Что представляет собой агрессивно навязываемый властью мессенджер MAX

По сети гуляет статья в разных пересказах касательно того, что мессенджер Max чуть ли не ФСБшный honeypot, который ломает телефоны, на который устанавливается. 

С одной стороны меня подмывает расписать, почему авторы таких статей - мудаки на уровне Влажных Историй последних месяцев. 

С другой - набегут такие же как авторы этих статей мудаки рассказывать, как я отмазываю государство...

Проблема мессенджера Max не в кодовой базе (это обычная ВКшная помойка со всеми наследованными костылями и высадкой батарейки из-за трекинга бесполезной информации), а в том, что его будут насильно насаживать, пытаясь устранять конкуренцию с помощью РКН и иже с ними.

Мессенджер MAX от VK, позиционируемый как национальный российский мессенджер, столкнулся с рядом обвинений в наличии уязвимостей и проблем с безопасностью. 

Основные претензии, выявленные на основе анализа веб-источников и постов на платформе X, включают следующие:

Отсутствие или недостаточная реализация сквозного шифрования: MAX не использует сквозное шифрование (end-to-end encryption), что делает переписку уязвимой для перехвата. 

Это критично, так как современные мессенджеры, такие как WhatsApp и Signal, используют этот стандарт для защиты данных пользователей.

Уязвимость к атакам MITM (Man-in-the-Middle): Анализ показал, что приложение уязвимо к атакам "человек посередине", которые позволяют перехватывать переписку и получать доступ к личным данным.

Избыточные разрешения: MAX запрашивает доступ к данным, выходящим за рамки необходимого для работы мессенджера, включая содержимое буфера обмена, список установленных приложений и управление сетевыми настройками. Это вызывает подозрения в нарушении приватности.

Сбор и передача данных: Приложение собирает метаданные, информацию о запущенных процессах, контактах, фотографиях и других приложениях на устройстве, передавая их на серверы VK, а по некоторым данным — и на зарубежные серверы. 

Это противоречит заявленной цели обеспечения цифрового суверенитета.
Использование сторонних библиотек: MAX использует библиотеку uCrop от украинской компании Yalantis и Google Firebase, что вызывает вопросы о соответствии заявленной "национальной" безопасности. 

Также отмечается использование устаревших open-source компонентов, которые могут содержать неисправленные уязвимости.


Технические недочёты и баги: Пользователи сообщают о сбоях при авторизации, зависаниях приложения и отсутствии базовых функций, таких как поиск пользователей или каналы. 

Также обнаружены уязвимости, связанные с доступом к системным функциям через jar-файлы и недостаточной защитой конфиденциальных файлов (например, аналогов .env).

Фоновый режим и wake lock: MAX удерживает устройство в активном состоянии через wake lock, что нехарактерно для мессенджеров и может указывать на скрытую активность, включая слежку за пользователем.

Подозрения в шпионском поведении: 

Некоторые эксперты и пользователи на X утверждают, что поведение MAX схоже с вредоносным ПО, включая несанкционированный доступ к данным, проверку root-прав и загрузку исполняемого кода из неизвестных источников.

Отсутствие лицензий: 

У разработчика MAX, ООО "Коммуникационная платформа", отсутствуют лицензии ФСБ и ФСТЭК на работу с криптографическими средствами и средствами защиты информации, что ставит под сомнение безопасность приложения.

Реакция VK: 

В ответ на критику VK запустила программу Bug Bounty, предлагая до 5 миллионов рублей за найденные уязвимости в мобильной, веб- и десктопной версиях MAX. 

Программа действует на платформах Standoff365, BI.ZONE Bug Bounty и BugBounty.ru, с акцентом на защиту пользовательских данных.

Контекст и критика: MAX позиционируется как аналог WeChat с интеграцией госуслуг, платежей и мини-приложений, но критики считают, что приложение является переработанной версией мессенджера TamTam от Mail.ru, унаследовав его баги и проблемы. 

Сомнения вызывает и концепция универсального мессенджера, привязанного к государственным сервисам, что может привести к монополизации и ограничению альтернативных платформ.

Вывод: 

Уязвимости и проблемы конфиденциальности MAX вызывают серьёзные вопросы о его безопасности, особенно на фоне заявлений о "национальном мессенджере". 

Пользователям рекомендуется проявлять осторожность, а разработчикам — сосредоточиться на устранении уязвимостей, внедрении сквозного шифрования и повышении прозрачности работы приложения.

Если вам нужна дополнительная информация или анализ конкретных аспектов, дайте знать!