Интро
Всем привет!
Первая моя статья про MAX стала очень популярной - более 220 тыс. просмотров, более 300 комментариев. Многие ссылались на неё в своих обзорах, а некоторые статьи хотя и не ссылались, были очевидными клонами. Всё это подтверждает, что тема "Национального мессенджера" интересна и интерес к ней пока не угасает.
В первой статье я пообещал вторую статью - про то, какие запросы и куда шлёт мобильное приложение MAX. Я конечно сильно затянул с её выпуском и многие из вас писали мне сообщения в формате "Когда уже???...", но на то были причины и честно, я бы её не выпускал совсем, чтобы вас не разочаровывать, но раз обещал....
Давайте разберёмся в причинах моего разочарования. Но сначала опять вводные, чтобы убрать у вас сомнения в моей непредвзятости:
Вводные:
Я вообще не имею никакого отношения к компаниям, создающих и развивающих мессенджер MAX;
Эта статья не является рекламой. Я вас ни к чему не призываю, не побуждаю и т. п. Эта статья — результат моего личного любопытства и попытка ответить на вопросы, на которые я не смог получить ответы в других источниках;
Ранее, до этого эксперимента, я MAX не устанавливал и не использовал;
Весь эксперимент я провожу на своём личном основном Android‑смартфоне которым пользуюсь постоянно на протяжении последних 2х лет — Samsung S22 Ultra, с Android 15 и One UI 7.0. MAX установил из RuStore 19 августа 2025 года. Версия MAX на тот момент 25.8.1 от 13 августа 2025 г. Текущая версия 25.11.0;
Я не являюсь экспертом по Android, не сильно хорошо знаю его архитектуру и не разбираюсь глубоко в принципах работы его стека безопасности, сетевого стека и т. п.
Инструмент для анализа
Проводить наблюдения я решил с помощью программы AdGuard, которая работает как proxy и пропускает через себя весь трафик устройства, блокируя рекламу и запросы к различным трекерам и т.п. Удобно то, что потом в приложении можно наглядно смотреть статистику по конкретному приложению - куда и когда оно стучалось и какие запросы шли. Версия AdGuard, которую я использую - это последняя версия 4.11.63 (за время наблюдений вышло одно обновление с версии 4.10.65.). Сразу скажу, что я в приложении выставил максимальные настройки блокировки и даже установил предлагаемый HTTPS-сертификат, чтобы иметь возможность фильтровать зашифрованный трафик.
Проводил я исследование этапами. Придумал их специально, чтобы покрыть наибольшее количество кейсов.
Результаты
Первые 24 часа - установил приложение и не запускал его
Да, именно с такого кейса я решил начать. Что будет, если просто скачать приложение и его не запускать? Поначалу всё было пусто. После перезагрузки телефона появились первые сетевые запросы. Один запрос к Google Firebase, второй - какой-то внутренний запрос.
Размер запросов говорит о том, что ничего большого (ни мои контакты, ни мои фото и т.п.) "слито" в этом кейсе не было. Спустя 24 часа, после установки приложения, ничего нового не появилось.
Вторые сутки - Запустил приложение, но не прошёл регистрацию
Пришло время запустить, но это мало на что повлияло:
Надо отдельно отметить, что я опять честно ждал 24 часа. Ждал и надеялся, что приложение начнёт какую-то сетевую активность, но нет, ничего не происходило.
Третьи сутки - Прошёл регистрацию, но не пользовался основным функционалом (чаты и звонки)
Регистрация увеличила трафик. Я дал приложению доступ к контактам, доступ к камере и микрофону, но опять же, ничего подозрительного я не увидел. Более того, ни одного трекера AdGuard у MAX также не обнаружил.
С этого момента я стал ждать и надеяться хоть на какую-то аномалию, хоть что-то, что как-то бы выделилось из общей унылой картины. Но нет, ничего...
Более 30 дней после установки и использования приложения
Я совершил все виды звонков, писал в чаты, подключил Сферум и всё, что я добился - на скрине выше. Я поэтому и не выпускал эту статью долго, потому что скучно. Для сравнения, вот пример того, что постоянно делает WhatsApp:
Согласитесь, куда более подозрительно выглядит его сетевая активность.
Итого
Я не увидел ничего аномального в сетевом трафике MAX, хотя, как и многие из вас, я ожидал чего-то необычного. Вот так выглядит мой ТОП приложений по запросам за 30 дней:
Даже телега интереснее для анализа, да что телега - даже МЭШ подозрительнее, чем MAX по сетевым запросам. В общем - поэтому я разочарован, не такого я ожидал. Но как говорится, факты есть факты.
Поставьте мне лайк хотя-бы за старание и напишите комменты - а что вы думаете по этому поводу? Ну и приходите ко мне в телеграм!
Комментарии (0)
Kenya-West
21.09.2025 19:41Есть ли вариант приведения более подробных данных о запросах (тип, тело, ответ, тело ответа), желательно с полным дампом, используя настоящий сниффер, а не казуальные приложения?
