Гуляет типа обзор по этим вашим интернетам, где какой-то хуй ,пользуясь неграмотностью населения, подводит к мысли, что российская разработка мессенджера- это прямо шпионская программа, и ставить ее на телефон нельзя вообще. Разбор пиздежа:
"Вообще вся статья - это домыслы человека, несильно знакомого с разработкой ПО. Пройдемся по пунктам:
1. "но там есть доступ к bluetooth, локации, ТОЧНОМУ МЕСТОПОЛОЖЕНИЮ" - права на синезуб нужны, чтобы делиться контентом из Мах напрямую через сам синезуб. Права на это есть АБСОЛЮТНО у всех приложений. Ибо синезуб - это просто один из видов беспроводных сетей, таких же, как wifi, edge, lte и т.д. Никого же не пугает, что соцсеть умеет гнать данные по инету?)) Доступ к местоположению нужен для геотегов в фото. Опять же, никого не пугает его наличие в WA, Telegram, Instagram, а в Max это ужос...
2. "Оно проверяет ваше устройство на рут-права" - так это же хорошо! Отсутсвие рут прав гарантирует, что Мах запускаясь в собственной песочнице не получит доступ к окружению других приложений и наоборот.
3. "Max собирает данные об аккаунтах других приложений на устройстве (тег COLLECTION), запрашивает информацию о запущенных процессах (тег DISCOVERY), читает ваши контакты и содержимое фотографий (тоже COLLECTION, что, возможно, и ожидаемо для мессенджера)" - опять таки, не забываем про sandbox. ВСЕ пользовательские приложения запускаются в собственной изолированной друг от друга середе. Соответсвенно, все приложения имеют доступ только к собственному окружению и своим библиотекам. Окружение других приложений и системные ресурсы остаются недоступными. При выдаче приложениям разрешений в Android (например, доступ к местоположению), приложению ядром назначаются идентификаторы заранее определенных разрабами ОС групп. Приложение не может само взять из воздуха и добавить к своему UID группу root, необходимую для доступа к процессам и окружению других пользовательских и системных приложений. Так работает Android, iOS, MacOS, Linux и любая другая *nix.
4. "Но вот что настораживает: приложение удерживает устройство в активном состоянии с помощью wake lock, что для мессенджера совсем не типично" - это как раз таки типично, иначе при совершении видеозвонков у вас тел блочился бы во время разговора, а спуся какое то время ОС ушла бы в сон и выгрузила к чертям из памяти мессенджер.
5. "А теперь самое тревожное: все данные, которые собирает Max — от ваших чатов до информации об устройстве, — отправляются прямиком на сервера VK" - ну ппц теперь. А ничего, что вся БД хранится на серверах ВК? А ниче, что БД whatsapp хранится на серверах гугла? А инста хранит данные на серверах ФБ?даже телега хранит данные на своих серверах. На устройствах хранится только кэш фото, видео, аудио...
6. "В фоновом режиме так как читает уведомления с чужих приложений" - смотри пункт 3.
7. "Копнув ещё глубже, я обнаружил, что Max использует jar-файлы для внедрения в систему вашего устройства". Вообще наличие jar ничего не значит - apk и aar после компиляции в Android Studio могут содержать в себе ресурсы Android, файлы манифеста, библиотеки С++, методы и классы java и Kotlin. Это АБСОЛЮТНО НОРМАЛЬНО.
Мой вердикт - либо ты не рубишь как работает ОС Android и приложения в этой ОС, либо тебе кто-то завез cash за сей опус...
В любом случае, текст - бред, расчитанный на всепропальщиков и сторонников теории заговора. Им зайдет, они оценят)
Еще один гвоздик в крышку - распакуй apk и посмотри менифесты этого приложения. Это всего лишь форк приложения ТамТам от Одноклассников. Почему ты не плюешься в сторону ТамТам, ибо все, что ты написал, перекочевало в Мах из ТамТам? А еще ты можешь загрузить на virustotal apk whatsapp либо телеги и совсем взгрустнуть, ибо там все аналагично. А еще ты можешь купить себе и своему окружению кнопочный телефон с поддержкой только GSM без всяких GPS, либо сразу радейку с шифрованием =)"
По различным телеграм-каналам разгоняется инфа, что якобы десктопный Мах делает снимки на камеру каждые 5-10 минут, даже если приложение не используется.
