Специалисты предупреждают: ни в коем случае не ставьте MAX на личный телефон!

Эксперты предостерегают: установка мессенджера MAX (претендующего на статус национального) на личный смартфон — это прямая угроза безопасности. Программа имеет критические уязвимости и фактически проводит «дистанционный обыск» данных пользователя. Поэтому единственный способ, решающий эту проблему, — завести отдельное устройство, где будет стоять только MAX и ничего более.

Скандал вокруг «национального мессенджера»

В последнее время MAX усиленно «сватают» всем россиянам как национальный безопасный мессенджер. Но вот способен ли он выполнять эту роль?



На данный момент у экспертов к MAX есть множество претензий, и многие из них имеют статус критических.

Во-первых, мессенджер преподносится исключительно как российский, однако есть информация, что MAX передает данные на зарубежные серверы. Кроме того, телеграм-канал Scamshot обнаружил в коде MAX библиотеку uCrop, разработанную украинской компанией Yalantis. Только представьте себе, программное обеспечение из абсолютно недружественной страны! Как говорится, здравствуйте, дополнительные риски утечек и бэкдоров.


— иронично комментирует автор канала.

Во-вторых, специалисты подчеркивают, что на данный момент MAX уязвим для так называемых MITM-атак. Если говорить простым языком: через новый национальный мессенджер злоумышленники могут перехватывать переписку, получая доступ к личным данным и документам (паспорта, медполисы), привязанным через ЕСИА.

В-третьих, разработчик MAX — ООО «Коммуникационная платформа» — вызывает очень серьезные вопросы. Согласно данным телеграм-канала «Об ЭП и УЦ», это компания всего из двух человек. У них отсутствует лицензия ФСБ на работу с криптографическими средствами.

Также компания не имеет лицензии ФСТЭК на создание средств защиты информации. Таким образом, можно констатировать, что MAX вообще не соответствует заявленному уровню «высокой защищенности».

«Дистанционный обыск»: что собирает MAX?

Приложение запрашивает и использует экстремально широкие права доступа, превращая установку в согласие на тотальный сбор информации.

1. Геолокация, история звонков, контакты.
2. Данные банковских счетов и криптокошельков (особенно при интеграции с СБП).
3. Последние обновления дали MAX возможность постоянно мониторить и считывать всё, что пользователь копирует (пароли, реквизиты, конфиденциальные тексты). Короче, полный доступ к буферу обмена.
4. Список всех установленных приложений (особенно при установке через RuStore). Это позволяет анализировать поведение, интересы и уязвимости других программ на устройстве.
5. Также MAX хочет знать все, что вы делаете в интернете.



Реклама в СМИ, социальных сетях и интернете подчеркивает особую фишку MAX — его глубокую интеграцию с Госуслугами (ЕСИА) и Усиленной Квалифицированной Электронной Подписью (УКЭП). Типа очень удобно.

Конечно, удобно, особенно для киберпреступников. Они всячески поддерживают появление MAX, ведь его взлом дает злоумышленникам контроль над Госуслугами. Мошенники смогут подписывать документы или совершать платежи от имени своих жертв.

А с 1 сентября 2025 года MAX должен быть предустановлен на все новые смартфоны, официально продаваемые в России. Удалить его стандартными средствами будет невозможно. Для этого потребуется ПК, специализированное ПО и особые знания.

Рекомендации экспертов: защита от MAX

Если нет возможности отказаться от данного мессенджера, то специалисты настоятельно рекомендуют использовать для этого приложения отдельный смартфон.



При этом данное устройство должно быть чистым. То есть там не должны стоять банковские приложения, там не должно быть личной переписки через другие мессенджеры. Также на таком смартфоне не стоит хранить важные фото и документы и устанавливать там электронные кошельки.

Смартфон для MAX должен быть минимально функциональным. Только сам мессенджер, номер телефона для регистрации и, возможно, малый набор необходимых госсервисов. И больше ничего!

Эксперты рекомендуют регулярно сбрасывать такой смартфон до заводских настроек. Такие меры позволят удалить накопившиеся следы активности.

Если отдельное устройство невозможно или вы приобрели смартфон с установленным MAX, то необходимо установить максимальные ограничения. Через настройки ОС отключить MAX доступ к микрофону, камере, геолокации, контактам, буферу обмена, истории звонков, хранилищу.

Копировать конфиденциальные данные (пароли, реквизиты карт, пин-коды, важные тексты) не рекомендуется.

Следует избегать использовать MAX для входа в банки, биржи, кошельки. Если получиться, то минимизируйте привязку к Госуслугам через это приложение.

Кроме того, необходимо регулярно проверять привязанные сервисы (Госуслуги, банки, СБП) на предмет подозрительных операций.

Помните: рекомендации использовать отдельный смартфон для MAX — это уже не просто совет параноика, а обоснованная и необходимая мера безопасности в текущих условиях. До устранения фундаментальных недостатков, получения необходимых лицензий и доказательств реальной, а не декларативной безопасности, доверять MAX доступ к личному устройству и данным крайне опасно.

Статья написана на основе открытых источников: оценки экспертов, Anti-Malware, телеграм-каналы Scamshot, «Об ЭП и УЦ», DTF, Рамблер.