Мессенджер MAX и VPN: что нашли в коде и какие разрешения отключить

Российский мессенджер MAX обязателен для части сценариев — Госуслуги, банки, школьные чаты. Установить его придётся, выбора особенно нет. Открытым остаётся вопрос: что приложение делает с твоими данными и стоит ли держать его рядом с VPN, которым пользуешься для YouTube, ChatGPT или Telegram.

Ниже — разбор по фактам: что нашли в коде MAX независимые исследователи, что говорит сам VK, как выглядит контекст по другим российским приложениям и какие разрешения стоит выключить руками. Без «удаляй срочно» и без «всё нормально, успокойтесь».

Все утверждения ниже даны со ссылкой на первичные источники: реверс-инжиниринг runetfreedom на Хабре, исследование RKS Global в перепечатке CNews, te-st.org, фактчек НИУ ВШЭ, технический аудит Anti-Malware, официальный ответ VK Хабру.

TL;DR

• В коде MAX (версия 26.4.3) обнаружен модуль HOST_REACHABILITY: собирает IP, статус VPN, тип сети; данные уходят на api.oneme.ru. Источник: реверс-инжиниринг runetfreedom на Хабре, осень 2025.
• Гипотеза автора реверс-инжиниринга: модуль может помогать находить IP VPN-серверов. Прямого доказательства этой цели в исследовании нет — это интерпретация, и VK её оспаривает.
• «Любое приложение видит факт VPN» — это правда, свойство платформы. Претензия к MAX не к самой проверке, а к её регулярной отправке на сервер с привязкой к user_id и пингам заблокированных сервисов.
• НИУ ВШЭ опровергла главные мифы: MAX не включает камеру/микрофон сам, не получает root-доступ, не читает трафик других приложений.
• Что выключить в Android: «Доступ к уведомлениям», «Поверх других приложений», «Геолокация всегда», ограничить разрешения на файлы.
• На iOS: настроить уведомления, геолокацию «При использовании», запретить фото/микрофон без необходимости.
• Если используете VPN: современные протоколы (VLESS + Reality) маскируют рукопожатие под HTTPS — внешним фильтрам сложнее распознать VPN-трафик.

Что нашли в коде MAX: модуль HOST_REACHABILITY

Анонимный исследователь под ником runetfreedom опубликовал на Хабре подробный реверс-инжиниринг APK-файла MAX (версия 26.4.3). В коде он обнаружил модуль из обфусцированных классов vb7, xb7, pb7, qb7, который собирает и отправляет на сервер пакет с названием HOST_REACHABILITY.

Что пакет содержит

По данным реверс-инжиниринга, модуль собирает четыре параметра:

• IP-адрес устройства — берётся одновременно из шести независимых источников (Yandex IPv4/IPv6, ifconfig.me, api.ipify.org, checkip.amazonaws.com, ip.mail.ru). Запросы идут параллельно с таймаутом 3 секунды, источники перемешиваются.
• Статус VPN — флаг vpn:1 или vpn:0. Запрашивается у системы Android: проходит ли трафик самого приложения через активный VPN-туннель.
• PLMN-код мобильного оператора (MCC + MNC). Это не просто «МТС» или «МегаФон» — это идентификатор оператора в международной нумерации.
• Тип сети — Wi-Fi, мобильная сеть, тип поколения.

Пакет уходит на эндпоинт api.oneme.ru каждый раз, когда пользователь сворачивает и разворачивает приложение. По данным runetfreedom, пакет шифруется через MessagePack + LZ4.

Что приложение пингует

Параллельно модуль выполняет ICMP-ping и TCP-connect на 443-й порт к шести хостам:

По описанию автора реверс-инжиниринга, телефон при этом используется как датчик доступности: хосты Telegram и WhatsApp в России официально или частично заблокированы, и если они отвечают на ping с конкретного устройства — это говорит о наличии способа обходить блокировку.

Как отключить — никак (на стороне пользователя)

Модуль управляется не локальной настройкой, а удалённым флагом host-reachability, который приходит в составе конфигурации при логине. Это PMS-флаг (Push Message Service): сервер MAX может включать или выключать модуль для разных групп пользователей независимо.

В пользовательских настройках MAX тумблера для выключения этого модуля нет.

В обновлении версии 26.7.1 VK действительно отключили запросы к WhatsApp и Telegram — но, по данным того же runetfreedom, код модуля в APK не удалили, он остался активным.

Актуальность. Исследование опубликовано осенью 2025 на версии MAX 26.4.3. К маю 2026 актуальная версия — 26.x.x. Конкретные имена обфусцированных классов могли измениться при компиляции новых версий, но архитектура модуля и эндпоинт api.oneme.ru, по данным повторных проверок NTC.party и Anti-Malware, сохранились.

«А разве не любое приложение видит активный VPN?»

Технически — да. И в Android, и в iOS любое приложение может узнать факт активного VPN-туннеля без специальных разрешений:

• Android: через ConnectivityManager.getNetworkCapabilities() со свойством TRANSPORT_VPN, либо через чтение списка сетевых интерфейсов (tun0, wg0).
• iOS: через POSIX-функцию getifaddrs() и поиск интерфейсов utun0, ipsec0. Никаких entitlement не требуется.

Это свойство платформы, а не уязвимость. Антифрод-системы банков, такси и маркетплейсов делают ровно эту проверку: смотрят локально, не пускают подозрительные сессии — и всё. К этой части технических вопросов нет.

Дискуссия про MAX — не об этом. Вопрос к модулю HOST_REACHABILITY возникает в сочетании трёх вещей:

1. Регулярная отправка факта VPN на сервер, а не локальная проверка. Каждый раз, когда пользователь сворачивает и разворачивает приложение.
2. Связка факта VPN с пингами заблокированных сервисов. Модуль не просто фиксирует «VPN есть», а проверяет, отвечают ли main.telegram.org и mmg.whatsapp.net через эту сессию.
3. Управление через серверный флаг. Модуль включается и выключается удалённо, по PMS-конфигу для разных групп пользователей.

Любой из этих пунктов сам по себе — норма для крупного приложения. Их сочетание — это уже не «увидел флаг для антифрода», а постоянная телеметрия способа обхода блокировок, привязанная к user_id. Именно это и описал runetfreedom; именно к этому сочетанию у исследователей претензии.

И ровно из-за этой структуры возражение «факт VPN видит любое приложение» технически верно, но к разбору HOST_REACHABILITY не относится.

Зачем это может быть нужно — гипотеза автора реверс-инжиниринга

⚠️ Это гипотеза, не вывод. runetfreedom описывает, как технически связаны элементы модуля и почему его конструкция может быть полезна для поиска IP VPN-серверов. Прямого доказательства, что собранные данные передаются регулятору или используются для блокировки VPN, в исследовании нет. VK официально оспаривает такое прочтение модуля (см. ниже раздел про позицию разработчика).

Логика гипотезы построена на двух наблюдениях:

1. Модуль определяет, что у пользователя работает VPN. Если Telegram «недоступен из России», но конкретный телефон видит ответ от main.telegram.org — это подтверждает наличие способа обхода блокировки.
2. MAX знает реальный исходящий IP пользователя (из шести источников) и одновременно знает уникальный идентификатор пользователя внутри приложения. На уровне сервера это даёт связку (user_id, exit_IP, ping_results).

Прямая цитата автора реверс-инжиниринга:

«Этот подход очень хорош для привязывания пользователей конкретных VPN-сервисов к конкретным людям. Вероятно, они хотят превратить миллионы устройств в сканеры успешности своих блокировок и поиска тех, кто их обходит».

Эту трактовку важно держать как мнение конкретного автора, а не как доказанный факт. Подкреплённой технической доказательной цепочки от модуля до «передачи данных РКН» в публичных источниках нет.

Семь способов слежки по версии te-st.org

Помимо HOST_REACHABILITY, отдельный анализ MAX делала команда te-st.org (сентябрь 2025). Они перечисляют семь технических механизмов, реализованных в приложении:

1. MyTracker склеивает идентификаторы. Один и тот же пользователь связан с аккаунтами в ВКонтакте, Одноклассниках, ICQ, Mail. На уровне рекламной аналитики это объединяется в единый цифровой портрет.
2. Поисковые запросы внутри приложения сохраняются с привязкой к личному ID.
3. Техническая возможность фоновой записи аудио и видео. Через разрешение foregroundServiceType приложение может удерживать процесс в фоне с доступом к микрофону и камере (если они разрешены).
4. Постоянная геолокация с возможностью удалённого «пинга». Через ACCESS_FINE_LOCATION сервер может в любой момент запросить актуальную позицию.
5. Сканирование файлов восьми типов (READ_MEDIA + STORAGE) — фото, документы, видео, аудио и т. д.
6. Перехват черновиков: контент сохраняется до нажатия «Отправить».
7. Логирование запросов к ИИ-ассистенту + фильтр «неудобных» тем.

Каждый из этих пунктов — это техническая возможность, разрешённая в манифесте приложения. Используется ли возможность по факту — уже вопрос реализации; разрешение ≠ активная слежка.

Контекст: MAX — не самый агрессивный из российских приложений

В апреле 2026 г. организация RKS Global опубликовала исследование 30 российских Android-приложений по 68 параметрам слежки (перепечатка — CNews).

Лидеры рейтинга:

Дополнительные факты из того же исследования:

• 22 из 30 приложений активно ищут на устройстве признаки VPN.
• 11 приложений анализируют каждое касание экрана (T-банк, Альфа-банк, 2ГИС, Rutube).
• Авито сканирует 200+ сторонних приложений, установленных на телефоне.
• 4 приложения проверяют наличие Frida (популярный инструмент динамического анализа). Это, скорее, антифрод против jailbreak/root, чем «слежка», но в общем контексте показывает, насколько глубоко приложения копаются в окружении устройства.

MAX по этому рейтингу попадает в среднюю группу. Это не значит, что в нём нет проблем; это значит, что аналогичные или более агрессивные паттерны давно стали нормой для крупных российских мобильных приложений.

MAX vs альтернативные мессенджеры

Сравнение по основным критериям. Оценка «сбора данных» — упрощённая интегральная по разрешениям и тому, что задокументировано в публичных аудитах.

Замены MAX для Госуслуг, банков и государственных сервисов нет — это закрытая экосистема. Для личной переписки выбор остаётся за пользователем; полный отказ от MAX не выручит, если требуется верификация через него.

Что говорят разработчики и фактчекеры

Официальная позиция VK

6 марта 2026 пресс-служба VK дала официальный ответ Хабру на исследование runetfreedom. Главные тезисы:

• «MAX не отправляет запросы на серверы WhatsApp и Telegram и не отслеживает использование VPN».
• «IP-адрес используется исключительно для корректной работы звонков».
• В обновлении 26.7.1 запросы к WhatsApp и Telegram отключены.
• У VK действует Bug Bounty с премией до 5 млн ₽ за критические уязвимости — формальный механизм публичной проверки безопасности.

Cloudflare-инцидент

30 апреля 2026 Cloudflare пометил сайт MAX как «вредоносное ПО». Метку сняли в течение суток. VK заявил, что речь шла об ошибке интерпретации заголовков аналитики на max.ru, а не о реальном malware.

Один из крупнейших CDN-провайдеров в мире на сутки счёл сайт небезопасным; затем признал ошибку и снял метку. Дальнейших действий не последовало.

Фактчек НИУ ВШЭ — что MAX точно НЕ делает

Параллельно исследовательская группа НИУ ВШЭ опубликовала фактчек распространённых мифов про MAX. Опровергнуты три ключевых:

• ❌ MAX не включает камеру и микрофон без разрешения. Активное использование требует системного запроса разрешения, как в любом приложении.
• ❌ MAX не получает root-доступ сам. Никаких эксплойтов для повышения привилегий в проанализированных версиях не обнаружено.
• ❌ MAX не читает сетевой трафик других приложений. У приложения нет системного разрешения уровня VPN-сервиса (BIND_VPN_SERVICE), которое позволило бы перехватывать чужой трафик. Это точечно: даже флаг VPN, который MAX может получить через стандартное API, относится только к собственному соединению приложения, а не к трафику банка или мессенджера.

По объёму запрашиваемых разрешений Android, по выводу ВШЭ, MAX почти равен Telegram — основная разница в разрешении на захват экрана.

Как соотнести стороны

Реверс-инжиниринг runetfreedom находит конкретный модуль и описывает его поведение технически, с конкретикой кода. Это сильное свидетельство: класс существует, эндпоинт существует, поведение воспроизводимо.

Гипотеза о цели модуля (поиск VPN-серверов) — интерпретация, основанная на технической логике. VK эту трактовку оспаривает.

ВШЭ-фактчек снимает с MAX три самых громких обвинения, но не отменяет факт существования модуля HOST_REACHABILITY и не отрицает спорные практики работы с метаданными.

Итоговая картина: MAX собирает технические метаданные, которые runetfreedom задокументировал; гипотеза о цели сбора не доказана и оспаривается VK; основные «страшилки» (камера, root, чужой трафик) — опровергнуты НИУ ВШЭ. Реальное положение дел — между «полное опровержение» и «полная слежка», ближе к умеренному сбору метаданных по сравнению с лидерами рейтинга RKS Global.

Что делать на стороне пользователя: разрешения и настройки

Если MAX установлен и нужен (Госуслуги, школьные чаты, рабочая переписка), можно сократить периметр данных, который приложение реально получает. Все настройки — стандартные, не требуют root и работают на любой версии Android и iOS.

Android

Шаг 1. Открыть разрешения приложения. Настройки → Приложения → MAX → Разрешения.

Шаг 2. Доступ к уведомлениям — выключить. Это самое уязвимое разрешение: через него любое приложение видит push-уведомления от банков, мессенджеров, доставки, включая суммы переводов и SMS-коды. Найти можно через Настройки → Приложения → MAX → Уведомления → «Доступ к уведомлениям» или через Специальные возможности → найти MAX → выключить.

Шаг 3. Захват экрана и оверлеи. «Поверх других приложений» (System Alert Window) и «Запись экрана» — критичные разрешения. С ними приложение может рисовать поверх других приложений (теоретически — фишинговые формы) и снимать видео с экрана при определённых условиях. Настройки → Приложения → MAX → Дополнительные разрешения → «Поверх других приложений» — выключить.

Шаг 4. Геолокация — только во время использования. «Геолокация всегда» позволяет узнавать позицию даже когда приложение свернуто. Для мессенджера этот режим избыточен. Настройки → Приложения → MAX → Разрешения → Местоположение → «Только во время использования».

Шаг 5. Доступ к файлам. В разрешениях ограничить доступ к фото и медиафайлам — выбрать «Только избранные» вместо «Все файлы».

iOS

iOS устроен иначе, и часть разрешений Android здесь отсутствует на уровне ОС. Что есть:

Уведомления. Настройки → Уведомления → MAX → проверить «Разрешать уведомления» и тип. Доступа к уведомлениям других приложений на iOS у MAX по умолчанию нет — система не даёт такого разрешения сторонним приложениям.

Геолокация. Настройки → Конфиденциальность и безопасность → Службы геолокации → MAX → выбрать «При использовании», не «Всегда».

Микрофон, камера, фото. Настройки → Конфиденциальность и безопасность → Микрофон / Камера / Фото → найти MAX → отключить, если не используете звонки и отправку медиа.

Локальная сеть. В iOS 14+ есть отдельное разрешение «Локальная сеть» — для большинства мессенджеров оно избыточно. Настройки → Конфиденциальность и безопасность → Локальная сеть → MAX → выключить.

«Поверх других приложений», «Захват экрана» — на iOS таких разрешений нет: это ограничение архитектуры, а не настройка пользователя.

Шаг 6. Изолировать MAX по сценариям

MAX — не замена основному мессенджеру. Используйте его только там, где он реально нужен:

• Получение звонков и кодов от Госуслуг.
• Обязательные чаты (рабочие, школьные, государственные сервисы).

Личную переписку, фото и переводы оставьте в привычных мессенджерах. Это базовая гигиена, не «параноя».

Если используете VPN рядом с MAX — современные VPN-протоколы оставляют меньше следов для внешних фильтров. Об этом — следующий раздел.

VPN и MAX: что важно знать

MAX и VPN — две темы, которые пересекаются в одном узком месте: модуль HOST_REACHABILITY определяет наличие VPN на устройстве. Сами по себе VPN-протоколы блокируются Роскомнадзором независимо от MAX. Хронология блокировок и сравнение протоколов разобраны в рейтинге VPN 2026; здесь — только то, что относится к MAX.

Что значит «MAX знает про твой VPN»

Если допустить, что выводы runetfreedom верны, MAX может определять:

• Сам факт активного VPN на собственном соединении — через системный API Android. Это видит любое приложение для своего трафика; механизм встроен в платформу.
• Исходящий IP туннеля — через сравнение IP, который видит MAX, с пингами заблокированных сервисов.

Это не значит, что VPN перестанет работать. Это значит, что MAX видит факт его наличия. Что приложение делает с этим знанием — вопрос гипотезы и интерпретации, на который ни один публичный источник пока не дал однозначного ответа.

Что меняет тип VPN-протокола

Разные протоколы оставляют разный технический след:

• OpenVPN, WireGuard — характерные сигнатуры в первых пакетах рукопожатия. ТСПУ, антифрод-системы и приложения с проверкой VPN распознают их легко.
• VLESS + Reality — эмулирует TLS-handshake до целевого SNI (например, реального сайта). Для внешнего наблюдателя сессия выглядит как обычный HTTPS-трафик. Качество маскировки зависит от настройки сервера: правильно сконфигурированный Reality-сервер маскируется хорошо, плохо настроенный — оставляет аномалии в TLS-fingerprint.

В первой группе протоколов «факт VPN» вычисляется по типу первого пакета. Во второй группе — сложнее: для системного Android-уровня VPN-туннель остаётся VPN-туннелем (флаг vpn:1), но внешний наблюдатель — например, тот же ICMP-ping — видит обычное HTTPS-соединение.

Поэтому для пользователей, которым важно минимизировать видимый след VPN для внешних фильтров, протоколы класса VLESS + Reality предпочтительнее устаревших OpenVPN и WireGuard.

MeerGuard в этом контексте

MeerGuard — наш собственный VPN-сервис на протоколе VLESS + Reality. Это не «обычный VPN с приложением» в смысле NordVPN или ExpressVPN: трафик маскируется под HTTPS к легитимным доменам, ТСПУ-фильтры не находят характерных сигнатур, серверы переключаются автоматически при блокировке IP.

Что это не меняет:

• Системный флаг VPN на Android всё равно остаётся выставленным, пока туннель активен. Это нормально для любого пользовательского VPN.
• Если приложение специально проверяет наличие VPN через системные API — оно увидит, что VPN включён. Это свойство платформы, а не уязвимость конкретного протокола.

Что это меняет:

• Внешние наблюдатели — мобильный фильтр, антифрод-системы по IP — с большей вероятностью не отличат туннель от обычной HTTPS-сессии.
• Серверы в нескольких странах + автоматическое переключение делают блокировку конкретного IP менее болезненной.

Подробнее про конкретные сценарии — в материалах:

• Почему VPN не работает через 4G — а через Wi-Fi работает
• Возвращаем мобильный интернет за 2 минуты — белые списки
• Почему Сбер не открывается — ни с VPN, ни без

Установить MeerGuard можно через сайт или Telegram-бот. Российская карта работает напрямую через ЮKassa, отдельный аккаунт Apple ID не нужен.

Короткий FAQ

Стоит ли удалять MAX? Универсального ответа нет. Если он нужен для Госуслуг или работы — настройте разрешения по чек-листу выше и используйте по назначению.

Действительно ли MAX «шпионит за всеми»? Категорично — нет. По публичным исследованиям, MAX собирает технические метаданные (IP, статус VPN, тип сети) и логирует поведение внутри своего приложения. Это не «шпионаж за всем», но и не нулевой сбор данных.

Видит ли MAX мою переписку в Telegram? Нет. У приложения нет системного разрешения, которое позволило бы читать данные другого приложения. Это подтверждает фактчек НИУ ВШЭ.

Если включить VPN, MAX узнает про это? Да, MAX может определить, что у его собственного трафика стоит флаг VPN — это стандартное поведение Android API. MAX не может видеть, через какой именно VPN-сервис идёт трафик других приложений: для этого нужно отдельное системное разрешение, которого у мессенджера нет.

Какой VPN-протокол меньше «светится»? Современные протоколы класса VLESS + Reality маскируют рукопожатие под HTTPS — внешним фильтрам сложнее распознать VPN-сессию. Системный флаг наличия VPN при этом всё равно выставлен.

Источники

• Реверс-инжиниринг runetfreedom — Хабр, осень 2025
• Официальный ответ VK Хабру — 6 марта 2026
• «7 способов слежки MAX» — te-st.org, сентябрь 2025
• Исследование RKS Global — CNews, апрель 2026
• Фактчек НИУ ВШЭ
• Технический аудит — Anti-Malware
• Skillbox — MAX проверяет IP пользователей