Открывая новый проект «Ай.Толк», Илья Гогуа позвал в студию Олега Капранова — технологического журналиста, которого сложно заподозрить в лояльности к крупным корпорациям. Разговор получился сразу о нескольких болезненных темах: мессенджер MAX, голосовой ассистент Алиса и то, как пользователи теряют пароли, даже не понимая, когда именно это происходит.
Темы на первый взгляд разные, но объединяет их одно: размытая граница между удобством цифровых сервисов и реальным контролем над собственными данными. Граница, которую в России всё чаще предпочитают не замечать — ни пользователи, ни разработчики.
О чём говорили в выпуске
Капранов затронул сразу несколько болевых точек. MAX — мессенджер VK (бывшего Mail.ru Group), который активно продвигается на российском рынке как альтернатива Telegram. С одной стороны, это отечественный продукт с растущей аудиторией. С другой — он встроен в экосистему, где у разработчика есть полный технический доступ к серверной части переписки.
Алиса в этом контексте — отдельная история. Голосовой ассистент Яндекса встроен в умные колонки, смартфоны и браузеры. Вопрос о том, когда именно Алиса «слушает», а когда нет, технически непрост: даже в режиме ожидания устройство должно непрерывно анализировать звук в поисках триггерной фразы.
Третья тема — кража паролей — самая практическая. По данным аналитиков, большинство компрометаций аккаунтов происходит не из-за взлома серверов, а из-за фишинга, повторного использования одних и тех же паролей и небезопасных сетей. Мессенджеры здесь — не причина уязвимостей, а инструмент их доставки.
MAX и вопрос доверия к экосистеме
Важно разделить два вопроса, которые легко спутать.
Первый — техническая безопасность передачи данных. MAX использует шифрование при передаче сообщений. Это не Signal Protocol и не MTProto, но это и не открытый текст в сети.
Второй вопрос сложнее: кто владеет ключами и какова политика хранения сообщений на серверах. Здесь MAX, как и большинство централизованных российских мессенджеров, работает в модели, при которой компания технически может получить доступ к переписке — добровольно или по судебному решению.
Это не значит, что MAX «читает всё подряд». Но это значит, что такая возможность архитектурно заложена. Telegram в этом смысле честнее в части секретных чатов: они используют сквозное шифрование, недоступное даже серверам компании. Обычные чаты Telegram тоже хранятся централизованно — но репутация и юрисдикция компании здесь существенно отличаются.
Пользователи, которые пришли в MAX не из соображений безопасности, а потому что так сложилось — коллеги, рабочие группы, экосистема VK, — оказываются перед практической дилеммой: не использовать MAX трудно, а держать в нём по-настоящему конфиденциальные вещи неловко.
Алиса и проблема постоянного слушания
Ситуация с голосовыми ассистентами технически действительно неоднозначна. Устройства с голосовой активацией — Алиса, Siri, Google Assistant — работают по схожей схеме: локально на устройстве постоянно анализируется звук для распознавания триггерного слова, после чего фрагмент записи отправляется на сервер для обработки.
Проблема в том, что триггерные слова ловятся с ошибками. Это хорошо задокументировано: несколько лет назад ряд изданий сообщали о случаях, когда сотрудники контроля качества слышали фрагменты частных разговоров пользователей из-за ложных срабатываний системы. С Алисой ситуация аналогичная.
Это не означает целенаправленную слежку. Это статистически неизбежные ложные срабатывания непрерывно работающей системы распознавания. Разница принципиальная, но для конечного пользователя практический эффект одинаковый: что-то лишнее иногда попадает в обработку. Простая мера предосторожности — не держать устройства с активной Алисой рядом при чувствительных разговорах — до сих пор игнорируется большинством людей.
Откуда на самом деле берётся угроза паролям
Кража паролей — реальная и хронически недооцениваемая угроза. Но механизм важнее, чем обычно принято думать.
Основные каналы компрометации:
- Фишинг через мессенджеры — поддельные ссылки, присланные в личку или групповые чаты, замаскированные под знакомые сервисы
- Повторное использование паролей — один пароль на десятке сервисов, один из которых уже попал в утечку
- Расширения браузера — часть из них имеет полный доступ к содержимому страниц, включая поля ввода паролей
- Публичные Wi-Fi сети без VPN — перехват незашифрованного трафика в кафе, отелях и аэропортах
Мессенджеры в этой картине выступают скорее как вектор атаки — канал доставки фишинга, — а не как первопричина утечки. Хотя если мессенджер не использует сквозное шифрование, перехват возможен и непосредственно на уровне серверов.
Как использовать MAX с меньшими рисками
Если MAX нужен — по работе, для общения с теми, кто там сидит, или в силу других обстоятельств — разумно минимизировать его присутствие в вашей цифровой жизни. Меньше установленных приложений с постоянным доступом к микрофону, контактам и уведомлениям — меньше поверхность атаки.
Один из практических подходов: не держать MAX как постоянно запущенное приложение на телефоне, а получать сообщения из него там, где вы уже работаете и где доверяете среде. Если основным мессенджером для вас является Telegram — именно такую схему реализует Максограм.
Принцип прост: вы один раз сканируете QR-код в боте @maxogrambot и привязываете свой аккаунт MAX. После этого все входящие из MAX приходят к вам в Telegram, а ответы уходят обратно в MAX — без необходимости держать его приложение установленным и запущенным на телефоне.
Это не делает MAX мессенджером со сквозным шифрованием — сообщения проходят через его серверы как и прежде. Но это позволяет сократить количество приложений с постоянным доступом к устройству, централизовать уведомления и работать в той среде, где настроены ваши привычные инструменты. Для тех, кто вынужден присутствовать в MAX, но предпочитает жить в Telegram, — это конкретное и работающее решение. Подключить можно на max-o-gram.ru.