Правда, некоторые из этих каналов уже опубликовали условное опровержение - комментарий пресс-службы платформы, опубликованный ТАСС.
> Это всего лишь форк приложения ТамТам от Одноклассников. Почему ты не плюешься в сторону ТамТам, ибо все, что ты написал, перекочевало в Мах из ТамТам?
За себя скажу, что не плююсь, потому что про ТамТам лично я услышал в сегодня лет и его не навязывали, как безальтернативный мессенджер для звонков через инет, да еще и с интеграцией с Госуслугами, или что там они планируют прикрутить. Как по мне, сейчас идет нормальная реакция, обусловленная устойчивым рефлексом на всяческие "благие" инициативы наших правителей.
Я вам не скажу за всю Одессу (с)
Но у меня в бывшем mail.ru group работают хорошие друзья.
В общем, ничего не могу сказать что там про шпионство и слежку, но вот что качество кода там такое, как будто писали даже не джуны а первокурсники шараги, а об общей архитектуре можно даже не говорить ничего за её отсутствием, это да...
Правда, по некоторым данным, "да так все везде делают", не только в этом мессенджере.
Макс, если я правильно понял, может работать только при наличии российской симки. Таким образом он не решает проблему блокировки звонков.
В соседней теме предложили несколько вариантов заместо заблокированных телеграмма и воцапа. Поставил Zangi. Этому вообще сим-карта не нужна. Запустил - дали 10-значный номер, примерно как в аське было. Сообщил родственникам, созвонились, качество видео хорошее.
у китайцев это параллельный свой интернет с кучей своих полноценных сервисов которые изначально успешно и активно развиваются параллельно. А у нас обычно заявляют об убийце тытрубы или еще чего а выходит говенный рутуб, или в лучшем случае ВК который даже не пытается бороться за свое выживание. Всего лишь навсего разработчики пользуясь поддержкой властей пытаются заместить. Так и тут. Давайте все запретим, а заставим пользоваться вот этим. Надеюсь, что сторонники данной платформы не будут отрицать, что если кто то захочет заполучить доступ - он его заполучит, вне зависимости от того заграницей он находится или в РФ. Слухи про съемку раз в пять минут меня не особо пугают. Пусть снимают мою жопу через карман джинсов если это кому то нужно. А вот пользовательское соглашение вынуждает меня как можно дольше это поделие никуда не устанавливать. Многие прописанные там условия, мягко говоря не приемлемы. Ну и административное навязывание установки бюджетникам не красит эту контору с лучшей стороны.
Похуй на вбросы. Это странное сырое говно от ВК. Ставить это себе на основную мобилу это проебать критичные данные и подарить их тем же хохлам. Сейчас эта практика говеная везде. Устроить платный альфа-тест, а потом развести руками мол сами дебилы. Ну а из под госпалки так вообще напрягаться не надо.
Я вас умоляю. Сырое дерьмо от ватсапа все юзают и не парятся на то, как оно мгновенно засирает телефон с любым объемом флэшки. Привыкли, панимаэшь. К тому, что все, кому не лень в ЦРУ и ФБР лениво проглядывают вашу домашнюю порнуху, лежащую на штатовских облаках.
А вот если эту же порнуху предлагают перенести на ФСБшные сервера - это да, трагедия.
> Вся внутренняя документация пересылалась через вотсапы и вайберы. МО РФ этим тоже грешат.
Ага! Училки младших классов пересылают.
У нас все гуглсервисы вне закона с 2022 года 24 февраля. Но вот только стоит со столицей связаться какую нибудь гугловскую хрень пришлют. А потом удивленные глаза делают, как это у вас не работает???? Пусть для начала у себя порядок наведут.
А так просто очередная попытка используя админресурс продвинуть свой, не самый качественный продукт, прикрываясь опасностью исходящей от врагов. А че джеппу в прошлом году за Дурова рвали? Надо было сразу вводить новый софт! Может все таки надо было хохлов в 2014 году разъеживать? Один хрен, ни к чему не готовились.
Пока можно не пользоваться, ставить не буду. А, как станет нельзя, постараюсь не ставить, всë равно. Практику тупых запретов на всë поощрять не намерен.
