В мессенджере Max нашли слежку за адресной книгой и скрытую запись звука

В государственном мессенджере Max обнаружили функции тотальной слежки за пользователями. Программист под ником zarazaex полностью разобрал APK-файл приложения и выложил результаты исследования на Habr.

Выяснилось, что Max собирает список контактов и установленных программ, может делать скриншоты переписок, вести скрытую запись звука, создавать фейковые чаты и стирать сообщения прямо с телефона без следа.

Кроме того, мессенджер умеет определять реальный IP-адрес при включенном VPN и использует встроенный идентификатор устройства, который невозможно сбросить даже после удаления приложения или возвращения телефона к заводским настройкам.



Также утверждается, что Max отправляет скрытые команды и push-уведомления для сбора данных, в том числе с целью получения координат пользователя, незаметно записывает аудио во время звонков и затем заливает их на сервер, где они хранятся без end-to-end-шифрования. В мессенджере также нашли инструменты распознавания речи, определения ключевых слов и идентификации человека по голосу.

Кроме того, Max принудительно обновляет приложение и собирает всю телефонную книгу, а сервер может «по клику мышки» выкачать все логи и контакты.

Также Max способен выключать TLS‑валидацию — процесс проверки подлинности цифрового SSL/TLS-сертификата и самого сервера, к которому коннектится пользователь. Вкупе с другими инструментами это образует комплект «дай мне все, что лежит у тебя в памяти, и не проверяй сертификат того, кто это запрашивает», резюмируется в исследовании.

Ранее к выводу о том, что Мах является шпионской программой, пришли исследователи на GitHub.