В марте 2025 года компания VK представила мессенджер MAX — проект, задуманный как основа «национальной цифровой платформы» по типу китайского WeChat. Планировалось, что приложение объединит в единой экосистеме чаты, ботов, мини-приложения, госуслуги и другие сервисы. В июне Госдума приняла закон, согласно которому MAX должен предустанавливаться на все продаваемые в России смартфоны и планшеты с сентября 2025 года.
Однако запуск сопровождался сильной критикой со стороны экспертов по информационной безопасности. Уже спустя несколько недель в Telegram-каналах начали появляться сообщения о потенциальных уязвимостях и нарушениях конфиденциальности пользователей. Основные претензии заключались в утечке данных за рубеж и массовом сборе личной информации.
Особое внимание вызвало подозрение, что MAX передаёт данные на зарубежные серверы — в частности, после обновления мессенджер получил доступ к буферу обмена и начал собирать сведения обо всех установленных приложениях. При этом приложение позиционируется как полностью отечественное, но использует библиотеки из США, Украины и Польши. Это вызвало неоднозначную реакцию, называя MAX «национальным мессенджером с утечкой данных».
Наряду с этим, в политике конфиденциальности описан агрессивный сбор метаданных: IP-адреса, списки контактов, время активности. Интеграция с порталом «Госуслуги» деанонимизирует пользователей, что вызвало опасения об использовании приложения как инструмента тотального контроля и слежки, включая возможный доступ спецслужб к перепискам.
Кроме вопросов безопасности, пользователи жаловались на технические проблемы: сбои при регистрации, зависания, ограниченную функциональность — например, отсутствует двухфакторная аутентификация, сквозное шифрование и секретные чаты, которые считаются стандартом для современных защищённых мессенджеров.
Выяснилось, что MAX — фактически ребрендинг старого мессенджера TamTam, что отразилось на архитектурных ограничениях.
В ответ VK категорически опровергла утечки за рубеж, подчеркнув, что данные хранятся в российских дата-центрах. Использование зарубежных библиотек признано, но компания утверждает, что все компоненты проходят тщательный аудит безопасности — такую практику поддерживают и международные IT-гиганты. Для укрепления доверия VK запустила программу Bug Bounty с наградами до 5 миллионов рублей за критические уязвимости.
Тем временем в проправительственных СМИ появилась версия о целенаправленной информационной атаке на MAX со стороны конкурентов, стремящихся помешать технологической независимости России.
Сообщество специалистов по информационной безопасности восприняло проект с осторожностью и критикой, активно обсуждая выявленные проблемы. Некоторые допускают возможность полезности открытого исходного кода украинской библиотеки, но общее мнение сложилось скептическое.
MAX — это централизованная платформа с закрытым исходным кодом, что вызывает опасения относительно прозрачности и контроля данных. По российским законам оператор обязан хранить переписки и передавать их при запросе спецслужбам. Запланированная обязательная предустановка мессенджера на устройства вызывает опасения по ограничению конкуренции.
Сейчас MAX проходит этап активного развития: внедряются новые технологии автоматизированного анализа кода, такие как VK Security Gate, используются ИИ для улучшения качества звонков, добавляются групповые видеозвонки и каналы. Количество пользователей стремительно растёт.
Тем не менее, чтобы заслужить доверие аудитории, разработчикам предстоит сделать акцент на транспарентности, провести независимые аудиты и улучшить политику безопасности. Время покажет, сможет ли MAX стать действительно безопасной и популярной платформой, которую примет широкая аудитория на фоне жесткой государственной поддержки.
Библиотеки взяты у недружественных России стран, что для безопасного национального мессенджера очень странно:
Источник: Материал основан на анализе открытых источников и мнениях экспертов. SecurityLab.ru не несет ответственности за точность и полноту представленных данных.