> Сырое дерьмо от ватсапа все юзают и не парятся на то, как оно мгновенно засирает телефон с любым объемом флэшки
У нас в ДНР вацап вне закона с начала СВО. Выключили и не пользуемся. Никаких проблем нет. Никто даже вопросов не задавал. Проблемы когда кто то из столицы приезжает и начинается нытье: " Каааак?! У вас нет вацапа? У нас все на нем сидят!!! Это жы удобна! А я вам не могу больше никуда переслать. "( И это люди из серьезных ведомств) Может пускай там на верху люди для начала с собой разберутся, что можно а что нельзя юзать?!
У нас кста на очень серьезном уровне запрещено яблоко юзать. Потому как были прецеденты по безопасности, с обстрелами. Но гости поголовно на яблоках приезжают
Меня удивляет в этой ситуации с MAX только то, что его не сделали ещё 15 лет назад и не отпиздили ещё прилюдно ни одну группу чиновников с "рабочим чатиком" в вацапе и телеге, в котором они передают друг другу гостайну. Вона в США журналиста включили в чатик по ударам по Йемену - какой шум поднялся. А тут генералы штаба МО на яблокофонах с вацапом. Это какая-то не правильная "война миров".
Камрад, так MAX для бюджетников это как раз "порядок наведут" с точки зрения государственной машины.
В гос-системе оно где-то так и работает:
1. заказать подрядчику гос-мессенжер MAX
2. заставить всех гос-служащих поставить местный российский MАХ, который не пересылает данные через серверы подконтрольные пейсбуку (и следовательно NSA)
3. перевести все внутренние чаты на MAX
4. через полгода издать циркуляр по которому все гос-служащие должны разинсталлировать WhatsApp
> у китайцев это параллельный свой интернет с кучей своих полноценных сервисов которые изначально успешно и активно развиваются параллельно.
Когда Китай только начал делать свои телефоны, автомобили и т.д., только ленивый не смеялся над "поделиями".
С софтом было то же самое.
Но за годы развития они вышли на более чем пристойный уровень.
> А у нас обычно заявляют об убийце тытрубы или еще чего а выходит говенный рутуб, или в лучшем случае ВК который даже не пытается бороться за свое выживание. Всего лишь навсего разработчики пользуясь поддержкой властей пытаются заместить.
Ключевая проблема что нет постоянного улучшения и поддержки, да.
Гос. поддержка в этом плане помогает стартануть а дальше сами, в итоге есть целые компании специализирующиеся на запуске, но даже не пытающиеся в поддержку на 5+ лет.
> Давайте все запретим, а заставим пользоваться вот этим.
В конкретном случае, запрещают далеко не всё.
Да и не заставляют пока что, выбор вполне есть.
И проблема откровенно недружественных организаций есть и решать её надо.
То есть, проблема тут не в запрете, а в том что нет уверенности в предоставлении нормальной альтернативы, исходя из прошлого опыта.
> Ну и административное навязывание установки бюджетникам не красит эту контору с лучшей стороны.
Я бюджетник дальше не куда.
В обеих организациях где работаю, одна из них под минцифры, разговор о переходе на отечественные мессенджеры пока даже не начинался.
Может с 1го сентября конечно.
Но за 15 лет работы, палкой никуда не гоняли, даже на выборы.
Это не к тому что такого нет и быть не может, это к тому, что федеральной инициативы такой нет. А на местах дураков с запасом всегда было.
> Меня удивляет в этой ситуации с MAX только то, что его не сделали ещё 15 лет назад и не отпиздили ещё прилюдно ни одну группу чиновников с "рабочим чатиком" в вацапе и телеге, в котором они передают друг другу гостайну.
Да там пиздец паноптикум.
Во время ковида, в разгар борьбы с телеграмом, нам наш министр на встрече рекомендовал учебные группы в телеграмме создавать.
Половина собравшихся согласно кивали, вторая половина смотрела матом.
> В обеих организациях где работаю, одна из них под минцифры, разговор о переходе на отечественные мессенджеры пока даже не начинался.
У вас не начинался, а у нас училкам и в прочие бюджетные структуры разослали: Зарегаться и скрин прислать. У нас на местах многие чиновники без админресурса не умеют.
Вот в данном случае, кто больший вражина и криптохохол: я или тот кто это заставляет делать?
Есть подозрения, что цели как и с рутубом и с ВК несколько иные. Переделить с помощью админ ресурса рынок под себя. Под предлогом, что наших блогеров там блочат. А вот сейчас рутуб и ВК легко перезаливает инагентское и прочее вражье дерьмо, из-за которого запрещали все... И развиваться не хотят. Обе платформы - дно дна. Контент для деградантов.
