Category: Мессенджеры

Оглядываясь на дискуссию о «зловредности» мессенджера MAX, стоит отметить одну очень грубую техническую ошибку, которую допускали практически все ЛОМы, говоря о «страшных вирусах» — MAX может собирать все. На самом деле, это описание одной «крайности» в устройствах Android, которую, по «незнанке», или по «заказу» обобщили на «все и вся».

Речь идёт о случае, когда мессенджер MAX был предустановлен как системное приложение. Это может сделать как и сам производитель устройства, так и «ушлый» ритейлер, который из-за «линии партии» производит умышленную атаку на цепочку поставки.
Вне зависимости от «варианта», эффект только один — это полностью ломает модель безопасности ОС.

Если приложение установлено как пользовательское, то на него действуют строгие ограничения, для «прорыва» которых требуются крайне дорогостоящие уязвимости. Системные приложения же такими ограничениями не обременены, вследствие чего могут делать все, что «вздумается». В этом контексте, действительно, MAX, как и прочее «российское» ПО может за вами «следить».

Важно заметить, что это не применимо к устройствам Apple, а также к запечатанным «серым» телефонам на базе Android. В них действует модель безопасности, описанная интернет-ресурсом «Может, вам повезёт?» ещё в октябре прошлого года.

Интернет-ресурс «Может, вам повезёт?» уже не раз говорил о провалах в модели безопасности мессенджера Telegram в формате «между делом». В частности, этим отличается серия публикаций о происходившим между мессенджером Дурова и нацмессенжером MAX медийном «апокалипсисе», который к началу 2026-го года сильно сбавил свои «обороты». Тем не менее, необходимо привести все сказанное к единому «знаменателю».

Для начала стоит определить характеристики понятия «безопасный мессенджер», с которым мы в последствии будем сравнивать Telegram. Безопасный мессенджер имеет сильное сквозное шифрование (E2EE), использующее современные алгоритмы (см. Signal Protocol), защиту метаданных на приемлемом уровне, открытый код приложений, и, что самое главное, минимальный сбор данных (см. мессенджер Signal).

Начнём с основ. Telegram использует шифрование только в процессе передачи сообщений от клиента к серверу (и то, пакеты содержат незашифрованные идентификаторы, о чем далее). Это означает, что любой, кто получит доступ к серверам Telegram, на которых эти сообщения хранятся, сможет прочитать их без каких-либо проблем.

Как и в случае со всеми мессенджерами, соблюдающими требования «Пакета Яровой», эти сообщения не только могут быть проданы техническим персоналом Дурова, но и получены путём прямого взлома сервера через уязвимость нулевого дня, от которой команда Telegram даже при сильном желании защититься не может. Существуют «секретные чаты», но в расчёт их брать нельзя, ведь доступны они только на мобильных платформах, а также уязвимы к перехвату ключей самим сервером, ввиду «хлипкого» шифрования.

Говоря о метаданных, Telegram отправляет ID пользователя на сервер незашифрованным — не только без шифрования самого значения, но и без простого HTTPS — это означает, что любое устройство, которое наблюдает за трафиком пользователя Telegram (будь то злоумышленник в публичной сети или государственный «фильтр») может точно определить пользователя, а также, в некоторой степени, его устройство.

Также, ввиду того, что простой HTTP легко подменяется и искажается, это позволяет с лёгкостью манипулировать пакетами клиента Telegram. Это моветон, который без какой-либо необходимости уменьшает как и приватность пользователей, так и устойчивость к блокировкам.

Кроме этого, Telegram хранит всю историю групповых звонков в своеобразном блокчейне — мол, для того, чтобы было нельзя тайно подключиться. Оставим эту вселенскую глупость на «совести» PR-отдела Дурова. Сам факт излишнего сбора метаданных, тем не менее, есть.

Доморощенный протокол MTProto, который используется в том числе и в «секретных чатах», не подразумевает хоть какой-то приемлемой защиты метаданных — то есть, сервер, через который проходят все секретные чаты, всегда знает, кто, кому, когда, сколько, и откуда пишет. Это критическая уязвимость для любого безопасного мессенджера, которая так и не была исправлена за более чем 10 лет существования Telegram и две версии MTProto.

Исходя из перечисленных фактов, мессенджер Telegram «пролетает» со «свистом» по всем пунктам и не может считаться безопасным.

