Израильская организация Clear Gate по заказу разработчиков провела аудит защищённости российского мессенджера МАКС. Специалисты тестировали клиенты для смартфонов, настольных компьютеров и браузерную версию, используя методы «чёрного» (black box) и «серого» (gray box) ящиков. По итогам проверки эксперты высоко оценили архитектуру сервиса, реализованную ролевую модель и встроенные механизмы безопасности. В Clear Gate уточнили, что имитировали действия злоумышленников с высокой квалификацией и частичным знанием внутреннего устройства платформы.

Изображение: ChatGPT

В команде МАКС объяснили решение привлечь иностранных специалистов планами по масштабированию и выходом на новые рынки. По их словам, внешняя независимая оценка безопасности полезна для любого сервиса, особенно когда речь идёт о расширении географии присутствия. При этом сам отчёт Clear Gate является закрытым документом и не предназначен для публичного распространения. Таким образом, у широкой аудитории нет возможности ознакомиться с деталями проверки — остаётся полагаться на официальные заявления сторон.

Эта история приобретает дополнительный контекст на фоне недавней публикации на платформе «Хабр». Пользователь под ником zarazaexe сообщил, что обнаружил в APK-файле МАКС функции скрытой записи звука, сбора списка установленных приложений, определения факта использования VPN, анализа адресной книги, а также передачу Mobile ID по незащищённому протоколу HTTP. Автор поста назвал эти механизмы потенциально опасными для приватности.

Разработчики МАКС категорически отвергли эти обвинения, назвав их ложными. В компании заявили, что мессенджер не следит за действиями пользователей, не собирает персональные данные и технически не может прослушивать звонки. Также были даны пояснения по отдельным функциям: доступ к NFC необходим для работы с цифровым идентификатором, сведения об IP-адресах используются только для корректного установления звонков, а Mobile ID применяется для доставки кодов подтверждения и уведомлений. В МАКС подчеркнули, что все эти механизмы соответствуют заявленному функционалу и не нарушают приватность.