Долгое время известно, что российский мессенджер Макс является ненадежным и даже опасным сервисом, который постоянно шпионит за своими пользователями. Однако ИТ-специалисты продолжают находить новые уязвимости и инструменты слежения в приложении. В середине мая пользователь сайта IT Habr поделился результатами собственного анализа Макса для Android. Он не только подтвердил ранее известную информацию, но также выявил до этого неизвестные функции приложения. Некоторые из них, такие как возможность отключить всю шифровку в разговоре мессенджера одной командой, являются довольно тревожными. Meduza объясняет, что еще стало известно о Максе и сколько людей сейчас пользуются этой платформой.

Пользователь сайта Habr, известный под ником zarazaexe, опубликовал пост 18 мая 2026 года, раскрывая ряд механизмов слежения и другие функции, враждебные к пользователям, встроенные в мессенджер Макс. Данные были получены методом обратной разработки – анализировались готовый APK-файл программы. Тот же пользователь ранее изучал Telega – сторонний и также опасный клиент Telegram.

Некоторая информация, которую нашел zarazaexe, уже была задокументирована исследователями в области кибербезопасности. Апрельское исследование фирмы RKS Global показало, что Макс собирает список всех установленных на устройстве приложений и отправляет его на серверы ВК, проверяет установленные VPN и может отслеживать адресную книгу пользователя – и это далеко не полный перечень трекеров.

Однако в посте также описываются функции, ранее не привлекавшие внимания. Одной из них является функция принудительного обновления, позволяющая разработчикам заменить всё в приложении на специальный экран с надписью “Вы не сможете писать или звонить в этой версии”, а также кнопкой обновления.

Эта кнопка, отмечает автор, ведет на download.max.ru, что означает, что обновление доставляется через APK-файл, размещенный на собственном сервере мессенджера, обойдя Google Play полностью. Такой механизм делает Макс устойчивым к блокировке. Если российские власти перейдут к ограничению доступа к услугам Google, или Google самостоятельно ограничит свои услуги в России или удалит приложение из магазина, разработчики смогут отправить обновленную версию всем пользователям, не используя внешнюю платформу.

Будет ли такой механизм действительно работать – это другой вопрос. Google планирует пересмотреть правила верификации приложений Android по всему миру в следующем году. Этот механизм уже нарушает несколько политик Google Play сразу, и согласно этим политикам Макс должен был бы быть классифицирован как вредоносное ПО.

Мессенджер также может иметь отключенную проверку валидности TLS-сессии с помощью команды сервера. Когда это происходит, проверка безопасности соединения прекращается работать, и клиент становится уязвимым к атакам MITM. Любой, контролирующий сетевое оборудование между пользователем и сервером – например, Роскомнадзор через систему фильтрации интернет-трафика России (ЦПУ), или даже мобильный оператор – может получить доступ к сообщениям, файлам и паролям.

Версия приложения, которую изучал zarazaexe, также содержала нейронную сеть для распознавания речи в реальном времени, способную идентифицировать диктора по голосу, распознавать конкретные ключевые слова и генерировать текстовые транскрипции разговоров. Записи хранились без шифрования.

Эти функции были удалены в версии приложения 26.16.0, выпущенной 14 мая, отмечает автор, но техническая возможность восстановить их в будущем обновлении Макс остается.

Пользователь на сайте Pikabu писал о нейросети уже в середине апреля 2026 года, что вынудило представителей мессенджера опровергнуть сообщения о слежке за пользователями в то время. Российское государственное информационное агентство ТАСС процитировало заявление представителей платформы: “Технология вызова в Макс использует машинное обучение для анализа условий связи и автоматической настройки параметров вызова. Так система определяет, когда качество опускается ниже критического уровня, чтобы сменить сервер или кодек.”

Пресс-центр Макса также опубликовал ответ на пост zarazaexe, назвав информацию “фейковой” и говоря, что “вся информация пользователей надежно защищена.” Автор поста отметил, что данный ответ полностью его не убедил.