О других особенностях существования мессенджера Дурова, выходящих за рамки «техники», можно прочитать как и в «Дополнении к хронологии подготовки к блокировке Telegram», так и в дайджесте «О том, что было, будет, или есть» за 2025-й год.

Одним из самых главных аргументов в происходящем между мессенджерами Telegram и Max «апокалипсисе» — то, что, в Max «товарищ майор» есть и он «наш», а в Telegram его нет, а если и есть, то не «наш».

Это заблуждение, которое, кроме своей поражающей глупости, стоило многим людям достаточно высокую «цену». Во-первых, Telegram имеет крайне странные для «безопасного» мессенджера архитектурные «особенности» — от фактического отсутствия шифрования во всех чатах, кроме «секретных», до записи истории подключений к групповым звонкам.

Эти «особенности» позволяют техническому персоналу передавать все нужные «данные» по первому запросу. Кроме этого, существует неиллюзорная возможность «старта продаж» чатов из Telegram. От данной «неприятности» сейчас пользователей мессенджера отделяют только остатки «совести» у менеджмента.

Во-вторых, Павел Дуров долгое время находился в консультациях с Правительством РФ. И отнюдь не по поводу «сетевых свобод» в рунете.

Стоит отметить, что второе за первую неделю ноября «исчезновение» одного популярного канала-иногагента по причине «доксинг и вымогательство» сильно «пахнет» попыткой «выслужиться» и продолжить те самые «консультации».

Повторяясь, мессенджер Max от Telegram ничем не отличается — кроме того, что в политике конфиденциальности первого прямо прописано, что он может передавать переписки «органам». Telegram их тоже передаёт, но без соответствующей «галочки», и под «порогом».

У ресурса «Может, вам повезёт?» есть достоверная информация о том, что «генеральным спонсором» этого медийного «апокалипсиса» является Павел Дуров. Именно он поддерживает пополнение «свалки» публикаций о том, что в Max за вами обязательно наблюдают по три «спецслужбиста».

С момента появления мессенджера Max «на свет» в медиа-пространстве происходит некий «апокалипсис», где Telegram выставлен как «сын света», а Max — сын размытых «российских спецслужб». А насколько они отличаются на самом деле?

Начнем с основ. Telegram никогда не был безопасным — для всех чатов, кроме секретных (обмен ключей которых сервера охотно перехватывают) мессенджер Дурова использует только шифрование а-ля HTTPS — то есть, сервер может читать, сохранять, изменять, и совершать другие «непотребства» с вашими сообщениями. Условно, заходя на интернет-сайт ресурса «Может, вам повезёт?» вы получаете схожий уровень конфиденциальности.

Есть достоверные доказательства того, что эта «дыра» в безопасности была создана и поддерживалась специально, в том числе для обеспечения «совместимости» с тем же «Пакетом Яровой». Мессенджер Max по большей мере «заимствовал» эту нехитрую модель.

Для простого «обывателя» замена Telegram на Max не приведёт к существенным «потерям» в приватности, ибо фундаментальной разницы между ними нет. По-сути, происходит простая «замена управляющих» — с «чужих» на «наших».

Если же вы хотите общаться без лишних «читателей», не городите «огород» и пользуйтесь тем же мессенджером Signal, либо же сделайте свой.

Несмотря на мнимую «глупость» вопроса, существует некоторое количество «маркеров», которые чётко указывают на то, что большей части российского общества, вероятно, придётся им вскоре задаться.

Начнём с основ. Сейчас не пойдёт речи о том, безопасно ли Max использовать по «назначению» — на этот вопрос «Может, вам повезёт?» уже чётко ответил: нет. Но может ли он «подглядывать» сам по себе?

Современные iOS и «правильный» Android имеют строгую систему разрешений, для «прорыва» которой требуется цепочка дорогих уязвимостей (см. материал про шпионское ПО). Даже если Max может «сбежать» из своей «песочницы», это не означает, что он, например, сразу же сможет «слушать» микрофон. Для этого требуется «дырка» в ядре системы, что, в случае с современными Apple XNU и Linux — удовольствие далеко не дешевое.

Стоит отметить, что так «работает» только с последними версиями iOS и некоторыми «вариантами» Android, например, GrapheneOS. Если у вас «китаец», дешёвый Samsung или даже старый «айфон» — будьте уверены, Max сможет вас «слушать».