Месяц назад Cloudflare признал MAX шпионским. Метка провисела сутки (потом ее сняли), но осадок остался. Теперь маятник качнулся в другую сторону: израильская компания Clear Gate провела аудит мессенджера MAX и высоко оценила его защищенность. Два противоположных вывода за один месяц — разбираю, что происходит и кому верить.

В Израиле подтвердили безопасность MAX. Фото.

В Израиле подтвердили безопасность MAX

Проверка безопасности MAX на Android

Команда MAX привлекла израильскую компанию Clear Gate для независимого аудита безопасности. Аудит проводился на фоне расширения сервиса на международные рынки, что само по себе интересный контекст: приложение MAX продвигается за пределы России, и для этого нужны внешние подтверждения безопасности.

👉 Читай AndroidInsider.ru в MAX

Clear Gate провела серию Black Box и Gray Box тестов. Это методы, при которых специалисты имитируют действия реальных злоумышленников с разным уровнем знаний об архитектуре системы. Моделировались угрозы повышенного уровня сложности: атаки от людей с доступом к бизнес-учетным записям и повышенными привилегиями.

Проверка затрагивала лишь анализ устойчивости к хакерским атакам. Фото.

Проверка затрагивала лишь анализ устойчивости к хакерским атакам

Итог: архитектура приложения MAX на Android и других платформ, ролевая модель доступа и встроенные системы защиты получили высокую оценку. Clear Gate также передала рекомендации по улучшению — значит, идеальным результат не был. По сути это пятерка с минусом. Следить за новостями о безопасности мессенджера удобно в канале AndroidInsider.ru в MAX.

Кто такая Clear Gate и насколько ей можно доверять

Прежде чем принимать заключение как окончательный приговор, стоит понять, кто его выносил. Clear Gate — израильская компания по кибербезопасности из Петах-Тиквы, основана в 2016 году. Специализируется на тестах на проникновение и оценке защищенности систем. Это не Kaspersky, не NSO Group и не какой-нибудь гигант индустрии с десятилетиями репутации. Компания существует девять лет, работает в сегменте B2B. Найти громкие публичные кейсы с ее участием непросто. Это не значит, что она плохая, просто это не тот уровень авторитетности, который сам по себе закрывает все вопросы.

Аудит заказал сам MAX, что важно учитывать.

Кроме того, важно понимать контекст: аудит заказал сам MAX. Это распространенная практика: компании платят за независимую проверку, чтобы получить сертификацию или подтверждение для партнеров. Конфликта интересов формально нет, но и абсолютной независимости здесь тоже нет. Про то, зачем MAX просит доступ к микрофону и камере, я разбирал отдельно. Но сейчас важно отметить, что безопасность от взлома и безопасность для приватности пользователя — разные вещи.

Безопасен ли мессенджер MAX

Проверка MAX затронула мобильную, веб- и другие платформы. Специалисты Clear Gate анализировали:

  • архитектуру мессенджера (как устроена система изнутри);
  • ролевую модель доступа (кто и к чему может получить доступ внутри системы);
  • встроенные механизмы защиты от внешних атак.

Всt это получило высокую оценку. Иными словами: MAX на Android хорошо защищен от внешних злоумышленников: хакеров, которые пытаются взломать сервер или перехватить данные в транзите. Про то, как самостоятельно проверить MAX на прослушку и слежку, можете узнать отдельно. Это другой уровень проверки, который аудит Clear Gate не покрывал.

Чем опасен мессенджер MAX

Защита MAX от внешних хакеров и поведение самого приложения по отношению к пользователю — принципиально разные вещи. Clear Gate проверяла первое. Второе остается открытым вопросом. Что задокументировано независимыми исследователями и не было предметом аудита Clear Gate так это то, что политика конфиденциальности прямо предусматривает передачу данных третьим лицам, включая государственные органы.

Разработчики откровенно заявляют, что не против передачи данных третьим лицам. Фото.

Разработчики откровенно заявляют, что не против передачи данных третьим лицам

Кроме того, MAX блокирует VPN, когда вы пытаетесь написать кому-то сообщение. То есть де-факто следит за использованием сторонних приложений. Что делать, если MAX блокирует VPN, рассказывал отдельно, и вы можете решить эту проблему.

Стоит ли пользоваться мессенджером MAX

Cloudflare маркировал домен из-за специфических паттернов сетевого трафика. Clear Gate оценила архитектурную защищенность от внешних атак. Они проверяли разные вещи и оба по-своему правы. Опасность MAX не в том, что его могут взломать хакеры (Clear Gate подтвердила, что это маловероятно). Опасность в том, что само приложение собирает данные о сетевой активности и передает их на серверы.

🔥 Загляни в канал Сундук Али-Бабы, где мы собрали лучшие товары с АлиЭкспресс

Проверка MAX на вирусы и аудит защищенности от внешних атак — это не то же самое, что анализ приватности. Израильский аудит добавляет один важный факт: с точки зрения архитектурной безопасности MAX сделан нормально. Это хорошая новость для тех, кто боялся взлома своего аккаунта. Но если вас беспокоит, что приложение знает о вашем VPN и передает эти данные куда следует — израильский аудит на этот вопрос не отвечает. Для ответа на него прочитайте текст, где я рассказал, почему не пользуюсь мессенджером MAX в качестве основного. Там честный разбор без паранойи и лишней лояльности.