Android-клиент мессенджера Max оказался в центре обсуждения сообщества информационной безопасности после того, как исследователи провели его реверс-инжиниринг и анализ сетевого трафика. В процессе были выявлены механизмы, которые определяют внешний IP-адрес пользователя, фиксируют использование VPN и проверяют доступность серверов Telegram и WhatsApp. Компания Max отрицает связь этих механизмов с отслеживанием активности пользователей и заявляет об их сугубо техническом назначении.
Анализ трафика Max: внешние IP-сервисы и запросы к Telegram и WhatsApp
Первыми на необычное сетевое поведение приложения обратили внимание участники специализированного форума NTC. При перехвате трафика официального APK-файла Max с помощью PCAPdroid и запуска в эмуляторе было замечено, что клиент регулярно обращается к сервисам определения внешнего IP-адреса. Среди них — зарубежные ресурсы api.ipify.org, checkip.amazonaws.com, ifconfig.me, а также ip.mail.ru.
В дампах трафика также были зафиксированы обращения к доменам main.telegram.org и mmg.whatsapp.net. Последний используется WhatsApp для загрузки мультимедийного контента и, по действующей информации, находится под блокировкой. Наличие таких запросов выглядит нетипичным для стороннего мессенджера и закономерно привлекло внимание экспертов по кибербезопасности.
Реверс-инжиниринг: модуль GET_HOST_REACHABILITY и отправка телеметрии
Более подробный технический разбор основан на перехвате и расшифровке трафика через mitmproxy в режиме WireGuard. Исследователь разобрал проприетарный бинарный протокол приложения, построенный на базе MessagePack, и реализовал аддон для дешифрования содержимого запросов.
В расшифрованных сообщениях был обнаружен специализированный event-тип GET_HOST_REACHABILITY. В рамках этого события клиент Max отправляет на сервер api.oneme.ru подробный отчет, который включает:
- внешний IP-адрес пользователя;
- тип подключения (Wi‑Fi или мобильная сеть);
- PLMN-код мобильного оператора (идентификатор сети);
- флаг активности VPN, определяемый через стандартный Android API NetworkCapabilities.TRANSPORT_VPN;
- результаты проверки доступности ряда хостов — среди них gosuslugi.ru, gstatic.com, main.telegram.org и mmg.whatsapp.net.
Для каждого хоста, по данным разбора, выполняются две проверки: ICMP ping и попытка TCP-подключения к порту 443. Такая схема позволяет оценить не только базовую сетевую доступность, но и наличие проблем на уровне HTTPS-соединений, в том числе связанных с точечными блокировками или фильтрацией трафика.
Жестко заданные хосты, удаленное включение и возможное определение VPN
Анализ кода с помощью JADX показал, что список проверяемых хостов и URL-сервисов для определения IP жестко зашит в отдельных классах приложения. Внешний IP-адрес запрашивается асинхронно из «перемешанного» набора зарубежных источников, а ответ вида 127.0.0.1 намеренно отбрасывается как нерелевантный.
По наблюдениям исследователя, модуль активируется при сворачивании и разворачивании приложения. Кроме того, он может быть включен или отключен удаленно с помощью серверного флага host-reachability, что теоретически дает возможность таргетированно активировать сбор телеметрии для отдельных аккаунтов. Передача данных встроена в проприетарный протокол мессенджера и смешивается с основным трафиком, что существенно осложняет попытки выборочной блокировки телеметрии без полного отключения доступа к Max.
Какие задачи может решать такая телеметрия
По оценке автора исследования, подобный механизм позволяет решать сразу несколько задач. Во‑первых, по расхождению результатов зарубежных IP-сервисов, а также по флагу активности VPN, можно косвенно определять факты использования VPN или частных VPN-серверов. Во‑вторых, сопоставление результатов ICMP и TCP-проверок помогает оценивать эффективность блокировок на оборудовании типа ТСПУ: ситуация, когда ping проходит, но TCP:443 недоступен, характерна для фильтрации прикладного трафика.
Наконец, регулярные проверки доступности популярных зарубежных сервисов связи (Telegram, WhatsApp) создают возможность собирать статистику доступности этих платформ с российских сетей, а при определенных условиях — и выявлять IP-адреса приватных VPN-узлов, через которые осуществляется обход блокировок.
Позиция Max: только для качества звонков и уведомлений?
После публикации технического разбора представители Max заявили, что используемые механизмы телеметрии предназначены исключительно для обеспечения корректной работы сервисов — в первую очередь голосовых и видеозвонков, а также push-уведомлений. По их словам, информация об IP-адресах нужна для настройки P2P-соединений по WebRTC, обращения к серверам Google и Apple — для проверки доставки уведомлений, а запросы на сервера Telegram и WhatsApp «не отправляются».
В официальном комментарии подчеркивается, что реализованные решения, по утверждению компании, «не имеют никакого отношения к персональным данным или пользованию другими сервисами, включая VPN». При этом в публичном поле пока нет детальных технических пояснений о том, какие именно элементы телеметрии хранятся, как долго и в каком виде они обрабатываются, а также какие организационные и технические меры применяются для их защиты.
Риски для приватности и практические рекомендации пользователям
Даже если собранные данные формально относятся к категории «служебной телеметрии», набор сведений, включающий внешние IP-адреса, флаг VPN, идентификатор мобильного оператора и доступность определенных сервисов, может использоваться для построения достаточно точного профиля сетевой активности пользователя. В условиях, когда мессенджеры становятся ключевым каналом коммуникации, прозрачность таких механизмов приобретает особое значение.
Пользователям, обеспокоенным конфиденциальностью, можно рекомендовать несколько базовых мер кибербезопасности:
- контролировать сетевую активность приложений с помощью локальных файрволов и системного мониторинга трафика;
- использовать VPN-сервисы, поддерживающие разделение туннеля по приложениям и минимизацию утечек DNS и IP;
- по возможности отдавать предпочтение мессенджерам с открытым исходным кодом, которые проходят независимый аудит безопасности;
- регулярно обновлять операционную систему и приложения, чтобы получать актуальные исправления уязвимостей.
История с анализом Android-клиента Max наглядно демонстрирует, насколько важно внимательное отношение к телеметрии в любых коммуникационных сервисах. Независимые технические проверки, открытое описание механизмов сбора и обработки данных и готовность разработчиков к диалогу с профессиональным сообществом — ключевые условия доверия. Пользователям же имеет смысл осознанно относиться к выбору мессенджеров и инструментов защиты трафика, сочетая удобство с реальной оценкой рисков для приватности и цифровой безопасности.
