Израильская исследовательская компания Clear Gate (специализируется на кибербезопасности и пентестах) провела аудит информационной безопасности национального мессенджера Max.
«Поскольку Max от VK продолжает выходить на новые международные рынки, команда мессенджера обратилась к нам, чтобы мы провели независимый пентест мобильной и веб-версии.
Наша команда провела серию тщательных black box и gray box тестов, имитируя повышенные уровни угроз, чтобы оценить защиту инфраструктуры мессенджера и его систем безопасности. Предоставив подробную дорожную карту, мы помогли команде разработчиков Max системно укрепить их платформу и повысить уровень защищённости.
В Clear Gate мы гордимся тем, что предоставляем техническую поддержку высокого уровня, необходимую организациям, которые отказываются идти на компромисс в вопросах безопасности. Это было продуктивное сотрудничество, и мы рады и дальше предоставлять свои услуги, которые помогают нашим клиентам оставаться устойчивыми на глобальном уровне»,
— заявили в Clear Gate.
В Max пояснили Хабру, что в рамках масштабирования проекта было принято решение привлекать к анализу защищённости мессенджера иностранные компании, чтобы по-новому взглянуть на безопасность сервиса.
Согласно отчёту Clear Gate (закрытый документ, не предоставляется для ознакомления третьим лицам), проведённый экспертами по ИБ анализ подтвердил высокий уровень защищённости мессенджера. В аудит вошли мобильные и десктопные версии Max. В ходе анализа применялись методы «чёрного» и «серого ящика» — виды тестирования продукта, при котором у внешних специалистов есть частичные знания об изучаемой системе.
Эксперты Clear Gate провели аудит, имитируя действия реальных злоумышленников, имеющих углублённые знания о внутреннем устройстве мессенджера и повышенные привилегии (сведения об архитектуре, учётные записи для бизнеса и прочее). Среди сильных сторон мессенджера в Clear Gate отметили проработанную и безопасную архитектуру, ролевую модель и интегрированные системы защиты.
Ранее эксперты из ЕС назвали российский проект госмессенджера примером борьбы за цифровую независимость и попыткой создания собственной экосистемы с госуслугами и сервисами в рамках национальной юрисдикции, в то время как Европа зависит от американских платформ.
Недавно на Хабре вышла публикация «15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего ещё».
Официальный комментарий по этой публикации от пресс‑службы Max: «Распространяемая информация является фейком: МАХ не следит за пользователями, не собирает их персональные данные и не имеет технической возможности прослушивания звонков. Управление NFC‑чипом необходимо для корректной работы Цифрового ID, информация об IP‑адресах используется исключительно для обеспечения корректной работы звонков, передача Mobile ID нужна для доставки кодов подтверждения и уведомлений. Все данные пользователей надёжно защищены».
В сентябре 2025 года эксперты RKS Global провели комплексное тестирование слежки в мессенджере Max на смартфонах Android и iPhone. Анализ данных показал, что на то время приложение Max не вело слежку по умолчанию за пользователями.
Эксперты из «Лаборатории Касперского» пояснили, что мобильное приложение Max даже несколько «отстаёт» по своим «аппетитам» от других мессенджеров. «В последнее время (особенно в контексте запуска мессенджера Max) обсуждение разрешений, требуемых современным мессенджерам, идёт особенно горячо. Давайте сравним разрешения, запрашиваемые тремя самыми актуальными для российских пользователей мессенджерами под Android: Telegram, WhatsApp и Max», — рассказали в «Лаборатории Касперского».
ссылка на оригинал статьи https://habr.com/ru/articles/1036838/