Պետական Max մեսենջերում հայտնաբերել են օգտատերերի նկատմամբ ամբողջական հսկողության գործառույթներ։ zarazaex մականունով ծրագրավորողը ամբողջությամբ վերլուծել է հավելվածի APK ֆայլը և հետազոտության արդյունքները հրապարակել Habr-ում։ Պարզվել է, որ Max-ը հավաքում է կոնտակտների և տեղադրված ծրագրերի ցանկը, կարող է անել նամակագրությունների սքրինշոթներ, իրականացնել ձայնի թաքնված ձայնագրություն, ստեղծել կեղծ չատեր և անմիջապես հեռախոսից աննկատ ջնջել հաղորդագրությունները։
Բացի այդ, մեսենջերը կարողանում է որոշել իրական IP հասցեն միացված VPN-ի դեպքում և օգտագործում է սարքի ներկառուցված նույնացուցիչ, որը հնարավոր չէ վերականգնել անգամ հավելվածը ջնջելուց կամ հեռախոսը գործարանային կարգավորումներին վերադարձնելուց հետո։
Նշվում է նաև, որ Max-ը տվյալներ հավաքելու համար ուղարկում է թաքնված հրամաններ և push-ծանուցումներ, այդ թվում՝ օգտատիրոջ կոորդինատները ստանալու նպատակով, զանգերի ընթացքում աննկատ ձայնագրում է աուդիոն և այնուհետև բեռնում սերվեր, որտեղ դրանք պահվում են առանց end-to-end կոդավորման։ Մեսենջերում նաև հայտնաբերել են խոսքի ճանաչման, հիմնաբառերի որոշման և ձայնով մարդու նույնականացման գործիքներ։ Բացի այդ, Max-ը հարկադրաբար թարմացնում է հավելվածը և հավաքում ամբողջ հեռախոսագիրքը, իսկ սերվերը կարող է «մկնիկի մեկ սեղմումով» ներբեռնել բոլոր լոգերը և կոնտակտները։
Max-ը նաև կարող է անջատել TLS վավերացումը՝ թվային SSL/TLS սերտիֆիկատի և հենց այն սերվերի իսկության ստուգման գործընթացը, որին միանում է օգտատերը։ Հետազոտության մեջ ամփոփվում է, որ մյուս գործիքների հետ միասին սա ձևավորում է «տուր ինձ այն ամենը, ինչ պահվում է քո հիշողության մեջ, և մի ստուգիր դա պահանջողի սերտիֆիկատը» հավաքածու։
Ավելի վաղ GitHub-ի հետազոտողները ևս եկել էին այն եզրակացության, որ Max-ը լրտեսական ծրագիր է։ Նրանք նույնպես վերլուծել էին հավելվածի APK ֆայլը և պարզել, որ այն հետևում է գործընթացներին ու տեղադրված ծրագրերին, հավաքում է աշխարհագրական տեղադրության տվյալներ, ձայնագրում է ձայն, տեսանյութ և հաղորդագրություններում մուտքագրվող տեքստը։
Ամենամեծ հոսթինգ մատակարար Cloudflare-ը ավելի վաղ դասակարգել էր Max-ը որպես «լրտեսական ծրագրային ապահովում» (spyware) և զգուշացրել էր դրա «վնասակարության» մասին, սակայն հետագայում այդ նշումը հեռացվել էր։
Պետական մեսենջերը մշակվել էր Վլադիմիր Պուտինի պահանջով՝ VK հոլդինգի կողմից, որը ղեկավարում է նախագահի աշխատակազմի ղեկավարի առաջին տեղակալի որդին՝ Վլադիմիր Կիրիենկոն։ Max-ի գաղտնիության քաղաքականության մեջ ուղիղ նշված է տվյալների փոխանցումը ԱԴԾ-ին, ՆԳՆ-ին, ԴՀԾ-ին և Ռուսաստանի բանկին՝ հարցման դեպքում։
Ռուսաստանցիները դժկամությամբ էին անցնում պետական մեսենջեր, ինչի պատճառով իշխանությունները սկսեցին օգտագործել վարչական ռեսուրս՝ այն ներբեռնելուն հարկադրելու համար, և պարտավորեցրին նախապես տեղադրել հավելվածը երկրում վաճառվող բոլոր գաջեթների վրա։ Max տեղափոխել են դպրոցական և շենքային չատերը, պաշտոնյաների և պետական ընկերությունների աշխատակիցների նամակագրությունը, ինչպես նաև այն ինտեգրել են «Պետծառայություններ» ծառայության հետ։
Զուգահեռաբար Ռոսկոմնադզորը արգելափակել է երկրում ամենահայտնի երկու մեսենջերները՝ WhatsApp-ը և Telegram-ը։ Վերջինիս հիմնադիր Պավել Դուրովը հայտարարել էր, որ ռուսական իշխանությունները ցանկանում են բոլոր քաղաքացիներին քշել դեպի «պետության կողմից վերահսկվող հավելված, որը ստեղծված է լրտեսության և քաղաքական գրաքննության համար»։