Spyman
21.09.2025 19:41Это может быть от "нетривиально" в случае если приложение использует системное хранилище сертификатов (с рутом можно подменить), до "нужно много часов пердолинга" - в случае если приложение использует свой сертификат а его проверку хотя бы на уровне сверки хешей делает из кода. А max-у разумно было бы как раз не полагаться на хранилище ключей по понятным причинам.
Короче при указанных автором вводных - кажется что пустая трата времени. Если бы он трафик в холостую мегабайтами гонял - было бы интересно что там, а так - 99% что ничего интересного.
mixsture
21.09.2025 19:41Думаю, что хоть как-то жизнеспособным является подход матрикс. Где клиент отделен от сети с четко описанным протоколом взаимодействия.
Клиент при этом можно краааайне редко обновлять. Тогда в нем можно порыться, провести аудит и ровно этой версией пользоваться.
А вот подход, когда мессенджер может сам себя обновлять, когда обновления выходят часто, а предыдущие версии быстро устаревают и на них невозможно продолжать, даже при открытых исходниках - он весь основывается исключительно на доверии разработчику, с чем внутри РФ всегда будут неразрешимые проблемы.
mesvobodnye
21.09.2025 19:41Для всех подозрительных (кому есть что скрывать) есть методы дедушки Ленина, называемые конспирация. Для гиков может и интересно поковыряться в коде, остальным - плевать. Расскажите моей тёще или маме про сертификаты, шифрование, каналы связи или сервера - увидите непонимание в глазах и встречный вопрос - "Фоточки-то я могу отправить?"
edo1h
21.09.2025 19:41ну девушки как раз бывают неприятно удивлены тем, что фоточки оказались доступны не только тем, кому они были изначально отправлены
i360u
21.09.2025 19:41А какая разница, что и куда он отправляет сейчас, если это поведение может измениться в любой момент, после очередного обновления или просто по любому скрытому триггеру? Все понимают, КЕМ и ЗАЧЕМ этот мессенджер был создан, и, мне кажется, этого достаточно. Мне кажется, единственный надежный способ обезопасить себя от возможных проблем, если таковые вам кажутся реально возможными, это - авиасейлз.
Sazonov
Есть опция сквозного шифрования? Исходники хотя бы клиента открыты?
Имхо, если хоть на один из этих вопросов ответ «нет», то ничего гарантировать нельзя. И в любой момент по запросу от сервера может быть пупупу.
Kenya-West
E2E в сквозном виде тоже ничего не гарантирует. Держу в курсе.
В конце концов, недоверенный разработчик (в случае с MAX - априори) может слить всё, что происходит до E2E.
Chumikov Автор
Max есть в программе bug bounty. Других мессенджеров вроде как нет. Код закрыт у всех. И я не понимаю, как шифрование спасает от пупупу...
VADemon
WhatsApp есть в bug bounty программе материнской компании: bugbounty.****.com
FreeNickname
У Telegram открыт код клиента.
IlyaBorisov
1) У Telegram bugbounty программа действует с 2014 года (https://core.telegram.org/bug-bounty)
2) Код клиентских приложения открыт (https://telegram.org/apps#source-code) и доступен на github.
И п.1 и п.2 находятся с помощью любого поисковика за пару минут.
funca
Если вы не доверяете клиенту, то сквозное шифрование ни чем не поможет. Ведь в клиенте сообщения отображаются незашифрованными. Значит при определённых обстоятельствах вся переписка может быть слита клиентом в открытом виде.
Если вы не доверяете разработчику, то и открытые исходники ни чего не гарантируют. Код может быть модифицирован на этапе сборки или пропатчен в рантайме по команде с сервера.
Spyman
Открытые исходники гарантируют многое - можно собрать самому, а патчинг в рантайме можно увидеть (в коде) и как минимум очень сильно заподозрить неладное. (Гугл кстати вообще такое публиковать запрещает по правилам, но зачастую всем поднять).
Сравнить собранную руками и разработчиками версию тоже кстати можно - чтобы определить что они что-то мутят.
milkground
Ну вот есть у одного мутноватого мессенджера исходники клиента и шифрование. Вы проверили весь код? Вы каждый раз собираете мессенджер из тех исходников, которые проверили? Каждый раз включаете шифрование, которое по какой-то интересной причине не только спрятано, но и по умолчанию отключено? Знаете, что происходит на сервере? Допустим. А обычный пользователь?
Spyman
Исходники телеги как минимум смотрю периодически (на предмет заимствования идей, но все же). Есть люди которые их изучают (хотя бы те, кто делают форки клиента со своими функциями). Если бы там что-то нашлось (или при сравнении обнаружилось бы что клиент в маркете отличается например от клиента из гита) - об этом бы трубили из каждого утюга, и это бы означало конец существования телеграмма скорее всего. Т.е. риски для компании очень высоки, а бонусы минимальны. Код Вацап какого нибудь - посмотреть никто не может - там может быть что угодно, но даже если это сольют - доказать что оно там будет невозможно - риски минимальны и компания может спокойно их игнорировать)
dom1n1k
Вы действительно не понимаете по какой "интересной причине" телега устроена так, как она устроена? Или просто паясничаете?
edo1h
сквозное шифрование означает, что мессенджер нельзя использовать с нескольких мест, что прямо-таки большой минус к удобству