一位俄羅斯安全研究員在Habr論壇上發帖,表示對國家支持的即時通訊軟體MAX進行逆向工程後,發現至少15個安全問題。該軟體被指具備截圖對話、秘密錄音、偽造聊天記錄、直接刪除訊息等功能,還能繞過Google Play強制更新、上傳通訊錄,並偵測用戶是否使用VPN。
MAX開發團隊迅速聯繫發文作者,表示分析報告”純屬偽造”,並聲明”不監控用戶、不收集個人資料、技術上不具備監聽通話能力”,強調所有用戶資料均受安全保護。
這並非首次出現類似指控。今年3月,Habr另一用戶已曝光MAX的VPN監控能力。 4月,俄羅斯數位權利組織RKS Global發現MAX位列30款偵測VPN連線的安卓應用程式之一。
MAX由俄羅斯科技巨頭VK開發,後者同時經營Mail.ru信箱和VKontakte社群平台。該軟體深度整合政府服務,2025年3月上線,同年9月起成為俄羅斯新售手機和平板的強制預裝應用。
去年已有安全研究人員指出該應用程式”具有巨大的監控潛力”。近期,美國雲端服務商Cloudflare曾將MAX標記為”間諜軟體”,但根據獨立俄媒Meduza報道,該標籤24小時後移除。
TechRadar就Habr貼文中的25項技術指控徵詢RKS Global專家意見。該組織發言人表示:14項在程式碼中完全確認,6項部分確認,5項無法靜態驗證,”沒有一項完全虛假”。 RKS Global認為截圖指控”最站不住腳”——未發現截圖並回傳的代碼。但專家確認MAX確實具備聊天記錄錄製、訊息刪除和VPN偵測功能,部分證實了偽造聊天的指控。
