Мессенджер MAX прошёл независимый аудит — израильская компания Clear Gate признала его защищённым на Android. Одновременно независимые исследователи зафиксировали в приложении модуль, отслеживающий активность VPN. Это не противоречие, а два разных взгляда на одно приложение. Если вы пользуетесь Xiaomi, Redmi или POCO и хотите разобраться, насколько MAX безопасен на практике, — читайте дальше.
Что проверяла Clear Gate — и как это работает
Аудит охватил мобильные и десктопные версии MAX — эксперты Clear Gate проверили архитектуру, ролевую модель и системы защиты методами имитации реального злоумышленника.
Clear Gate — израильская компания по кибербезопасности из Петах-Тивы. Её специализация — проверка мобильных приложений на устойчивость к внешним атакам, анализ архитектуры и поиск уязвимостей. Сам отчёт по итогам аудита MAX остался закрытым и не опубликован публично. Мы знаем результат — «высокий уровень защищённости» — но не знаем деталей: какие именно компоненты проверялись и что конкретно было рекомендовано к улучшению.
Это стандартная практика для корпоративных аудитов, но в публичной дискуссии этот факт нередко упускают.
Black Box и Grey Box: разница в методах
Clear Gate работала по двум методологиям. Black Box — аудитор действует как внешний злоумышленник: без доступа к исходному коду, только внешнее зондирование. Grey Box — частичный доступ к архитектуре, что позволяет глубже изучить серверную часть и ролевую модель доступа.
По результатам: серьёзных уязвимостей, позволяющих перехватить переписку или взломать аккаунт извне, не обнаружено. Это реальный результат, не PR-формулировка.
Что осталось за рамками аудита
Аудит проверял устойчивость к внешним атакам. Он не изучал, какие данные MAX собирает о пользователе и куда их передаёт. Это принципиально разные вещи: можно иметь крепкий замок на двери — и при этом снимать всё происходящее внутри на камеру. Именно поведение приложения «изнутри» вызывает вопросы, и аудит Clear Gate на них не отвечает.
Cloudflare дал маркировку, потом снял — что это значит
Алгоритм Cloudflare выставил метку и убрал её — но поведение приложения определяется кодом, а не репутацией домена у стороннего сервиса.
В апреле 2026 года Cloudflare — крупнейший CDN-провайдер — присвоил домену MAX маркировку «шпионское ПО». Новость разлетелась быстро. А потом маркировку так же быстро сняли.
Честно говоря, этот эпизод интереснее как иллюстрация, чем как доказательство чего-либо. Алгоритм Cloudflare среагировал на сетевое поведение домена. Что именно изменилось после — неизвестно: либо разработчики MAX скорректировали поведение приложения, либо оспорили решение, либо сработал алгоритмический сбой.
Само по себе снятие маркировки ничего не доказывает ни в одну сторону. Поведение приложения определяется его кодом, а не тем, что думает о домене сторонний алгоритм.
VPN и MAX: что на самом деле происходит в сети
Запросы к заблокированным серверам и отсутствие внятного объяснения — вот что зафиксировали независимые исследователи в сетевой активности MAX.
В марте 2026 года на Хабре и ntc.party появились технические исследования: в Android-версии MAX обнаружен модуль, который определяет, использует ли пользователь VPN. Механика такая: приложение периодически отправляет запросы к серверам сервисов, заблокированных в России, — в частности, к серверам Telegram и WhatsApp. Если они открываются без ошибок, значит на устройстве активен VPN.
Объяснение разработчиков
Пресс-служба MAX отреагировала оперативно. По их словам, приложение не следит за VPN и не мониторит другие программы. IP-адреса фиксируются исключительно для корректной работы голосовых звонков — это стандартная практика для WebRTC. Запросы к серверам Google и Apple нужны для проверки доставки push-уведомлений, а не для слежки.
Технически объяснение выглядит правдоподобно. Однако оно не отвечает на вопрос: зачем приложению делать запросы именно к серверам конкурентов?
Что зафиксировали независимые исследователи
Независимые специалисты по кибербезопасности документировали сетевую активность MAX: соединения с серверами сторонних сервисов подтверждены в нескольких независимых экспериментах. Политика конфиденциальности MAX прямо предусматривает передачу данных третьим лицам, включая государственные органы.
MAX не является вирусом в классическом смысле. Угроза другая: систематический сбор данных о сетевой активности пользователя без явного уведомления.
Сравнение MAX, Telegram и Signal по приватности
По уровню приватности MAX объективно уступает Signal и немного уступает Telegram — прежде всего в части того, кому и какие данные передаются. Для бытовых задач разница менее значима. Если вас интересует анонимность сетевой активности — разница существенная.
| Параметр | MAX | Telegram | Signal |
|---|---|---|---|
| Сквозное шифрование | Только в «секретных чатах» | Только в «секретных чатах» | По умолчанию везде |
| Алгоритм шифрования | Кузнечик / Магма (ГОСТ) | MTProto 2.0 | Signal Protocol |
| Хранение данных | Серверы в России | Серверы за рубежом | Минимум метаданных |
| Мониторинг VPN-активности | Зафиксирован независимо | Не зафиксирован | Не зафиксирован |
| Передача данных государству | Прямо в политике конфиденциальности | Спорно, в РФ не раскрывает | Нет данных для передачи |
| Независимый аудит | Clear Gate 2026 (закрытый) | Cure53 и другие (открытые) | Регулярные открытые аудиты |
| Работа с VPN в России | Работает, активность мониторится | Работает через VPN | Работает |
Для кого MAX нормальный выбор, а для кого — нет
MAX устанавливают по разным причинам: одни — по своей воле, другие — потому что попросили на работе или в школе. Давайте честно разберём оба сценария.
