Исследователь провёл статический анализ APK‑файла государственного мессенджера «Макс» и выявил в коде функции, которые позволяют приложению получать избыточные данные и обходить стандартные механизмы безопасности Android.
Что обнаружили в коде
- Фоновый сбор и отправка полного списка установленных на смартфоне приложений на сторонние серверы.
- Поиск и проверка установленных VPN‑сервисов и их активности.
- Встроенный скрытый SDK деанонимизации, позволяющий вычислять реальные IP‑адреса пользователей в обход работающего VPN.
- Непрерывный мониторинг изменений в списке контактов, включая данные о людях, не зарегистрированных в мессенджере.
- Инструменты для тайной записи звука с микрофона и отправки аудиоаналитики на серверы.
- Техническая возможность удалять сообщения из локальной базы телефона через скрытые push‑запросы.
- Механизм загрузки и установки собственных обновлений в обход официального магазина приложений.
- Управление NFC‑чипом через внутренние мини‑приложения с передачей кастомных команд на терминалы.
Набор таких функций представляет серьёзную угрозу приватности и безопасности: они позволяют деанонимизировать пользователей, получать обширную информацию об их окружении и вмешиваться в локальные данные устройств.
Из открытого анализа кода не видно, в какой степени эти возможности активны на реальных устройствах. Для подтверждения фактов необходимы дополнительные проверки независимых экспертов и официальные комментарии разработчиков и контролирующих органов.
Иллюстрация приложения
