stat публикуют многократно завышенные данные:

КаналДанные Max StatРеальные данныеMDK2,3 млн подписчиков~8 тысячВлад Бумага1,3 млн3,5 тысячиКлава Кока890 тысяч4,9 тысячи

Разница в 300 раз! Это не баг, это фича.

4. Функциональная нищета: Чем МАХ не может заменить Telegram

4.1. Нет аналога Telegram-каналов

Как отмечают и новосибирские журналисты, и «Медуза», главный минус МАХ — отсутствие аналога Telegram-каналов.

Обычные
пользователи не могут создавать каналы. Эта функция обещана «после
завершения тестирования», но тестирование уже год, а каналов всё нет.

4.2. Каналы есть только у избранных

В МАХ каналы появились почти у всех государственных и провластных изданий:

• ТАСС, RT, РИА Новости
• Владимир Соловьёв, «Известия», «АиФ»
• Readovka, Первый канал, НТВ

Подписчиков у них в разы меньше, чем в Telegram:

• RT на русском: в МАХ — 83,5 тыс., в Telegram — больше 1 млн
• Mash: в МАХ — 122 тыс., в Telegram — 3,3 млн

Z-блогеров и «военкоров» в МАХ пока особо нет. Исключение — Юрий Подоляка (193 тыс.) и Александр Коц.

4.3. Эксклюзивного контента нет

У многих блогеров каналы в МАХ — это просто копия Telegram, и обновляются они нерегулярно:

• Клава Кока: последний пост в Telegram — 13 августа, в МАХ — 30 июля
• Сергей Минаев: в МАХ — 7 постов за неделю, в Telegram — 21

Корреспонденты «Медузы» не нашли в МАХ ни одного крупного канала, которого до этого не было в Telegram.

4.4. Боты не работают

Список из 36 ботов для МАХ — это в основном мёртвые души:

• MasterBot (для создания ботов): отвечает «Сейчас создать бота не получится. Попробуйте позже»
• Боты с играми (например, «Змейка»): выдают ошибку 404
• Ozon Travel: перенаправляет на сайт Ozon (никакой уникальной функциональности)
• MAX для бизнеса: единственная команда — /test, которая выводит приветствие

Работает только GigaChat — через него можно расшифровывать голосовые сообщения.

5. Сравнение с конкурентами: А что там у других?

---------------- Telegram - Max

Шифрование Есть Нет

звоноков

Шифрование Есть Нет

переписок

Exploit-ы Нет Есть

5.1. Позиция государства: поддержка принудительная

Блокировка звонков через WhatsApp и Telegram многими воспринимается как подготовка к полному переходу на МАХ.

От госучреждений по всей России требуют перейти на отечественное приложение. Это касается:

• Домовых и районных чатов
• Школьных чатов
• Чатов местных властей
• Рабочих коммуникаций

Результат: аккаунты создаются, но реальной активности почти нет.

6. Вердикт: Сырой, небезопасный и никому не нужный

Технические выводы:

1. Безопасность под вопросом.
   213 уязвимостей, включая IDOR, доступ к удалённым файлам и
   потенциальную возможность читать чужие сообщения. Это не мессенджер, а
   решето.
2. Стабильность хромает. Массовые сбои 30 марта и 1 апреля показали, что инфраструктура не готова к нагрузкам.
3. Функционал минимален. Боты не работают, каналы нельзя создавать, игр нет, ссылки на посты нельзя скопировать.
4. Политика оттолкнёт пользователей.
   Потолок в 10 тысяч подписчиков для создания канала — это дискриминация
   малого и среднего бизнеса, творческих проектов и региональных сообществ.
5. Статистика врёт.
   Завышение подписчиков в сотни раз — это не просто нечестно, это
   свидетельствует либо о некомпетентности, либо о намеренном введении в
   заблуждение.

Что говорит сам МАХ?

В пресс-службе МАХ заявляют, что попытки представить сам факт обнаружения уязвимостей как «сенсацию» и признак незащищенности искажает смысл Bug Bounty, потому что цель таких программ — как раз в контролируемом поиске и оперативном устранении потенциальных рисков.

«Все данные пользователей Max надежно защищены» — пресс-служба мессенджера.

Проблема
в том, что 213 уязвимостей (включая доступ к чужим данным) — это не
«сенсация», это диагноз. Программа Bug Bounty существует для поиска
единичных дыр, а не для вылавливания сотен. Это говорит о том, что код
писался в авральном режиме без соблюдения базовых принципов безопасной
разработки.

Итог:

МАХ
на текущий момент — это сырой, недоделанный и потенциально опасный
продукт. Он создавался не для пользователей, а для отчётности. Он не
выдерживает конкуренции с Telegram ни по функционалу, ни по
безопасности, ни по удобству.

Как выразился один из экспертов:

«MAX пока подходит для личного общения, но не заменяет профессиональные инструменты Telegram».

Проблема в том, что и для личного общения он подходит с натяжкой. При 213 уязвимостях… вы серьёзно?

Моё мнение:
Пока разработчики не перепишут всё с нуля с упором на безопасность и
функционал, а не на выполнение госзаказа, у МАХ нет будущего. Ну, кроме
как в качестве обязательного приложения для госслужащих. Которые его
тоже ненавидят, но молчат. Потому что за критику могут и по шапке
получить.

*При
создании статьи использованы материалы «Коммерсанта», «Медузы»,
«Аргументов Недели», «Хабра», «Пикабу», BFM-Новосибирск, «Комсомольской
правды» и других источников за период август 2025 — апрель 2026 года.*

Meta признана экстремистской организацией, её деятельность запрещена на территории России.