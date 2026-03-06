Исследователи отреверсили Android-клиент мессенджера Max и сообщили, что в нем есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp, определяет IP-адрес пользователя через сторонние сервисы и фиксирует использование VPN. В пресс-службе Max заявили, что мессенджер не отправляет запросы на серверы Telegram и WhatsApp, а описанные решения не имеют отношения к «персональным данным или пользованию другими сервисами, включая VPN».

Все началось с наблюдений, сделанных участниками профильного форума NTC. Пользователи перехватили трафик официального APK-файла Max с помощью PCAPdroid и анализа в эмуляторе и заметили, что мессенджер регулярно обращается к нескольким сервисам определения внешнего IP-адреса, включая зарубежные (api.ipify.org, checkip.amazonaws.com, ifconfig.me), наряду с российскими (ip.mail.ru, сервисы «Яндекса»). Помимо этого, в дампах трафика были замечены обращения к доменам main.telegram.org и mmg.whatsapp.net — последний используется WhatsApp для загрузки медиа и в настоящее время блокируется Роскомнадзором.

Вскоре на «Хабре» появился более подробный разбор с результатами реверс-инжиниринга клиента Max. Исследователь пишет, что перехватил трафик через mitmproxy в режиме WireGuard, разобрал проприетарный бинарный протокол приложения (на базе MessagePack) и написал аддон для расшифровки данных.

Среди перехваченных сообщений обнаружился event-тип GET_HOST_REACHABILITY, в рамках которого клиент отправляет на сервер api.oneme.ru подробный отчет: IP-адрес пользователя, тип соединения (Wi-Fi, мобильная сеть), PLMN-код мобильного оператора, флаг активности VPN (определяется через стандартный Android API — NetworkCapabilities.TRANSPORT_VPN) и результаты проверки доступности ряда хостов — включая gosuslugi.ru, gstatic.com, main.telegram.org и mmg.whatsapp.net. Каждый хост проверяется по двум параметрам: ping (ICMP) и TCP-подключение на порт 443.

Исследователь считает, что этот модуль не является чем-то случайным или заброшенным. Анализ через JADX показал, что список проверяемых хостов и URL для получения IP зашит в конкретных классах приложения, IP-адрес запрашивается асинхронно из перемешанного пула российских и зарубежных источников, а ответ 127.0.0.1 отбрасывается. Модуль активируется при сворачивании и разворачивании приложения, а включается и отключается удаленно, через серверный флаг host-reachability, что позволяет активировать его таргетно для отдельных аккаунтов.

По мнению автора исследования, такая схема позволяет определять, пользуется ли человек VPN (по расхождению IP-адресов от российских и зарубежных сервисов), проверять эффективность блокировок на ТСПУ (ping проходит, а TCP:443 — нет), а также вычислять IP-адреса приватных VPN-серверов. При этом телеметрия смешивается с основным трафиком мессенджера по проприетарному протоколу, что делает невозможной ее блокировку без отключения самого Max.

После выхода этой публикации в пресс-службе Max сообщили «Хабру», что информация об IP-адресах используется «исключительно для обеспечения корректной работы звонков» (P2P-соединения через WebRTC), обращения к серверам Google и Apple нужны для проверки доставки push-уведомлений, а запросы на серверы WhatsApp и Telegram якобы не отправляются. Ниже цитируем заявление пресс-службы полностью.