MAX следит за пользователями VPN?

🎇Пользователь runetfreedom на ресурсе Habr провел реверс-инжиниринг клиента российского мессенджера MAX (версия 26.4.3) и подтвердил, что приложение содержит модуль для слежки за использованием VPN и доступностью заблокированных ресурсов.

В ходе анализа трафика через mitmproxy и декомпиляции APK было установлено следующее:
1️⃣Приложение использует бинарный протокол (заголовок 10 байт + данные в формате MessagePack), который сложно декодировать стандартными средствами. Трафик замешивается с основными данными мессенджера, что делает невозможной его блокировку без отключения самого MAX.
2️⃣При сворачивании или разворачивании приложения на серверы api.oneme.ru уходит пакет со следующим содержимым:
- Список целей (main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, mtalk.google.com и другие)
- Результаты проверки (доступность хостов по ICMP (ping) и TCP-порту 443 (HTTPS). Это позволяет определить, заблокирован ли ресурс на уровне ТСПУ)
- IP-адрес устройства (запросы к списку сервисов (как российских, так и зарубежных) для определения реального IP)
- Статус VPN (флаг, показывающий, активно ли VPN-подключение на устройстве (через нативный Android API))
- Данные оператора (PLMN-код (MCC + MNC), позволяющий определить страну и оператора связи)
3️⃣Модуль включается и отключается сервером удаленно. При логине или обновлении сессии приходит конфигурация с флагом host-reachability, что позволяет активировать слежку точечно — для конкретных аккаунтов или групп.

🔎Выводы из исследования
▶️Модуль был разработан намеренно, это не случайный аналитический SDK
▶️ Методология проверки (ping + TCP:443) напрямую указывает на цель — мониторинг эффективности блокировок
▶️ Смешивание шпионского трафика с основным делает невозможным его отсечение без отключения всего мессенджера
▶️Сбор IP через микс российских и зарубежных сервисов помогает выявлять пользователей, которые не заворачивают весь трафик в VPN
▶️Возможность дистанционного включения функции для отдельных пользователей превращает приложение в инструмент тотальной слежки

❗️Автор исследования рекомендует:
▶️Удалить приложение
▶️Если удалить невозможно — установить его в изолированное рабочее пространство (Samsung Knox, Второе пространство на Xiaomi, Shelter на чистых Android). Такие среды обычно не наследуют VPN основного профиля
▶️Заблокировать на файерволе сервисы определения IP, которые использует приложение
▶️Рассказать другим — даже если пользователю нечего скрывать, такие инструменты лишают доступа к части интернета и бытового комфорта

❗️Официальный ответ MAX
В пресс-службе MAX заявили Habr, что приложение не отправляет запросы на серверы WhatsApp* и Telegram. Разработчики опубликовали детальные пояснения:
1️⃣IP-адреса нужны только для звонков (технология WebRTC требует внешний IP для построения прямого P2P-маршрута «телефон-телефон». Это стандарт для всех сервисов с подобными звонками)
2️⃣Запросы к Apple и Google необходимы для проверки доставки push-уведомлений в сложных сетевых условиях и при ограничениях связи в регионах
3️⃣MAX не отправляет запросы на серверы WhatsApp* и Telegram

В компании подчеркнули: решения направлены исключительно на качество звонков и уведомлений. К персональным данным, VPN и другим сервисам они не имеют отношения.

✉️Официальные пояснения не объясняют факты, вскрытые реверс-инжинирингом:
▶️Зачем для звонков проверять gosuslugi.ru и другие сторонние сайты?
▶️Почему кроме TCP:443 проверяется ICMP (ping) — классический метод тестирования блокировок в обход ТСПУ?
▶️Зачем безобидную информацию передавать в закрытом бинарном протоколе, замешивая с основным трафиком?
▶️Почему модуль управляется удаленно через серверный флаг host-reachability, включаясь точечно для отдельных аккаунтов?

Ответ разработчиков не закрывает эти вопросы. Выводы каждый делает сам.

*Принадлежит Meta, признанной экстремистской и запрещенной в РФ

#MAX #news #VPN #Habr

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером