Der Android-Messenger Max steht im Zentrum einer sicherheitstechnischen Debatte, seit Sicherheitsforscher den Client per Reverse Engineering und Traffic-Analyse untersucht haben. Im Fokus stehen Mechanismen, die den externen IP‑Adresse des Nutzers bestimmen, die Nutzung eines VPN erkennen und die Erreichbarkeit von Telegram- und WhatsApp-Servern testen. Der Anbieter bestreitet eine Überwachung der Nutzeraktivität und spricht von rein technischen Zwecken zur Qualitätssicherung.
Auffällige Netzwerk-Telemetrie: IP-Ermittlung und Anfragen zu Telegram und WhatsApp
Erste Hinweise auf ungewöhnliches Verhalten tauchten in einem spezialisierten Sicherheitsforum auf. Beim Mitschneiden des Datenverkehrs des offiziellen Max-APK mit Tools wie PCAPdroid zeigte sich, dass die App regelmäßig externe Dienste zur Bestimmung der öffentlichen IP-Adresse anfragt. Dazu gehören internationale Services wie api.ipify.org, checkip.amazonaws.com, ifconfig.me sowie russische Angebote wie ip.mail.ru und verschiedene Yandex-Dienste.
Parallel dazu registrierten Forscher Netzwerkzugriffe auf main.telegram.org und mmg.whatsapp.net. Letztere Domain dient WhatsApp zum Abruf von Medieninhalten und gilt in Russland Berichten zufolge als durch Roskomnadsor blockiert. Für einen Dritt-Messenger ist derartige Kommunikation mit Konkurrenzplattformen atypisch und weckt daher besonderes Interesse in der IT-Sicherheits-Community.
Reverse Engineering: GET_HOST_REACHABILITY und detaillierte Telemetrie
Ein tiefergehender technischer Bericht auf «Habr» nutzte mitmproxy im WireGuard-Modus, um den verschlüsselten Verkehr des Messengers zu entschlüsseln. Die Forscher analysierten ein proprietäres Binärprotokoll auf Basis von MessagePack und entwickelten ein Add-on zur Dekodierung der Nutzdaten. Solche proprietären Protokolle erschweren externe Audits, werden aber häufig zur Protokolloptimierung eingesetzt.
In den entschlüsselten Nachrichten tauchte ein spezieller Event-Typ GET_HOST_REACHABILITY auf. Bei diesem Ereignis sendet der Max-Client an den Server api.oneme.ru einen Bericht, der unter anderem folgende Daten umfasst: externe IP-Adresse, Verbindungstyp (WLAN oder Mobilfunk), PLMN-Code des Mobilfunkbetreibers, einen VPN-Flag auf Basis von Androids NetworkCapabilities.TRANSPORT_VPN sowie Erreichbarkeitsergebnisse für definierte Hosts wie gosuslugi.ru, gstatic.com, main.telegram.org und mmg.whatsapp.net.
Für jeden dieser Hosts werden demnach zwei Tests durchgeführt: ein ICMP-Ping und ein TCP-Verbindungsversuch auf Port 443. Diese Kombination erlaubt Rückschlüsse darauf, ob lediglich IP-Konnektivität besteht oder ob gezielt HTTPS-Verbindungen – etwa durch Zensursysteme oder DPI-basierte Filter – blockiert werden. Ähnliche Messverfahren kommen auch in Forschungsprojekten zur Netzneutralität und Zensurerkennung zum Einsatz.
Hart kodierte Ziele, Remote-Steuerung und potenzielle VPN-Erkennung
Die Analyse des Codes mit JADX ergab, dass die Liste der zu prüfenden Hosts sowie die IP-Ermittlungsdienste fest im Code verankert sind. Die Abfrage der externen IP erfolgt asynchron über eine durchmischte Menge internationaler Quellen, Antworten wie 127.0.0.1 werden explizit verworfen. Dies deutet auf eine gezielte Qualitätssicherung der Messdaten hin.
Beobachtungen zufolge wird das Modul beim Wechsel der App in den Hintergrund oder zurück in den Vordergrund aktiv. Zusätzlich lässt es sich serverseitig über ein Feature-Flag host-reachability ein- oder ausschalten. Dadurch besteht technisch die Möglichkeit, Telemetrie selektiv für bestimmte Konten oder Regionen zu aktivieren. Da die Telemetriedaten in das reguläre Protokoll eingebettet sind, ist eine gezielte Netzblockierung dieser Events ohne vollständige Sperre des Messengers schwierig.
VPN-Nutzung, Zensurkontrolle und Infrastruktur-Monitoring
Aus Sicht der Netzwerksicherheit ermöglicht diese Architektur mehrere Einsatzszenarien. Durch den Abgleich der Ergebnisse verschiedener IP-Dienste sowie des VPN-Flags lässt sich indirekt die Nutzung von VPNs oder privaten VPN-Servern erkennen. Abweichende IP-Räume zwischen internationalen Services können auf Umgehungsmechanismen schließen lassen. Gleichzeitig erlaubt der Vergleich von ICMP und TCP/443-Messungen Aussagen zur Effektivität von Sperrmaßnahmen durch Zensur- oder Filterinfrastruktur (z.B. wenn Ping funktioniert, HTTPS aber nicht).
Regelmäßige Erreichbarkeitstests für Telegram und WhatsApp schaffen zudem eine dezentral verteilte Messbasis, mit der sich die Verfügbarkeit dieser Dienste in verschiedenen Netzen statistisch bewerten lässt. Unter bestimmten Umständen ließen sich so auch IP-Adressen privater VPN-Endpunkte identifizieren, über die Nutzer Blockaden umgehen. Vergleichbare Messnetze werden von Forschungsinstitutionen eingesetzt; in einem kommerziellen Messenger ist diese Funktion jedoch erklärungsbedürftig.
Profilbildung, Datenschutz und regulatorische Anforderungen
Auch wenn der Anbieter von «technischer Telemetrie» spricht, kann die Kombination aus externer IP, VPN-Status, Mobilfunknetzkennung und Service-Erreichbarkeit ein fein aufgelöstes Profil der Netzaktivität liefern. Europäische Behörden wie der Europäische Datenschutzbeauftragte und nationale Stellen wie das BSI betonen seit Jahren das Prinzip der Datenminimierung: Es sollen nur diejenigen Daten erhoben werden, die für eine klar definierte Funktion zwingend notwendig sind. Ohne transparente Dokumentation von Zweck, Speicherdauer und Schutzmaßnahmen ist eine rechtliche und technische Bewertung schwierig.
Position des Anbieters und offene Transparenzfragen
Max erklärte in einer Stellungnahme, die Telemetrie diene ausschließlich der Sicherung der Dienstqualität – insbesondere bei Sprach- und Videoanrufen sowie Push-Benachrichtigungen. IP-Informationen seien notwendig für WebRTC-P2P-Verbindungen, Zugriffe auf Google- und Apple-Server dienten der Überprüfung der Zustellbarkeit von Pushs, und Anfragen an Telegram- oder WhatsApp-Server würden nicht gesendet.
Zugleich betont das Unternehmen, die Mechanismen hätten «nichts mit personenbezogenen Daten oder der Nutzung anderer Dienste einschließlich VPN» zu tun. Aus Sicht der IT-Sicherheit bleiben dennoch Kernfragen unbeantwortet: Welche Telemetriedaten werden exakt gespeichert? Wie lange? Wer hat Zugriff? Und welche technischen und organisatorischen Maßnahmen schützen diese Informationen gegen Missbrauch oder Behördenzugriffe? Internationale Best Practices – etwa von ENISA oder EFF – empfehlen hier detaillierte Transparenzberichte und unabhängige Sicherheits-Audits.
Nutzern, die Wert auf Privatsphäre und digitale Souveränität legen, ist zu raten, Messenger und andere Kommunikations-Apps bewusst zu wählen und ihre Netzwerkaktivität aktiv zu kontrollieren. Dazu gehören App-Firewalls und Traffic-Monitoring auf dem Gerät, der Einsatz seriöser VPN-Dienste mit Schutz gegen DNS- und IP-Leaks, die bevorzugte Nutzung Open-Source-Messenger mit nachprüfbarem Code sowie konsequente Updates von Betriebssystem und Apps. Die Diskussion um den Android-Client von Max zeigt exemplarisch, wie wichtig Transparenz bei Telemetrie geworden ist – und wie sehr informierte Entscheidungen der Anwender über ihre Werkzeuge zur Kernkompetenz moderner Cybersicherheit gehören.
