MAX и метка Spyware в Cloudflare: что это значит и к чему может привести

30 апреля в сети появилась информация, что глобальная IT-компания и оператор крупной интернет-инфраструктуры Cloudflare присвоила домену национального мессенджера Max классификацию Spyware (шпионское ПО). Прежде чем мысленно ухмыльнуться и подумать «а я же говорил», давайте объективно разберемся, что это за шум.

В этой статье мы расскажем: кто такая компания Cloudflare, почему она ставит подобные метки, что значит «spyware», на основании каких признаков Cloudflare принимает такие решения, а также какие последствия такая метка может иметь.

Что такое Cloudflare

Cloudflare — американская интернет-инфраструктурная компания. Она появилась в 2009 году, а публично запустилась в 2010-м. Основатели компании — Мэтью Принс, Мишель Затлин и Ли Холлоуэй. Изначальная идея проекта описывалась как firewall in the cloud, то есть «фаервол в облаке»: система, которая помогает сайтам и приложениям защищаться от вредоносного трафика и при этом работать быстрее.

Сегодня Cloudflare — один из крупнейших игроков в интернет-инфраструктуре, обрабатывающий около 20% всего мирового интернет-трафика. Это значит, что каждый пятый запрос в интернете проходит через их оборудование. У Cloudflare сотни дата-центров в десятках стран, что позволяет быстро обслуживать пользователей из разных регионов.

Это НЕ «еще один сайт с проверкой доменов», а компания, которая видит огромный объем интернет-трафика и обслуживает большое количество сайтов, приложений, корпоративных сетей и DNS-запросов. Именно поэтому к их мнению прислушиваются государственные регуляторы и корпорации.

Какие функции выполняет Cloudflare

Если объяснять просто, Cloudflare — это сервис, который помогает сайтам и приложениям работать быстрее, стабильнее и безопаснее.

Защита от DDoS-атак. DDoS-атака — это ситуация, когда на сайт или приложение одновременно отправляют огромное количество запросов. Часто это делают не реальные люди, а боты. Сервер может не выдержать такой нагрузки и перестать открываться. Cloudflare принимает этот поток на себя, отсеивает подозрительные запросы и пропускает нормальных пользователей.

Ускорение загрузки сайтов и приложений через CDN. CDN — это Content Delivery Network, или «сеть доставки контента». Проще говоря, это сеть серверов в разных странах и городах, где могут храниться копии картинок, видео, файлов, скриптов и других элементов сайта. Пользователь получает их не с одного далекого сервера, а с ближайшей точки Cloudflare. Поэтому сайт или приложение могут открываться быстрее.

Публичный DNS-сервис 1.1.1.1. DNS — это «адресная книга интернета». Когда пользователь вводит адрес сайта, например example.ru, DNS помогает устройству понять, к какому серверу нужно обратиться. Cloudflare предоставляет свой публичный DNS-сервис 1.1.1.1, который используется для быстрого и относительно приватного поиска таких адресов.

Web Application Firewall, или WAF. Firewall — это «сетевой экран», то есть защитный фильтр. А Web Application Firewall — это фильтр именно для сайтов, приложений и API. Он проверяет HTTP-запросы. HTTP-запрос — это обычный запрос браузера или приложения к серверу: открыть страницу, получить профиль, отправить форму, загрузить сообщение. Например, нормальный запрос может выглядеть так:

🔹 GET /profile?id=123

А подозрительный — так:

🔹 GET /profile?id=1%20OR%201=1—

Второй вариант похож на попытку SQL-инъекции: злоумышленник передает в параметре URL не обычный идентификатор профиля, а фрагмент SQL-условия. Если приложение небезопасно подставляет этот параметр в SQL-запрос, такая конструкция может изменить логику обращения к базе данных. WAF может распознать характерный паттерн атаки и заблокировать запрос еще до того, как он попадёт на сервер приложения.

Bot Protection — защита от ботов. Боты могут автоматически перебирать пароли, массово создавать аккаунты, парсить цены, копировать контент, отправлять спам или перегружать приложение запросами. Cloudflare анализирует такое поведение и может ограничивать, замедлять или блокировать подозрительную активность.

Фильтрация вредоносного трафика. Cloudflare может отсекать запросы, которые похожи на атаки, сканирование уязвимостей, фишинг, вредоносные скрипты или попытки получить несанкционированный доступ. Для обычного пользователя это незаметно: он просто открывает сайт, а подозрительный трафик до сервера не доходит.

Корпоративные решения безопасности, включая Zero Trust. Zero Trust — это подход «никому не доверять автоматически». Даже если сотрудник находится внутри корпоративной сети, его доступ к сервисам все равно проверяется: кто он, с какого устройства заходит, имеет ли право открыть конкретный ресурс. У Cloudflare есть такие инструменты для компаний: они помогают защищать сотрудников, внутренние системы, рабочие приложения и корпоративный интернет-трафик.