И как обычно люди , накачавшие себе на телефон десяток бесплатных впн-приложений (в том числе не из официальных магазинов) ссутся от обычного мессенджера.
> Я бюджетник дальше не куда.
> В обеих организациях где работаю, одна из них под минцифры, разговор о переходе на отечественные мессенджеры пока даже не начинался.
> Может с 1го сентября конечно.
> Но за 15 лет работы, палкой никуда не гоняли, даже на выборы.
> Это не к тому что такого нет и быть не может, это к тому, что федеральной инициативы такой нет. А на местах дураков с запасом всегда было.
Палками гонять начнут когда ядерные центрифуги или пейджеры взрываться начнут.
А пока рассчитывают на сознательность, которой нет.
Вот есть такой известный, убеленный сединами кибербезопасник Алексей Лукацкий из насквозь отечественной Positive Technologies.
[censored]
Он тоже немного покопался в новинке, уделяя внимание в основном близким ему аспектам. Вот такого уровня разборы нам нужны.
[censored]
Итак, сюрприз, мессенджер Мах признан национальной платформой И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала
Когда принимали оборотные штрафы за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нацмессенджера наградили некое ООО "Коммуникационная платформа" (на сайт без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты?
Если посмотреть реестр операторов персональных данных, то мы увидим, что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нацплатформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн
Дальше больше. Смотрим публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - человека (и по ФОТу похоже). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн?
Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет , но при этом, согласно тому же реестру, никаких шифровальных средств оператор нацплатформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность персданных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счет?
А еще все говорят, что в Max будет интегрирован "Госключ" , а сам он будет связан с ЕСИА. И как это будет сделано без криптографии?.. А ведь криптографию еще надо внедрить в мессенджер и потом сертифицировать, что занимает в ФСБ немало времени (хотя может быть будет как при регистрации в реестре РКН - за 1 день?). И потом опять сертифицировать, и опять, и опять - ведь новые релизы с новыми функциями будут выпускаться еженедельно. И как при таких спринтах будет проверяться корректность встраивания СКЗИ?
Изучаем запись в реестре операторов ПДн дальше. Там заявлено всего 5 целей обработки у ООО "Коммуникационная платформа":
Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства
Осуществления трудовых отношений с работниками в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами и обеспечение работников комфортными условиями труда
Исполнение обязательств, предусмотренных действующим законодательством РФ, включая подзаконные акты
Оформление гостевых пропусков для однократного прохода на территорию оператора
Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.
Как вы думаете, какая цель описывает работу мессенджера? Я вот думал-думал и не нашел никаких вариантов в этой пятерке. Не контрагентами же пользователей называют. А тогда на каком основании мессенджер вообще получает персональные данные своих абонентов? Кстати, заявляется об интеграции в Max еще и биометрии Но в списке обрабатываемых данных для всех пяти целей биометрия не заявлена. Вообще там много чего не внесено из того, что с высоких трибун заявляют чиновники относительно функционала национальной платформы
Возвращаясь к первоначальному вопросу - будет ли нести ООО "ВК" ответственность за инциденты с ПДн в мессенджере? Вроде как формулировка в реестре говорит, что ООО "Коммуникационная платформа" поручает обработку ПДн именно ВК, но... на самом деле там "поручена" организация обработки, а не сама обработка. И оператором продолжает оставаться именно оператор нацплатформы. На него и ляжет в случае чего вся тяжесть ответственности за инцидент
Кстати, по закону и многократным разъяснениям РКН политика обработки ПДн должна быть опубликована на сайте компании, чего мы не наблюдаем. Можно, конечно, сказать, что на этот кейс распространяется политика ВК, но, увы, соглашение об обработке ПДн самого ВК ни разу не упоминает ООО "Коммуникационная платформа" Но вдруг что-то сказано в соглашении об обработке ПДн всей экосистемы ВК. Тоже пустота. Я вам скажу больше - если отбросить в сторону местами странные юридические обороты (я все-таки не юрист), историю с конклюдентным согласием (кого-то другого РКН за такой фокус выдрал бы) и отказ упоминания конкретных юрлиц, которым передаются ПДн пользователей, то мы увидим, что мессенджер Мах вообще не входит в экосистему ВК и общее соглашение для сервисов экосистемы на нацплатформу не распространяется
Как пишет Ника, продвижение нацмессенджера - это задача со звездочкой Соглашусь с ней в этом вопросе. Слишком уж быстро раскручивается вся ситуация, как будто кто-то дал указание срочно заместить Telegram и Whatsapp и все взяли под козырек, но делают все настолько топорно, что диву даешься Ну как можно было не подумать об очевидных вещах, которые пробиваются на раз-два и доступны любому желающему - реестр РКН, информация о компании (и да, это не фейк, - все данные проверяются и перепроверяются по нескольким источникам), наличие лицензий ФСТЭК и ФСБ (их нет), согласие на обработку ПДн...
