В мессенджере MAX, который позиционирует себя как альтернативу Telegram и WhatsApp, обнаружены серьёзные уязвимости безопасности и скрытые функции, позволяющие манипулировать устройствами пользователей. Эксперт с платформы Хабр провёл детальный анализ кода приложения и выявил целый комплекс угроз, ставящих под сомнение приватность данных и даже физическую безопасность владельцев смартфонов.
Приложение активно собирает информацию о пользователях: оно передаёт на серверы список всех установленных приложений, отслеживает изменения в адресной книге в реальном времени и отправляет хеши номеров, включая тех абонентов, которые не зарегистрированы в мессенджере. Более того, MAX способен блокировать доступ к чатам и мини-приложениям через VPN, если получает соответствующую команду с сервера. Это означает, что пользователь может лишиться доступа к своему аккаунту без видимых причин, а восстановить его удастся только после отключения VPN.
Ещё одна тревожная функция — возможность скрытой записи звука во время звонков. Приложение записывает сырой аудиопоток с микрофона и отправляет его на аналитические серверы, причём делает это без явного согласия пользователя. Также в коде заложена возможность удаления сообщений через скрытые пуши, которые могут стирать данные из локальной базы устройства, не оставляя следов.
MAX использует обходные пути для установки обновлений: серверы могут принудительно отключить текущую версию приложения и заставить пользователя установить обновление с собственного CDN, минуя официальные магазины приложений. В коде уже прописана возможность установки APK в обход системы, что открывает дорогу для потенциальных атак с подменой приложений.
Особую опасность представляет управление NFC-чипом из мини-приложений. Любое внутреннее приложение может отправлять на терминал кастомные payload, например, имитировать банковскую карту или пропуск. Это создаёт риски для финансовых операций и безопасности пользователей, которые не подозревают о таких возможностях мессенджера.
Эксперт отмечает, что список обнаруженных угроз далеко не полный, а сам мессенджер позиционируется как инструмент для общения, но на деле превращается в платформу для тотального контроля над устройствами пользователей. Пользователям рекомендуется с осторожностью относиться к таким приложениям и оценивать риски перед установкой.