Что такое Cloudflare Gateway

Gateway — это корпоративный фильтр интернета от Cloudflare. Он стоит не перед сайтом, а перед пользователем компании. Например, сотрудник открывает сайт или приложение, а Gateway проверяет: можно ли туда идти?

🔹Сотрудник → Cloudflare Gateway → сайт / приложение

Компания может настроить правила:

• блокировать malware: сайты, которые пытаются заразить ваш компьютер вирусом.

• блокировать phishing: поддельные страницы, крадущие пароли.

• блокировать spyware: программы, которые скрытно собирают данные пользователя (геолокацию, список контактов, данные о других приложениях) и передают их без явного согласия.

• разрешать рабочие сервисы.

• логировать (записывать в «дневник») подозрительные обращения.

Если сотрудник открывает домен, который Cloudflare относит к категории Spyware, Gateway может заблокировать доступ или показать предупреждение.

Именно для таких продуктов Cloudflare и ведет классификацию доменов. Ей нужен список: какие домены относятся к мессенджерам, какие — к соцсетям, какие — к рекламе, какие — к фишингу, какие — к вредоносному ПО.

Что за реестр ведет Cloudflare

Cloudflare ведет собственную систему категоризации доменов — Domain Categorization. Посмотреть категории конкретного домена можно через Cloudflare Radar (https://radar.cloudflare.com/ru-ru/domains/domain/example.ru)

Категории делятся на два больших типа:

Content categories — это обычные тематические категории. Например: мессенджеры, соцсети, новости, реклама, развлечения, игры, финансы, образование, взрослый контент.

Security categories — это категории, связанные с рисками и угрозами. Например:

• Malware — сайты, связанные с вредоносным ПО;

• Phishing — фишинговые домены, которые могут красть логины, пароли или платёжные данные;

• Spyware — домены, связанные со шпионским ПО;

• Command and Control / Botnet — домены, к которым обращаются зараженные устройства;

• Compromised Domain — легитимный домен, который был взломан и использован для вредоносной активности;

• DNS Tunneling — подозрительная передача данных через DNS-запросы.

Домены категоризирует Cloudforce One — threat intelligence-подразделение Cloudflare, то есть команда/платформа по анализу киберугроз.

Что такое Spyware

Spyware — это шпионское программное обеспечение. В широком смысле так называют программы или компоненты, которые могут собирать информацию о пользователе без достаточной прозрачности или без понятного согласия.

Это может быть:

• Сбор данных об устройстве — например, информации о модели телефона, операционной системе, настройках сети, IP-адресе, идентификаторах устройства или других технических параметрах.

• Отслеживание активности пользователя — если приложение или связанные с ним домены передают данные о действиях пользователя чаще или шире, чем это необходимо для работы сервиса.

• Передача телеметрии на сторонние серверы — телеметрия сама по себе не всегда опасна: многие приложения собирают технические данные о сбоях и производительности. Вопросы возникают, если такая передача непрозрачна, чрезмерна или идет на подозрительные домены.

• Доступ к чувствительной информации — например, к контактам, файлам, геолокации, данным об устройстве или другим сведениям, которые неочевидно нужны для основной функции приложения.

• Скрытая сетевая активность — если через DNS-запросы или корпоративные фильтры вроде Gateway фиксируются обращения к подозрительным серверам, не связанным напрямую с работой мессенджера, например с чатами, звонками или авторизацией.

• Аномальные DNS-запросы — DNS — это служба, которая переводит понятные адреса сайтов в IP-адреса серверов. Подозрения могут возникать, если приложение регулярно обращается к странным, недавно созданным или уже замеченным в угрозах доменам.

• Поведение, похожее на наблюдение или слежку — например, когда приложение собирает больше данных, чем ожидает пользователь, делает это без понятного объяснения или передает информацию так, что ее назначение трудно проверить.

Но важно: когда Cloudflare ставит домену категорию Spyware, это не всегда означает, что все приложение уже доказано является шпионским.

По каким признакам Cloudflare может поставить такую метку

Cloudflare не раскрывает полностью все алгоритмы классификации. Это нормально для компаний кибербезопасности: если подробно раскрыть правила, злоумышленники смогут их обходить.

Но из документации Cloudflare понятно, что при оценке доменов могут использоваться разные источники и сигналы: внутренние данные, машинное обучение, коммерческие базы угроз, открытые данные по киберугрозам, репутация домена, возраст домена, связь с подозрительной инфраструктурой.

Простыми словами, подозрительными могут выглядеть такие вещи:

• домен связан с вредоносными файлами или скриптами;

• домен участвует в подозрительной передаче данных;

• домен фигурирует в базах киберугроз;

• домен связан с инфраструктурой, которая уже замечена в атаках;

• приложение или сайт обращается к подозрительным сторонним доменам;

• поведение запросов похоже на сбор данных, командный сервер или скрытую телеметрию;

• домен получает негативные сигналы из нескольких независимых источников.