Число пользователей Макс скоро превысит всю популяцию России. Оно уже превзошло Telegram по среднесуточной охвату.

ВК продолжает подчеркивать то, что она называет быстрым ростом пользователей для мессенджера. Пресс-центр компании сообщил в конце марта, что Макс зарегистрировал более 107 миллионов пользователей за первый год; к началу мая, ВК сообщила, что общее число превысило 120 миллионов.

Некоторые пресс-релизы уточняют, что эта цифра включает иностранных пользователей. Мессенджер стал доступен не только в России, но и в 39 странах – в основном в Азии, Африке, на Ближнем Востоке и в Латинской Америке.

На сколько эти цифры соответствуют действительности, трудно сказать. Но согласно агентству Mediascope, все больше россиян фактически пользуются этим сервисом. В апреле 2026 года Макс возглавил рейтинги среди всех мессенджеров в России по среднесуточному охвату впервые – 68 миллионов пользователей. Telegram опустился на второе место с 50 миллионами, хотя все еще лидирует по ежемесячному охвату: почти 88 миллионов, по сравнению с 85 миллионами для Макс.

Апрель стал первым полным месяцем с момента начала блокировки Telegram в России. Доступность мессенджера начала резко снижаться в середине марта и остается на уровне около 10 процентов с середины апреля. Это означает, что пользователи теперь могут получить доступ к Telegram только с помощью средств обхода блокировок, таких как VPN или прокси.

При таких условиях Макс медленно, но стабильно начинает вытеснять Telegram как основной мессенджер для значительной части пользователей. Как и с YouTube, услуга не полностью запрещена, но люди часто не могут использовать ее без VPN. Это привело к неизбежному снижению аудитории.

Meduza многократно писала, что люди чаще всего переходят на Макс не по собственной воле – не только из-за блокировки прямых конкурентов, но и из-за постоянного давления со стороны властей и работодателей, и потому что мессенджер постепенно проникает во все сферы повседневной жизни: от взаимодействия с государственными службами и образованием до финансов, здравоохранения и транспорта.

Макс обычно предлагается как “удобная” альтернатива существующим сервисам. В середине мая четыре крупнейших мобильных оператора – МТС, Билайн, МегаФон и Т2 – достигли соглашения с ВК о передаче аутентификационных и сервисных сообщений через мессенджер.

Возможность получать такие сообщения по SMS останется, но судя по заявлениям руководителей МТС и МегаФона, она постепенно станет резервным каналом – и сами операторы, вероятно, начнут продвигать Макс как основной канал для такой информации.

Там, где мессенджеру пока не удалось закрепиться, это в качестве основного источника новостей и развлечений для россиян. К концу апреля в Максе было, согласно официальной статистике, около 300 000 публичных каналов, по сравнению с более чем 1,6 миллиона в Telegram – и лишь пять из этих каналов Макс имеют более миллиона подписчиков, включая собственный канал анонсов мессенджера.

Публика для каналов Telegram медленно переходит на Макс, и, согласно слухам, с середины апреля администраторы популярных каналов начали возвращаться к заблокированному мессенджеру. Новые каналы снова создаются быстрее в Telegram, чем на сервисе ВК. Это замедлило развитие рекламного рынка, и в результате все больше и больше мошеннических схем продвигаются в Макс – так называемого “национального” мессенджера.

В Meduza мы придерживаемся прозрачной политики использования искусственного интеллекта в редакции новостей. История, которую вы читаете, была написана одним из наших настоящих живых журналистов и переведена с русского с использованием модели искусственного интеллекта, сконфигурированной в соответствии с нашими строгими редакционными стандартами. Этот процесс перевода является результатом обширных испытаний и доработок, чтобы обеспечить своевременное и точное освещение нашей англоязычной информации. Каждый черновик рассматривает редактор Meduza. Если вы обнаружите какие-либо ошибки в этом переводе, пожалуйста, свяжитесь с нами по адресу reports@meduza.io. Чтобы прочитать эксклюзивный контент Meduza на английском языке, подпишитесь на нашу рассылку.