Мессенджер MAX — что с ним не так? Разбор по фактам
Что нашли в коде MAX, какие разрешения он просит и что из «слежки» подтверждено, а что опровергнуто. Разбор всех сторон и что выключить за минуту.
Вокруг мессенджера MAX много шума: одни пишут «национальный шпион», другие — «обычная маркетинговая аналитика». Правда, как обычно, посередине. Ниже — без паники и без FUD: что реально нашли в коде, что просят разрешения, что подтверждено, что опровергнуто, и что можно выключить за минуту.
В видео разбираю всё по порядку. Ниже — то же самое текстом, с источниками к каждому спорному утверждению.
Что нашли в коде MAX
Исследователи (публикация на Хабре от команды runetfreedom) провели реверс-инжиниринг приложения и описали модуль HOST_REACHABILITY. По их данным, при сворачивании и разворачивании приложения он отправляет на api.oneme.ru пакет, который собирает:
- ваш IP-адрес (из нескольких источников),
- признак включённого VPN,
- код оператора связи (PLMN),
- тип сети.
Дополнительно модуль пингует несколько хостов — среди них gosuslugi.ru, серверы Telegram, WhatsApp, Google и Одноклассников. По версии авторов исследования, это выглядит как проверка того, доступны ли эти сервисы с устройства пользователя.
Важные оговорки:
- Управление модулем приходит с сервера — отдельного тумблера в настройках у пользователя нет.
- В более поздней версии (26.7.1) запросы к WhatsApp и Telegram отключили, но сам код из приложения не удалили.
- Трактовка цели модуля («вычислять тех, кто обходит блокировки», «связывать пользователей VPN-сервисов с конкретными людьми») — это гипотеза runetfreedom, а не доказанный факт. Прямая передача данных в госорганы в исследовании не показана.
Ещё 7 наблюдений исследователей
Отдельный разбор (te-st.org, сентябрь 2025) перечисляет технические возможности, заложенные в приложении:
- Сервис MyTracker связывает идентификатор пользователя MAX с ВКонтакте, Одноклассниками и ICQ.
- Поисковые запросы внутри MAX сохраняются с привязкой к личному ID.
- Техническая возможность фоновой записи аудио и видео.
- Постоянный доступ к геолокации с возможностью удалённого запроса.
- Сканирование файлов нескольких типов в хранилище.
- Сохранение черновиков — контент фиксируется ещё до нажатия «Отправить».
- Встроенный ИИ-ассистент логирует запросы.
Речь о возможностях в коде, часть из которых требует ваших разрешений и без них не работает.
MAX на фоне других российских приложений
Чтобы не демонизировать один мессенджер: по исследованию RKS Global (материал Meduza, апрель 2026) изучили 30 российских Android-приложений по 68 параметрам сбора данных.
- Лидеры по объёму слежки — не MAX, а Т-банк и МегаМаркет (по 65 из 68).
- ВКонтакте, Одноклассники и Сбербанк Онлайн — по 64.
- 22 из 30 приложений проверяют наличие VPN.
- Некоторые анализируют каждое касание экрана; одно из приложений сканирует более 200 других программ на устройстве.
Вывод: MAX ведёт себя как типичное российское приложение своего класса, а не как что-то уникально агрессивное.
Что говорят разработчики
VK оспаривает трактовку исследователей:
- Официальный ответ (март 2026): «MAX не отправляет запросы на серверы WhatsApp и Telegram и не отслеживает использование VPN»; IP-адрес используется для корректной работы звонков.
- Сбор данных VK называет «маркетинговой аналитикой, а не слежкой».
- У мессенджера есть программа Bug Bounty с выплатами до 5 млн рублей за критические уязвимости.
- В конце апреля 2026 Cloudflare на сутки пометила сайт MAX как «вредоносное ПО», затем сняла метку; VK назвал это ошибкой интерпретации заголовков аналитики.
Что опровергнуто фактчеком
Часть громких утверждений о MAX не подтвердилась. Фактчек НИУ ВШЭ опровергает:
- MAX не включает камеру и микрофон без вашего разрешения.
- MAX не получает root-доступ самостоятельно.
- MAX не читает сетевой трафик других приложений — у него нет для этого системного разрешения.
По оценке ВШЭ и независимых аудиторов, набор разрешений MAX близок к набору Telegram. То есть по формальным разрешениям это обычный мессенджер.
Что сделать за минуту
Независимо от того, чью трактовку вы разделяете, разумная гигиена одинаковая для любого мессенджера:
- Настройки → Приложения → MAX → Разрешения.
- Контакты и Фото — дайте доступ только к выбранным или отключите.
- Микрофон и Камера — выключите, если не звоните через MAX.
- Геолокация (Android) — «только при использовании», не «всегда». На iPhone MAX её не запрашивает.
- Используйте MAX точечно — для Госуслуг и обязательных чатов, а не как основной мессенджер, если вам это некомфортно.
Отдельная тема — сеть. Если вы не хотите, чтобы приложения на устройстве определяли ваш реальный IP и признак VPN, помогает VPN, который сложнее распознать как VPN. MeerGuard работает на протоколе, при котором соединение выглядит как обычный сайт.
Частые вопросы
MAX — это шпионское приложение? Категорично — нет данных. Исследователи нашли модуль проверки доступности сервисов и ряд технических возможностей; VK объясняет это аналитикой и работой звонков; часть громких обвинений фактчек ВШЭ опроверг. Правда посередине.
MAX отслеживает мой VPN? По данным runetfreedom, модуль собирает признак включённого VPN. VK это отрицает. Отключить сбор отдельным тумблером нельзя — управление на стороне сервера.
Нужно ли удалять MAX? Мы не даём таких советов. Если MAX нужен для Госуслуг — ограничьте разрешения и используйте точечно.
Какие приложения собирают больше данных, чем MAX? По исследованию RKS Global — например, банковские и маркетплейс-приложения. MAX не в лидерах по объёму сбора.
Коротко
В коде MAX исследователи нашли модуль, который собирает IP, признак VPN и проверяет доступность ряда сервисов; управляется он с сервера. Часть возможностей подтверждена, трактовка «слежки за обходом блокировок» — гипотеза, а не факт. VK всё оспаривает, а фактчек ВШЭ опроверг самые громкие обвинения. По разрешениям MAX близок к Telegram. Разумный минимум — урезать разрешения за минуту.
Если хотите, чтобы соединение сложнее было определить как VPN: 3 дня за 1 ₽.
Читайте также: что такое VPN и как он работает и какой VPN работает в России в 2026 году.
Источники: Хабр / runetfreedom, ответ VK на Хабре, te-st.org, Meduza / RKS Global, фактчек НИУ ВШЭ, CNews, Anti-Malware. Проверено на 2026-05-16.
Похожие статьи

Мессенджер MAX и VPN: что нашли в коде и какие разрешения отключить
Что собирает MAX, как он определяет VPN, какие разрешения отключить в Android и iOS. Разбор кода, исследований RKS Global и фактчека НИУ ВШЭ.

Зачем нужен VPN в 2026 году: 5 причин использовать VPN каждый день
Почему VPN стал необходимостью в 2026 году. Конфиденциальность, доступ к контенту, безопасность в Wi-Fi и другие причины.

VPN на телевизоре LG: что реально работает в 2026
На LG с webOS нельзя поставить VPN-приложение. Два рабочих способа: приставка Android TV и VLESS на роутере. Почему раздача с ПК и Smart DNS не помогут.
Попробуйте MeerGuard VPN
Быстрый, надёжный VPN с протоколом VLESS. От 198 ₽/мес.
Открыть Telegram-бота