Cloudflare пометил российсикй мессенджер MAX как шпионское ПО

Глобальный сервис сетевой безопасности Cloudflare присвоил официальному российскому мессенджеру MAX статус spyware (шпионское программное обеспечение). Инцидент произошел 30 апреля 2026 года, когда системы мониторинга Cloudflare Radar зафиксировали критические нарушения безопасности на основном домене приложения. Данное событие вызвало широкий общественный резонанс, так как платформа MAX активно продвигается государством в качестве основного инструмента коммуникации для госслужащих и образовательных учреждений на фоне блокировок Telegram и WhatsApp.

Технические детали инцидента: почему MAX признали опасным?

Согласно отчету Cloudflare, домены max.ru и web.max.ru были помечены как вредоносные в результате серии автоматических проверок. Из десяти проведенных тестов безопасности девять подтвердили наличие признаков шпионской активности. Основные претензии специалистов по кибербезопасности были связаны с небезопасными кросс-доменными запросами и механизмами сбора данных, которые выходят за рамки стандартного функционирования мессенджера.

Независимые исследователи, анализировавшие APK-файл приложения, ранее указывали на избыточный функционал продукта. В частности, мессенджер MAX обладает следующими возможностями:

• Мониторинг запущенных процессов и установленного программного обеспечения на устройстве;
• Постоянный сбор и передача данных о геолокации пользователя;
• Возможность записи аудио и видео в фоновом режиме;
• Перехват вводимого текста и содержимого сообщений.

Реакция разработчиков и текущий статус платформы

Пресс-служба холдинга VK, ответственного за разработку MAX, оперативно прокомментировала ситуацию. По версии компании, пометка spyware стала результатом «неверной интерпретации заголовков запросов к сервисам веб-аналитики». Разработчики настаивают, что безопасность данных пользователей находится под полным контролем, а приложение регулярно проходит аудит в рамках программы Bug Bounty.

Уже 1 мая 2026 года стало известно, что Cloudflare снял предупреждение о вредоносности с домена. Однако эксперты отмечают, что прецедент может иметь долгосрочные последствия. Ранее аналогичный статус привел к удалению из App Store приложения «Телега» — альтернативного клиента Telegram, связанного с инфраструктурой VK.

Сравнительные характеристики мессенджера MAX

Для понимания масштаба платформы и её интеграции в государственную систему ниже приведены ключевые технические и эксплуатационные параметры гаджетов и ПО в рамках экосистемы MAX.

Параметр	Характеристика мессенджера MAX
Разработчик	Холдинг VK (при поддержке Минцифры РФ)
Интеграция	Прямая авторизация через Госуслуги
Целевая аудитория	Госслужащие, учителя, сотрудники госкорпораций
Протокол шифрования	Проприетарный (согласно ГОСТ в части криптозащиты)
Передача данных	Обязательная передача по запросу в ФСБ и МВД

«Национальный мессенджер» как замена зарубежным аналогам

Форсированное внедрение MAX началось после принятия закона о создании национального мессенджера в июне 2025 года. Власти использовали административный ресурс для перевода школьных и домовых чатов на новую платформу. Эксперты «Общества защиты интернета» подчеркивают, что политика конфиденциальности MAX прямо декларирует готовность предоставлять доступ к информации правоохранительным органам без судебного решения, что и послужило одной из причин классификации его как шпионского софта западными сервисами.

На текущий момент мессенджер остается доступен в Google Play и App Store, однако сохранение TLS-сертификата и доверия со стороны международных систем безопасности остается под вопросом. Ситуация с Cloudflare наглядно демонстрирует конфликт между национальными требованиями к «прозрачности» ПО и международными стандартами кибербезопасности.