Rusko tlačí ľuďom do telefónov vlastný WhatsApp. Analýza tvrdí, že aplikácia MAX vie rozpoznať VPN aj pracovať s tvojimi správami
Ruská aplikácia MAX má podľa bezpečnostnej analýzy vedieť rozpoznať VPN, pracovať s chatmi, kontaktmi aj údajmi z telefónu. Experti upozorňujú, že ju netreba považovať za súkromný komunikačný kanál.
Rusko sa po invázii na Ukrajinu a následných sankciách začalo postupne „odstrihávať“ od Západu. Postupom času prišli obmedzenia hovorov cez WhatsApp a Telegram, tlak na domácu digitálnu infraštruktúru a podľa samotného WhatsAppu aj pokusy o zablokovanie prístupu k aplikácii pre viac než 100 miliónov používateľov v Rusku. Štát tak de facto začal tieto zahraničné aplikácie vytláčať a presadzovať vlastného nástupcu, ktorý dostal meno MAX. Na tému upozornil portál TechRadar.
MAX je súčasťou širšieho ruského ekosystému služieb, ktorý sa postupne prepája so štátnou infraštruktúrou. Aplikáciu vyvinula spoločnosť VK a prvýkrát bola predstavená v marci 2025. Od septembra 2025 je povinne predinštalovaná na všetkých nových smartfónoch a tabletoch predávaných v Rusku, čo jej zaručilo rýchle rozšírenie medzi používateľmi.
Táto štátom podporovaná komunikačná aplikácia MAX sa však opäť dostala pod drobnohľad bezpečnostných expertov po tom, čo sa na platforme Habr objavila analýza jej inštalačného balíka. V nej sa tvrdí, že po reverznom inžinierstve aplikácie bolo objavených viacero bezpečnostných problémov a funkcií, ktoré môžu predstavovať riziko pre súkromie používateľov. Viaceré z najkontroverznejších tvrdení pochádzajú priamo od pôvodného výskumníka a neskoršie nezávislé analýzy ich potvrdzujú len čiastočne. Zverejnené závery následne prebrali aj ďalšie technologické médiá a otvorili novú debatu o tom, ako MAX pracuje s dátami.
MAX má podľa analýzy problém aj s VPN
Podľa tejto analýzy by aplikácia mala vedieť rozpoznať aktívne VPN pripojenie a pracovať so správami spôsobom, ktorý presahuje bežné komunikačné funkcie. Výskumníci zároveň upozornili na to, že MAX môže získavať údaje z adresára kontaktov, informácie o nainštalovaných aplikáciách v telefóne a využívať vlastné mechanizmy na presadzovanie aktualizácií mimo štandardného procesu cez obchod Google Play. Tu však treba dodať, že nie všetky tieto tvrdenia bolo možné v plnom rozsahu potvrdiť a pri časti z nich existuje iba čiastočná zhodnosť s tým, čo je viditeľné v kóde aplikácie.
Spoločnosť VK, ktorá za aplikáciou stojí, obvinenia odmietla. Vo svojom stanovisku uviedla, že MAX používateľov nesleduje, nezbiera ich osobné údaje a „nedovolila by si“ mať technickú možnosť odpočúvania hovorov. Firma zároveň označila publikovanú analýzu za nepresnú a poprela, že by aplikácia obsahovala opisované špionážne prvky.
Neprehliadni
Časť týchto tvrdení sa rozhodla preveriť aj organizácia RKS Global, ktorá sa venuje digitálnym právam v Rusku. Jej odborníci mali dospieť k záveru, že viaceré z uvádzaných technických bodov sa dajú v kóde aplikácie skutočne nájsť, hoci nie všetky v plnom rozsahu a nie vždy v takej forme, ako ich interpretoval výskumník. Organizácia uviedla, že z celkového počtu 25 tvrdení sa 14 podarilo úplne potvrdiť, šesť len čiastočne a päť nebolo možné overiť statickou analýzou. Zároveň dodala, že žiadne z tvrdení nepovažuje za úplne nepravdivé.
Organizácia však zároveň upozornila, že jej overenie bolo obmedzené iba na statickú analýzu kódu. To znamená, že experti dekompilovali inštalačné balíky a čítali kód, ale nespúšťali aplikáciu na rootnutom zariadení ani nesledovali jej sieťovú komunikáciu v reálnej prevádzke. Práve preto nebolo možné niektoré sporné body definitívne uzavrieť bez dynamického testovania. Organizácia napríklad uviedla, že nenašla dôkaz o tom, že by aplikácia priamo robila screenshoty konverzácií a odosielala ich na server. Tento konkrétny bod označila za najslabšie podložený.
Štátom podporovaná aplikácia má podľa expertov rizikové funkcie
Za potvrdené RKS Global považuje najmä schopnosť aplikácie pracovať s obsahom chatov, odstraňovať správy a rozpoznávať prítomnosť VPN. Pri niektorých ďalších funkciách, napríklad pri vytváraní chatov, odborníci hovoria len o čiastočnom potvrdení. A aj to najmä v prípade verzie distribuovanej cez ruský obchod RuStore, kde sa našli mechanizmy umožňujúce generovať alebo upravovať konverzácie tak, aby pôsobili ako bežné čety. Z pohľadu expertov teda nejde o to, že by boli všetky tvrdenia úplne presné v detailoch, ale ich jadro sa v mnohých prípadoch opiera o skutočný kód aplikácie.
Bezpečnostné pochybnosti sa okolo MAXu neobjavili po prvý raz. Už skôr sa hovorilo o tom, že aplikácia má výrazný sledovací potenciál a je úzko spätá so štátnou infraštruktúrou. Pozornosť vzbudilo aj krátkodobé označenie zo strany Cloudflare ako „spyware“. Toto označenie bolo neskôr odstránené, čo však neukončilo diskusiu o tom, do akej miery je aplikácia vhodná na citlivú komunikáciu.
Odborníci preto odporúčajú pristupovať k MAXu opatrne a nepovažovať ho za súkromný komunikačný kanál. Ak je jeho používanie nevyhnutné, radia obmedziť povolenia na minimum, najmä prístup ku kontaktom, mikrofónu a kamere, a vyhýbať sa verzii z RuStore. Taktiež neodporúčajú používať aplikáciu na zdieľanie citlivých informácií. VPN podľa nich nemusí predstavovať spoľahlivú ochranu, keďže aplikácia ju môže vedieť rozpoznať, obmedziť niektoré funkcie a pomocou externých služieb zisťovať verejnú IP adresu používateľa.
