На «Хабре» только что вышло расследование, от которого у нас волосы встали дыбом. Пользователь zarazaexe разобрал APK-файл мессенджера «Макс» и нашёл там не просто трекеры, а целый шпионский арсенал. Некоторые функции выглядят так, будто их проектировали для тотальной слежки, а не для удобства пользователей.
Принудительное обновление в обход Google Play
Первое, что бросается в глаза — механизм принудительного обновления. Если разработчикам нужно, они могут заблокировать приложение и вывести экран с сообщением: «Писать и звонить в этой версии не получится». И кнопка обновления ведёт не в магазин приложений, а на сервер самого мессенджера. Это значит, что обновление можно доставить любому пользователю напрямую, минуя проверки Google. С одной стороны, это защита от блокировок. С другой — идеальный канал для доставки любого кода, включая вредоносный.
Выключатель шифрования
Но самое пугающее — это серверная команда, которая отключает валидацию TLS-сессии. Проще говоря, кто-то на стороне сервера может одним кликом вырубить проверку безопасности соединения. После этого переписка, файлы и пароли становятся уязвимы для MITM-атаки. Доступ к ним может получить тот, кто контролирует сетевое оборудование между пользователем и сервером. Например, Роскомнадзор через ТСПУ или даже мобильный оператор. Это даже не дыра в безопасности, это специально оставленная калитка.
Нейросеть, которая слушает и распознаёт голоса
И вишенка на торте: в одной из версий приложения обнаружили нейросеть для распознавания речи в реальном времени. Она умела идентифицировать говорящего по голосу, выделять ключевые слова и создавать текстовые расшифровки разговоров. И все записи сохранялись без шифрования. Представители мессенджера, конечно, заявили, что это нужно для анализа качества связи и автоматической подстройки кодеков. Но зачем для этого идентифицировать личность говорящего, они не объяснили. В версии 26.16.0 этот функционал удалили, но техническая возможность вернуть его с любым обновлением осталась.
120 миллионов под колпаком
А теперь представьте масштаб. По данным Mediascope, в апреле 2026 года «Макс» впервые обогнал Telegram по среднесуточному охвату в России — 68 миллионов пользователей. Всего в мессенджере зарегистрировано больше 120 миллионов человек. И эта аудитория продолжает расти на фоне блокировки Telegram и постоянного давления властей. Операторы «большой четвёрки» уже договорились с VK об отправке сервисных сообщений через «Макс», а SMS постепенно становятся дублирующим каналом.
То есть людей методично загоняют в экосистему, где в любой момент могут включить прослушку, отключить шифрование или заставить установить новую версию с любым функционалом. Мы не знаем, работают ли эти инструменты прямо сейчас, но сам факт их наличия в коде говорит о том, что архитектура мессенджера изначально проектировалась с расчётом на тотальный контроль.
💬 Всех благодарим за внимание и поддержку нашего маленького канала ❤️. А вы уже перешли в «Макс» или пока держитесь? И что думаете про эти находки в коде — реальная угроза или раздутая паника? Делитесь мнением в комментариях.