Исследователь разобрал APK мессенджера MAX и опубликовал на habr.com разбор того, что приложение делает за кадром. Картина выходит мрачная: модуль trace_flow собирает реальные IP в обход VPN, функция collect-debug-dump позволяет серверу тайно писать сырой звук с микрофона во время звонков и заливать его в аналитику, а MyTracker SDK от VK сливает на tracker-api.vk-analytics.ru полный список ваших неcистемных приложений с датами установки — каждый раз, когда хэш списка меняется.
Контекст важен. С 1 сентября 2025 MAX предустанавливается на все продаваемые в РФ телефоны, а домен max.ru — в белом списке ТСПУ. То есть мессенджер, в котором копаются исследователи, по факту получил статус инфраструктурного: его не выключишь как лишнее, его сложно заблокировать, и он стоит у миллионов людей из коробки. На этом фоне любые находки в коде перестают быть просто академическим интересом.
Что нашли в APK
- Запись микрофона в звонках — обфусцированная функция collect-debug-dump, заливает сырой звук в аналитику.
- Деанонимизация в обход VPN — модуль trace_flow собирает реальные IP-адреса.
- Детекция VPN — сервер может выкрутить уровень до 1, и чаты с мини-аппами просто не откроются, пока вы не отключите туннель.
- Трекинг адресной книги в реальном времени через ContentObserver с notifyForDescendants=true; серверу уходит размер книги и хэши номеров — даже тех, кто в MAX не зарегистрирован.
- Force Update в обход Google Play — сервер может заблокировать текущую версию и доставить APK со своего CDN.
- Управление NFC из мини-апп — любая встроенная мини-аппа может молча отправить свой payload на терминал.
- Удаление сообщений скрытым пушем — серверный запрос стирает запись из локальной базы без следа; тем же механизмом запрашиваются координаты.
- Mobile ID по открытому HTTP, отключение TLS-валидации, RCE через ZipSlip в DownloadService, аппаратный фингерпринт через Widevine DRM из TEE — его не сбросить даже Hard Reset.
Что с этим делать читателю. Во-первых, отделите панику от практики: пока это разбор кода, а не подтверждённое массовое применение всех функций. Во-вторых, если MAX уже стоит — отзовите у него разрешения на микрофон, контакты и геолокацию через системные настройки, это работает поверх любой логики приложения. В-третьих, если предустановленный мессенджер вас не устраивает как факт — в Android его обычно можно отключить, даже когда нельзя удалить. И в-четвёртых: само по себе наличие в коде функции «писать микрофон по команде сервера» — это уже разговор не про техдолг, а про то, как вообще такое прошло внутренний ревью.