В государственном мессенджере Max обнаружили функции тотальной слежки за пользователями. Программист под ником zarazaex полностью разобрал APK-файл приложения и выложил результаты исследования на Habr. Выяснилось, что Max собирает список контактов и установленных программ, может делать скриншоты переписок, вести скрытую запись звука, создавать фейковые чаты и стирать сообщения прямо с телефона без следа. Кроме того, мессенджер умеет определять реальный IP-адрес при включенном VPN и использует встроенный идентификатор устройства, который невозможно сбросить даже после удаления приложения или возвращения телефона к заводским настройкам.
Также утверждается, что Max отправляет скрытые команды и push-уведомления для сбора данных, в том числе с целью получения координат пользователя, незаметно записывает аудио во время звонков и затем заливает их на сервер, где они хранятся без end-to-end-шифрования. В мессенджере также нашли инструменты распознавания речи, определения ключевых слов и идентификации человека по голосу. Кроме того, Max принудительно обновляет приложение и собирает всю телефонную книгу, а сервер может «по клику мышки» выкачать все логи и контакты.
Также Max способен выключать TLS‑валидацию — процесс проверки подлинности цифрового SSL/TLS-сертификата и самого сервера, к которому коннтектится пользователь. Вкупе с другими инструментами это образует комплект «дай мне все, что лежит у тебя в памяти, и не проверяй сертификат того, кто это запрашивает», резюмируется в исследовании.