Android‑клієнт месенджера Max опинився в центрі уваги спільноти з кібербезпеки після публікації результатів реверс‑інжинірингу та аналізу мережевого трафіку. Дослідники виявили в додатку механізми, які визначають зовнішню IP‑адресу користувача, фіксують факт використання VPN та перевіряють доступність серверів Telegram і WhatsApp. Розробники Max заперечують, що це пов’язано з відстеженням активності, і називають функціонал «суто технічним».
Аналіз трафіку Max: звернення до IP‑сервісів та доменів Telegram і WhatsApp
Незвичну поведінку мережевого трафіку месенджера Max спочатку зафіксували учасники профільного форуму. Під час перехоплення трафіку офіційного APK за допомогою PCAPdroid у емуляторі дослідники помітили, що клієнт регулярно звертається до зовнішніх сервісів визначення IP‑адреси. Серед них — закордонні ресурси api.ipify.org, checkip.amazonaws.com, ifconfig.me, а також платформи, зокрема ip.mail.ru та сервіси «Яндекса».
У дампах трафіку також були виявлені запити до доменів main.telegram.org та mmg.whatsapp.net. Останній використовується WhatsApp для завантаження мультимедійного контенту і відомий як ресурс, заблокований Роскомнадзором. Для стороннього месенджера така активність виглядає нетипово, тому закономірно привернула увагу спеціалістів з кібербезпеки, які займаються аналізом трафіку мобільних застосунків.
Реверс‑інжиніринг протоколу Max та подія GET_HOST_REACHABILITY
Більш глибокий технічний розбір, виконаний із використанням mitmproxy у режимі WireGuard, дозволив досліднику розшифрувати пропрієтарний бінарний протокол Max, побудований на базі MessagePack. Було створено спеціальний аддон, який дешифрує вміст запитів та подій телеметрії.
У розшифрованому трафіку виявлено окремий тип подій GET_HOST_REACHABILITY. У рамках цієї події клієнт Max надсилає на сервер api.oneme.ru детальний звіт, що містить:
- зовнішню IP‑адресу користувача;
- тип підключення (Wi‑Fi або мобільна мережа);
- PLMN‑код мобільного оператора (ідентифікатор мережі);
- ознаку активності VPN, визначену через Android‑API NetworkCapabilities.TRANSPORT_VPN;
- результати перевірки доступності низки хостів — серед них gosuslugi.ru, gstatic.com, main.telegram.org, mmg.whatsapp.net.
Для кожного хоста запускаються два тести: ICMP‑ping та спроба TCP‑з’єднання на порт 443 (стандартний порт HTTPS). Такий підхід дозволяє оцінити не лише базову мережеву досяжність, а й наявність селективних блокувань HTTPS‑трафіку, зокрема на рівні DPI‑обладнання та ТСПУ.
Зашиті в коді хости, віддалене ввімкнення та потенціал для виявлення VPN
Аналіз Android‑додатка Max у декомпіляторі JADX показав, що списки перевірюваних хостів і URL‑сервісів для визначення IP жорстко прописані в окремих класах. Зовнішня IP‑адреса запитується асинхронно з «перемішаного» набору закордонних джерел; відповіді на кшталт 127.0.0.1 свідомо відкидаються як технічно нерелевантні.
За спостереженнями дослідників, модуль GET_HOST_REACHABILITY активується при згортанні та розгортанні додатка, а також може вмикатися або вимикатися віддалено через серверний прапорець host-reachability. Це створює можливість цільового збирання телеметрії для окремих акаунтів. Передача даних відбувається в межах основного протоколу месенджера і не виділяється в окремі запити, що ускладнює спроби блокувати саме телеметрію без повного відключення доступу до сервісу.
З погляду кібербезпеки, така архітектура дозволяє не лише діагностувати якість з’єднання, а й непрямо виявляти використання VPN: розбіжності між відповідями закордонних IP‑сервісів, разом із системною ознакою TRANSPORT_VPN, дають змогу будувати досить точні евристики.
Для чого може використовуватися телеметрія месенджера Max
Оцінка блокувань та обходу фільтрації трафіку
Порівняння результатів ICMP‑ping та TCP‑перевірок на порт 443 допомагає виявляти ситуації, коли ping проходить, але HTTPS‑трафік блокується. Це типовий сценарій для систем селективної фільтрації, які обмежують доступ до сервісів на рівні прикладного протоколу, не розриваючи базову IP‑маршрутизацію. Регулярний моніторинг доступності Telegram та WhatsApp із мереж відкриває можливість збирання статистики блокувань і, за певних умов, кореляції з IP‑адресами приватних VPN‑вузлів.
Потенційне профілювання мережевої активності користувачів
Навіть якщо формально зібрані дані віднесені до «службової телеметрії», їхній склад — зовнішня IP‑адреса, VPN‑статус, PLMN‑код оператора, доступність ключових хостів — дозволяє будувати досить детальний профіль мережевої поведінки. У поєднанні з іншою технічною інформацією (модель пристрою, версія ОС, часові мітки) це підвищує цінність таких даних як з погляду діагностики, так і з погляду можливого нагляду.
Позиція розробників Max щодо збору телеметрії
Представники Max у коментарях заявили, що описані механізми телеметрії використовуються виключно для забезпечення якості сервісу — насамперед голосових і відеодзвінків, а також push‑сповіщень. За їхніми словами, інформація про IP‑адреси потрібна для налаштування P2P‑з’єднань по WebRTC, а перевірки доступності серверів Google та Apple — для контролю доставки push‑повідомлень. При цьому розробники наполягають, що «запити на сервери Telegram і WhatsApp не відправляються», попри те, що дослідники зафіксували відповідні домени в трафіку.
Офіційна позиція компанії підкреслює, що реалізовані рішення нібито «не пов’язані з персональними даними чи використанням інших сервісів, включно з VPN». Водночас публічно наразі відсутні детальні технічні описи того, які саме поля телеметрії зберігаються, у якому вигляді, як довго й за якими політиками вони обробляються. Без такої прозорості користувачам складно об’єктивно оцінити ризики для приватності.
Ризики для приватності та практичні рекомендації користувачам
За сучасними стандартами кібербезпеки мобільних додатків прозорість телеметрії є критично важливою. Дані про IP‑адреси, VPN‑активність та мережеві характеристики часто відносять до метаданих трафіку, які за відсутності шифрування вмісту повідомлень можуть слугувати джерелом не менш чутливої інформації, ніж сам контент.
Користувачам, які турбуються про конфіденційність у месенджерах, доцільно:
- використовувати локальні файрволи та монітори трафіку (наприклад, на базі VPN‑профілю) для контролю мережевої активності Android‑додатків;
- обирати VPN‑сервіси з підтримкою розділення тунелю за додатками та захистом від витоків DNS і IP, щоб мінімізувати можливість ідентифікації VPN‑користувачів;
- за наявності такої опції віддавати перевагу месенджерам з відкритим вихідним кодом і незалежними аудитами безпеки;
- регулярно оновлювати ОС та застосунки, щоб отримувати актуальні виправлення вразливостей, пов’язаних із шифруванням та обробкою мережевого трафіку.
Історія з Android‑клієнтом Max демонструє, що навіть «технічна» телеметрія може мати суттєві наслідки для приватності. Користувачам варто уважніше ставитися до дозволів і мережевої поведінки додатків, а розробникам — забезпечувати максимальну прозорість щодо збору даних і бути готовими до змістовного діалогу з професійною спільнотою. Усвідомлений вибір месенджера та інструментів захисту трафіку залишається ключовою умовою цифрової безпеки в сучасних умовах.
