## MAX-мессенджер под микроскопом: скрытая деанонимизация, запись звука по команде и обход VPN — что нашли в коде
Технический анализ APK мессенджера MAX выявил ряд недокументированных функций, ставящих под вопрос заявления разработчиков о конфиденциальности пользователей. Исследователь, декомпилировавший приложение, обнаружил скрытый SDK деанонимизации, который отправляет реальный IP-адрес пользователя на сторонний домен даже при активном VPN-соединении. Факт обхода VPN-туннеля при передаче чувствительных данных свидетельствует о наличии механизма, целенаправленно раскрывающего личность пользователя независимо от защитных инструментов.

Среди наиболее тревожных находок — недокументированная возможность записи аудио со звонков по команде сервера. Дополнительно исследователь выявил отключённую проверку TLS-сертификатов в QUIC-канале медиа, серверный канал управления (C2) через WebSocket с командами выгрузки контактов и логов, а также передачу номера телефона по открытому протоколу HTTP. Система также включает аппаратный фингерпринтинг через Widevine DRM, принудительные обновления в обход Google Play и трекинг адресной книги в реальном времени. Обнаружена уязвимость ZipSlip в загрузчике моделей и возможность управления NFC-payload из мини-приложений.

Все выявленные механизмы подтверждены ссылками на конкретные файлы и классы в исходном коде. Наличие скрытого C2-канала, возможности удалённой активации записи и систематического сбора данных в обход стандартных механизмов безопасности указывает на потенциальные риски для пользователей, рассчитывающих на конфиденциальность при использовании мессенджера.
---
- **Source**: Habr Legacy
- **Sector**: The Lab
- **Tags**: информационная безопасность, мессенджер MAX, деанонимизация, уязвимости, приватность
- **Credibility**: unverified
- **Published**: 2026-05-18 03:40:32
- **ID**: 84526
- **URL**: https://whisperx.ai/ru/intel/84526