Но это не обязательно значит, что все именно так и произошло в случае MAX. В публикациях по MAX уже приводится позиция пресс-службы мессенджера: там говорят об ошибочной классификации и неверной интерпретации запросов к веб-аналитике.

То есть сейчас есть сам факт метки Cloudflare и есть объяснение со стороны сервиса. Окончательный технический вывод без независимого аудита делать рано.

Что может произойти с MAX после такой метки

Сама по себе метка Cloudflare не означает автоматического удаления приложения из App Store или Google Play. Она также не означает, что TLS-сертификат — цифровое удостоверение домена, которое подтверждает подлинность сайта или сервера и позволяет устанавливать защищенное HTTPS-соединение, — будет обязательно отозван.

1. Во-первых, домен могут начать блокировать корпоративные сети. Если компания использует Cloudflare Gateway и настроила правило «блокировать Spyware», доступ к max.ru может быть ограничен.

2. Во-вторых, у сервиса может появиться репутационный риск. Для пользователей и ИБ-специалистов метка от Cloudflare — это повод внимательнее посмотреть на приложение, его домены, сертификаты, сетевые запросы и политику обработки данных.

3. В-третьих, возможны дополнительные проверки со стороны магазинов приложений. Apple и Google могут проверять приложения на соответствие требованиям безопасности и приватности. Apple прямо пишет, что приложения проходят review, а App Store должен оставаться безопасным местом для пользователей.

4. В-четвертых, внимание могут обратить удостоверяющие центры, которые выдают TLS-сертификаты. Если они увидят основания для проверки, они могут запросить объяснения или провести собственную оценку.

5. В-пятых, вокруг сервиса может усилиться внимание со стороны исследователей безопасности, журналистов, регуляторов и пользователей (хотя, казалось бы, куда уж больше).

Пример Telega: почему историю с MAX начали сравнивать именно с ней

Параллель с Telega возникла не случайно. Telega — альтернативный клиент Telegram — ранее тоже получил метку Spyware у Cloudflare. Речь шла о рабочих доменах проекта, в том числе telega.me и api.telega.info. По сообщениям СМИ, это произошло 9 апреля 2026 года. В тот же день Telega исчезла из App Store, при этом в Google Play и RuStore приложение оставалось доступно.

По данным Meduza со ссылкой на «Осторожно, новости», после метки Cloudflare у Telega также был отозван TLS-сертификат — цифровое удостоверение домена, которое нужно для защищенного HTTPS-соединения. Предположительно, именно это могло стать одним из факторов удаления приложения из App Store.

Через несколько дней разработчики Telega заявили, что Cloudflare сняла классификацию Spyware с доменов проекта, включая telega.me, api.telega.info и telega.info. Однако возвращения в App Store это сразу не обеспечило. Отдельный этап начался 17 апреля 2026 года: пользователи iPhone начали сообщать, что iOS помечает уже установленную Telega как потенциально вредоносное приложение, блокирует запуск и предлагает удалить его.

Эта история важна как пример возможной цепочки:

🔹Метка Cloudflare → внимание к доменам → проблемы с сертификатами → вопросы со стороны Apple → удаление или блокировка приложения

Но это не значит, что с MAX обязательно произойдет то же самое. У MAX, по сообщениям СМИ на момент публикации, есть действующий TLS-сертификат, а приложение на данный момент доступно в App Store и Google Play.

Что все это значит для пользователей

Главное — не путать три разные вещи.

Первое: Cloudflare Radar действительно может показывать домен в категории Spyware. Это серьезный сигнал, потому что Cloudflare — крупный игрок в интернет-безопасности.

Второе: такая метка не является юридическим решением и не доказывает автоматически, что приложение шпионит за пользователями.

Третье: даже если это не доказательство, это повод для дополнительных вопросов. Особенно когда речь идет о мессенджере — сервисе, которому пользователи доверяют переписку, контакты, звонки, файлы и иногда рабочие коммуникации.

Заключение

История с MAX и Cloudflare — это не приговор, но и не мелочь, которую можно полностью игнорировать.

Cloudflare — крупная и влиятельная инфраструктурная компания. Ее сеть работает в сотнях городов, защищает значительную часть веба и используется многими компаниями для фильтрации угроз. Поэтому метка Spyware в Cloudflare Radar — это заметный репутационный и технический сигнал.

Но важно сохранять точность. Cloudflare не вынесла судебное решение, не запретила MAX и не доказала публично, что приложение является шпионским ПО. Она классифицировала домен max.ru в своей системе как Spyware. Это может привести к блокировкам в корпоративных сетях, дополнительным проверкам, вопросам к сертификатам и вниманию со стороны магазинов приложений. Но само по себе это еще не означает автоматического удаления приложения или официального признания его вредоносным.

Самая корректная позиция сейчас такая: ситуация требует внимательного наблюдения и технических пояснений, но резкие выводы делать рано.