MAX подойдёт, если:
- он нужен для Госуслуг, Сферума или корпоративных чатов, где требуется именно этот мессенджер;
- у вас нет конфиденциальной переписки и вы не используете VPN;
- вы общаетесь с людьми, у которых нет других мессенджеров.
MAX не подойдёт, если:
- вы используете VPN и хотите сохранить это в тайне;
- вы передаёте деловые секреты, финансовые данные или личные документы;
- вам принципиально важно, чтобы данные о вашей сетевой активности оставались только у вас.
Для чувствительной переписки лучше выбрать Signal или Telegram с включёнными секретными чатами. MAX в таких случаях — не лучший вариант.
Как снизить риски на Xiaomi: пошаговая инструкция
Если MAX всё же нужен — есть способы минимизировать риски. На устройствах Xiaomi, Redmi и POCO это сделать проще, чем на большинстве других Android-смартфонов — благодаря встроенным инструментам HyperOS.
Изолируем MAX через Второе пространство HyperOS
«Второе пространство» в HyperOS — это полноценная изолированная среда внутри одного телефона: отдельные приложения, отдельный аккаунт Google, отдельное хранилище. MAX, запущенный там, физически не видит ваши фотографии, контакты и банковские приложения из основного профиля. Подробнее о том, как работает эта изоляция, можно прочитать в нашем гайде по Второму пространству и VPN на Xiaomi.
-
- Расширенные настройки
- Зайдите в Настройки → Расширенные настройки → найдите пункт Второе пространство → нажмите «Создать».
- Задайте отдельный PIN-код или настройте вход по отпечатку пальца.
- Войдите во Второе пространство и установите там MAX — и только MAX.
- Создайте отдельный аккаунт Google специально для этого профиля.
- Отключите резервное копирование для Второго пространства в настройках облака.
Таким образом, даже если MAX что-то собирает — он получает доступ только к «пустому» профилю без ваших реальных данных.
Разрешения на Redmi и POCO: что отключить
На Redmi и POCO доступ к разрешениям MAX — через Настройки → Защита конфиденциальности → Все разрешения. Или быстрее: зажмите иконку MAX на рабочем столе → «О приложении» → «Разрешения». Полную инструкцию по управлению правами доступа для всех приложений смотрите в нашем разборе разрешений на Xiaomi с HyperOS.
| Разрешение | Что выставить | Зачем |
|---|---|---|
| Микрофон | Только во время использования | Исключает фоновую запись |
| Камера | Только во время использования | Нет доступа в фоне |
| Контакты | Отключить | Не нужны, если без синхронизации |
| Местоположение | Отключить полностью | Мессенджеру не нужна геолокация |
| Автозапуск | Отключить | Нет фоновой активности |
Уведомления тоже стоит настроить: на экране блокировки содержимое сообщений лучше скрыть. Это делается через Настройки → Уведомления → MAX → «Скрывать содержимое». Кэш приложения периодически очищайте вручную: Настройки → Приложения → MAX → «Очистить кэш».
FAQ о приватности MAX
Мессенджер MAX действительно безопасен?
Смотря что имеется в виду. От взлома снаружи — да, аудит Clear Gate это подтвердил. С точки зрения приватности сложнее: приложение собирает данные о сетевой активности и передаёт их согласно своей политике конфиденциальности, в том числе государственным органам.
Почему MAX отслеживает использование VPN на Android?
Технически MAX не «блокирует» VPN — использовать оба одновременно можно. Но исследователи зафиксировали, что приложение определяет факт активности VPN через сетевые запросы к серверам заблокированных сервисов. Разработчики объяснили это стандартными проверками WebRTC и push-уведомлений, однако полного ответа это не даёт.
Cloudflare признал MAX шпионским — это окончательный вывод?
Нет. Маркировка была выставлена алгоритмом Cloudflare в апреле 2026 года, а потом снята. Это не вердикт экспертов и не доказательство ни вины, ни невиновности — автоматическая система, которая ошибается.
MAX следит за пользователями в фоне?
Прослушивание через микрофон или постоянная запись не подтверждены. Однако сетевое поведение выходит за рамки типичного мессенджера: запросы к серверам конкурентов зафиксированы в нескольких независимых исследованиях.
Стоит ли устанавливать MAX на Xiaomi в 2026 году?
Если он нужен для работы или Госуслуг — да, но с изоляцией через Второе пространство HyperOS и минимальными разрешениями. Как основной личный мессенджер — лучше рассмотреть другие варианты.
Можно ли пользоваться MAX и VPN одновременно?
Технически — да. Но факт использования VPN с высокой вероятностью будет определён приложением через описанный механизм сетевых запросов. Насколько это критично — зависит от вашей конкретной ситуации.
Что приватнее: MAX или Telegram?
По большинству параметров Telegram. Серверы не в России, нет задокументированного мониторинга VPN, нет прямой нормы о передаче данных государству в политике конфиденциальности. Но и Telegram не является анонимным мессенджером — для настоящей анонимности существует Signal. Подробное сравнение по функциям смотрите в нашем разборе MAX против Telegram.
Обязательно ли устанавливать MAX в России?
Для госслужащих Минцифры с конца 2025 года рекомендовало органам власти перейти на MAX. Для обычных граждан — установка добровольная.
Я Тимур, энтузиаст и практик в области мобильной техники Xiaomi. За последние годы через мои руки прошли десятки смартфонов и устройств экосистемы, которые я настраивал, перепрошивал и «лечил» от самых разных ошибок. На этом сайте я собираю свой опыт в виде подробных инструкций и разборов, чтобы вы могли быстрее и безопаснее решать проблемы со своими Xiaomi, Redmi и POCO.