По результатам прошлого поста коллеги подсказали, что у Max выложено нечто, похожее на политику. Но все-таки это не политика по обработке ПДн, как того требует РКН. И она точно не соответствует тому, что находится в реестре РКН.
В предыдущих сообщениях я рассмотрел только отдельные, лежащие на поверхности моменты, связанные с обработкой персональных данных и криптографической защитой в нацплатформе. Если попробовать посмотреть глубже, например, на требования нового 117-го приказа ФСТЭК, то из него вытекает (хотя и неявно), что класс защищенности информационной системы, в которой разворачивается Max, должен быть не ниже того, что у ГИС, с которыми она взаимодействует А так как там заявлено взаимодействие с ЕСИА, то класс защищенности не должен быть ниже К1, что накладывает еще больше организационных ограничений по ИБ, которые должно выполнять ООО "Коммуникационная платформа". Но способно ли оно это выполнить? Ведь даже поручить ООО "ВК" (как в части ПДн) свою защиту оно не может, так как у ООО "ВК" нет лицензии ФСТЭК на деятельность по ТЗКИ, что требуется по закону. Такая лицензия есть у ООО "ВК Цифровые технологии", но среди указанных там видов деятельности отсутствует мониторинг ИБ.
И ведь даже до защиты самого мессенджера дело не дошло Мне почему-то кажется, что именно в этой части там будет все нормально. Но все остальное снижает доверие и к нацплатформе, и к тому, как и кто ее продвигает... Пока это похоже на какое-то впаривание. Куда проще было просто заблокировать все мессенджеры кроме Мах. И все - задача решена. И без всех этих выкрутасов
Я думаю, она и так будет решена, видя с каким упорством и скоростью продвигается эта нацплатформа Будут выданы если не сертификаты, то хотя бы положительные заключения ФСБ на всю схему, будет выдан сертификат на безопасную разработку, быстро получены все лицензии, во все соглашения на обработку ПДн будут внесены изменения (да, без предупреждения субъектов), в уведомление РКН будут внесены нужные изменения для реестра операторов ПДн, специалисты будут обучены, а в ООО "Коммуникационная платформа" будет назначен заместитель генерального директора по ИБ в соответствие с 250-м Указом (а то странно как-то, что нацплатформа не будет отнесена к стратегическим предприятиям) И вообще будет много чего сделано... или не будет. Тут же как - у нас все равны перед законом, но есть те, кто ровнее.
Выполнить все утвержденные за долгие десятилетия нормотворчества организационные требования по ИБ и ПДн в Мах невозможно И перед стейкхолдерами этого платформенного мессенджера встанет дилемма - забить болт на требования, попробовать их выполнить (честно скажу, нереально; особенно в столь сжатые сроки), заняться очковтирательством, запустить процесс изменения устаревших требований Я, признаться честно, хотел бы, чтобы все пошло по последнему варианту. Собралась бы согласительная комиссия из разных ведомств, провела бы ревизию всего законодательства по ИБ и отменила бы все то говно мамонта, которое мы тянем за собой уже десятки лет. Поэтому, скорее всего, будет а вот что будет, мы посмотрим все вместе
ЗЫ. Да, если, вдруг, меня читают представители ООО "Коммуникационная платформа" и на все заданные в трех заметках вопросы уже есть ответы, то был бы рад их увидеть. Готов даже про них написать, если будет продемонстрировано, что все или часть описанного не соответствуют текущей действительности И еще раз повторю - вопросы у меня не к технической стороне защиты мессенджера, а к той обвязке, которая эту защиту должна сопровождать.
