Российский YouTube-блогер под псевдонимом EVG опубликовал видеоматериал, в котором демонстрирует возможность читать чужие сообщения в мессенджере MAX. Разбор вышел на канале «Марк Коннектор» и быстро привлёк внимание аудитории, интересующейся кибербезопасностью. Точные технические детали атаки в открытом доступе не раскрываются — это стандартная практика при ответственном разглашении уязвимостей. Однако сам факт такой публикации поднимает серьёзные вопросы, особенно в контексте того, что MAX сегодня активно продвигается как замена Telegram в России.
Что показал EVG
Судя по описанию видео, речь идёт не об абстрактной уязвимости в теории, а о воспроизводимом сценарии. EVG утверждает, что смог получить доступ к переписке — то есть обойти или вскрыть то шифрование, которое мессенджер использует для защиты сообщений. Насколько атака актуальна сейчас, была ли она закрыта патчем и при каких условиях воспроизводится — в публичном разборе не уточняется.
Важно понимать контекст: MAX — не маргинальный продукт. Это мессенджер от VK Group, который в последние годы получает значительные ресурсы для роста. Его устанавливают по рекомендации работодателей, государственных структур, учебных заведений. Когда на такой платформе появляются вопросы к безопасности — это касается миллионов реальных людей, большинство из которых никогда не читали технической документации по шифрованию.
Шифрование в мессенджерах: где проходит граница
Чтобы оценить серьёзность ситуации, нужно понимать, как работает шифрование в мессенджерах. Идеал — сквозное шифрование (end-to-end encryption, E2EE): ключи хранятся только на устройствах участников переписки, и даже сам сервис технически не может прочитать ваши сообщения. В реальности картина сложнее.
- Telegram поддерживает E2EE только в «секретных чатах». Обычные облачные чаты зашифрованы, но ключи хранятся на серверах компании. При этом Telegram зарегистрирован за рубежом и исторически демонстрирует нежелание раскрывать пользовательские данные по запросам властей.
- MAX — российская компания, подпадающая под требования СОРМ (Системы оперативно-розыскных мероприятий). По закону российские операторы и IT-сервисы обязаны предоставлять ФСБ техническую возможность доступа к трафику. Это юридическая реальность, не зависящая от намерений разработчиков.
Это не обвинение в злом умысле — просто точное описание правовой среды. Понимая её, пользователь может осознанно решать, что и где хранить. Если поверх этого контекста обнаруживаются ещё и технические уязвимости — риски складываются, а не вычитаются.
Белые списки, блокировки и вынужденный переход
Хэштеги в описании видео — белые списки и блокировки — отсылают к конкретному контексту последних лет. Роскомнадзор периодически вводит ограничения на работу зарубежных сервисов, и в такие периоды часть пользователей переходит на российские альтернативы не по собственному желанию, а потому что привычное приложение перестало работать.
Именно в такие моменты риски возрастают сразу по нескольким причинам:
- аудитория платформы резко растёт, а вместе с ней — интерес со стороны злоумышленников;
- новые пользователи не думают об архитектуре шифрования — они просто ставят то, что работает;
- уязвимости, которые раньше затрагивали узкую аудиторию, теперь потенциально касаются миллионов.
Вынужденный переход — это переход без осознанного согласия с условиями новой платформы. Люди несут в новый мессенджер деловую переписку, личные данные, финансовые договорённости — и делают это в том же режиме, в каком обсуждали бы погоду.
Кого это касается в первую очередь
Если уязвимость, которую продемонстрировал EVG, реальна и воспроизводима, наибольшие риски — у конкретных категорий пользователей.
- Деловая переписка. Компании, перешедшие на MAX по требованию партнёров или госзаказчиков, обсуждают в нём контракты, цены, внутренние данные — всё это потенциально уязвимо.
- Личные данные. Адреса, паспортные сведения, финансовые вопросы — люди привыкли решать их в мессенджере, не задумываясь о последствиях.
- Корпоративные коммуникации. Если MAX используется как корпоративный инструмент без дополнительных мер защиты, он становится потенциальной точкой входа для атак на всю организацию.
Человек, переписывающийся с родственниками о бытовых делах, скорее всего не станет целью. Но для профессионального использования вопрос защищённости канала связи — это вопрос прямых и измеримых рисков.
Что делать практически
Полностью отказаться от MAX не всегда возможно: часть коллег, клиентов или рабочих групп уже там. Но можно минимизировать время, которое вы проводите в среде с неопределённым уровнем защиты, и сократить количество приложений с широкими разрешениями на вашем устройстве.
Именно для этого существует @maxogrambot: вы ставите MAX на любой телефон, сканируете QR в боте — и с этого момента все входящие из MAX приходят прямо в Telegram, а ответы уходят обратно оттуда же. MAX превращается во вспомогательный компонент, а не в основной рабочий инструмент. Ваш основной интерфейс — Telegram с его более прозрачной историей независимых аудитов. Контакты и группы в MAX никуда не деваются — просто управлять ими становится удобнее и с меньшим количеством лишних точек риска.