ЗЗЫ. Все-таки, куда все так торопятся с этим Мах, подставляя себя под критику иноагентов, нежелательных организаций, экстремистов, террористов, блогеров и просто интересующихся?.. Но ведь главное что? Что вся критика идет на частную компанию из двух человек. Это же не государственный мессенджер и разрабатывает его не государственная компания! И не важно, что через него будет осуществляться доступ к госуслугам (это такие "мелочи")...
Сейчас, сейчас
"Вообще вся статья - это домыслы человека, несильно знакомого с разработкой ПО. Пройдемся по пунктам:
1. "но там есть доступ к bluetooth, локации, ТОЧНОМУ МЕСТОПОЛОЖЕНИЮ" - права на синезуб нужны, чтобы делиться контентом из Мах напрямую через сам синезуб. Права на это есть АБСОЛЮТНО у всех приложений. Ибо синезуб - это просто один из видов беспроводных сетей, таких же, как wifi, edge, lte и т.д. Никого же не пугает, что соцсеть умеет гнать данные по инету?)) Доступ к местоположению нужен для геотегов в фото. Опять же, никого не пугает его наличие в WA, Telegram, Instagram, а в Max это ужос...
2. "Оно проверяет ваше устройство на рут-права" - так это же хорошо! Отсутсвие рут прав гарантирует, что Мах запускаясь в собственной песочнице не получит доступ к окружению других приложений и наоборот.
3. "Max собирает данные об аккаунтах других приложений на устройстве (тег COLLECTION), запрашивает информацию о запущенных процессах (тег DISCOVERY), читает ваши контакты и содержимое фотографий (тоже COLLECTION, что, возможно, и ожидаемо для мессенджера)" - опять таки, не забываем про sandbox. ВСЕ пользовательские приложения запускаются в собственной изолированной друг от друга середе. Соответсвенно, все приложения имеют доступ только к собственному окружению и своим библиотекам. Окружение других приложений и системные ресурсы остаются недоступными. При выдаче приложениям разрешений в Android (например, доступ к местоположению), приложению ядром назначаются идентификаторы заранее определенных разрабами ОС групп. Приложение не может само взять из воздуха и добавить к своему UID группу root, необходимую для доступа к процессам и окружению других пользовательских и системных приложений. Так работает Android, iOS, MacOS, Linux и любая другая *nix.
4. "Но вот что настораживает: приложение удерживает устройство в активном состоянии с помощью wake lock, что для мессенджера совсем не типично" - это как раз таки типично, иначе при совершении видеозвонков у вас тел блочился бы во время разговора, а спуся какое то время ОС ушла бы в сон и выгрузила к чертям из памяти мессенджер.
5. "А теперь самое тревожное: все данные, которые собирает Max — от ваших чатов до информации об устройстве, — отправляются прямиком на сервера VK" - ну ппц теперь. А ничего, что вся БД хранится на серверах ВК? А ниче, что БД whatsapp хранится на серверах гугла? А инста хранит данные на серверах ФБ?даже телега хранит данные на своих серверах. На устройствах хранится только кэш фото, видео, аудио...
6. "В фоновом режиме так как читает уведомления с чужих приложений" - смотри пункт 3.
7. "Копнув ещё глубже, я обнаружил, что Max использует jar-файлы для внедрения в систему вашего устройства". Вообще наличие jar ничего не значит - apk и aar после компиляции в Android Studio могут содержать в себе ресурсы Android, файлы манифеста, библиотеки С++, методы и классы java и Kotlin. Это АБСОЛЮТНО НОРМАЛЬНО.
Мой вердикт - либо ты не рубишь как работает ОС Android и приложения в этой ОС, либо тебе кто-то завез cash за сей опус...
В любом случае, текст - бред, расчитанный на всепропальщиков и сторонников теории заговора. Им зайдет, они оценят)
Еще один гвоздик в крышку - распакуй apk и посмотри менифесты этого приложения. Это всего лишь форк приложения ТамТам от Одноклассников. Почему ты не плюешься в сторону ТамТам, ибо все, что ты написал, перекочевало в Мах из ТамТам? А еще ты можешь загрузить на virustotal apk whatsapp либо телеги и совсем взгрустнуть, ибо там все аналагично. А еще ты можешь купить себе и своему окружению кнопочный телефон с поддержкой только GSM без всяких GPS, либо сразу радейку с шифрованием =)"