- Специальный корреспондент
Интро
Всем привет!Тема национального мессенджера уже хайпит не первый месяц. Практически каждый день появляются новости, связанные с MAX. Если бы меня кто‑то спросил, как я оцениваю PR MAX, я бы ему поставил твёрдую 2! Как по мне — практически все новости сводятся к негативу: «обязать пользоваться», «небезопасно», «перевести, чтобы получать только в MAX», «приложение шпионит», «проверить на иноагентство тех, кто критикует» и т. п. Мне же, как технарю, хочется видеть больше технических новостей, больше информации про технические решения внутри мессенджера, аргументы, опровергающие ту, якобы «недостоверную», информацию, которая появляется в сети про уязвимости MAX. Но пока всё сводится к опровержениям формата «Это всё фейк» и никаких нормальных аргументов не приводится, хотя, некоторым блогерам, вроде как, удаётся получить комментарии команды мессенджера, но почему эти комментарии не давать широко и публично — я не понимаю.
Я,
Это — первая статья. В ней я сравню разрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp*.
Вводные
- Я вообще не имею никакого отношения к компаниям, создающих и развивающих мессенджер MAX;
- Эта статья не является рекламой. Я вас ни к чему не призываю, не побуждаю и т. п. Эта статья — результат моего личного любопытства и попытка ответить на вопросы, на которые я не смог получить ответы в других источниках;
- Ранее, до этого эксперимента, я MAX не устанавливал и не использовал;
- Весь эксперимент я провожу на своём личном основном Android‑смартфоне которым пользуюсь постоянно на протяжении последних 2х лет — Samsung S22 Ultra, с Android 15 и One UI 7.0. MAX установил из RuStore 19 августа 2025 года. Версия MAX на тот момент 25.8.1 от 13 августа 2025 г.;
- Я не являюсь экспертом по Android, не сильно хорошо знаю его архитектуру и не разбираюсь глубоко в принципах работы его стека безопасности, сетевого стека и т. п.
Инструмент для подсчёта
Для того, чтобы понять какие разрешения используют приложения, я буду пользоваться сервисом Exodus Privacy.εxodus — платформа аудита конфиденциальности для приложений Android, которая анализирует приложения Android и ищет встроенные трекеры, а также показывает запрашиваемые приложением разрешения.
Пример отчёта по приложению WhatsApp*
Но тут появилась первая сложность. Если Telegram и WhatsApp* легко анализируются, то MAX ни в какую не хочет. Его аналитики нет на этой платформе, а когда его ссылку на Google Play явно указываешь для «принудительного» анализа, то появляется ошибка. Как будто у MAX стоит какая‑то защита от подобных исследований.
Сдаваться не хотелось и я нашёл выход — мобильное приложение Exodus. Его суть простая, он сканирует все установленные приложения у вас на телефоне и подтягивает информацию по ним из своей централизованной базы. Но, как оказалось, отсутствие информации о MAX не мешает приложению определить все запрашиваемые им разрешения.
Вот так выглядит отчёт по приложениям в εxodus:
Наглядное сравнение по количеству запрашиваемых приложениями разрешений.
Далее будет достаточно большой анализ, где мы разберём абсолютно все разрешения. Поэтому, если лень читать или нет времени, то переходите сразу к выводам и итогам.
1. Общие разрешения для всех
Давайте посмотрим те разрешения, которые есть у всех исследуемых мессенджеров. Таких 42 штуки.Разрешение | Описание |
|---|---|
ACCESS_COARSE_LOCATION | Доступ к примерному (сетевому) местоположению (например, по вышкам сотовой связи и Wi‑Fi). |
ACCESS_FINE_LOCATION | Доступ к точному (GPS) местоположению. |
ACCESS_NETWORK_STATE | Просмотр состояния сетевого подключения (есть ли интернет). |
ACCESS_WIFI_STATE | Просмотр информации о подключении Wi‑Fi. |
AUTHENTICATE_ACCOUNTS | Возможность работать с аккаунтами на устройстве (например, создать аккаунт мессенджера в настройках). |
BLUETOOTH_CONNECT | Подключение к сопряженным Bluetooth‑устройствам (например, для звонков через гарнитуру). |
BROADCAST_BADGE | Рассылка уведомлений для обновления бейджа на иконке. |
CAMERA | Доступ к камере для фото и видео. |
CHANGE_BADGE | Изменение бейджа на иконке приложения. |
DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION | Техническое разрешение для безопасной работы внутренних компонентов приложения. |
FOREGROUND_SERVICE | Запуск службы, работающей на переднем плане (показывает постоянное уведомление). |
FOREGROUND_SERVICE_CAMERA | Служба для использования камеры. |
FOREGROUND_SERVICE_DATA_SYNC | Служба для синхронизации данных. |
FOREGROUND_SERVICE_MEDIA_PROJECTION | Служба для записи или трансляции экрана. |
FOREGROUND_SERVICE_MICROPHONE | Служба для использования микрофона. |
GET_ACCOUNTS | Доступ к списку аккаунтов на устройстве (например, для поиска друзей). |
INTERNET | Открытие сетевых сокетов (базовый доступ в интернет). |
MANAGE_ACCOUNTS | Управление аккаунтами на устройстве (добавление, удаление). |
MODIFY_AUDIO_SETTINGS | Изменение громкости и других аудионастроек системы. |
POST_NOTIFICATIONS | Показ уведомлений пользователю. |
PROVIDER_INSERT_BADGE | Управление бейджами для виджетов и иконок на уровне системы. |
READ | Общее разрешение на чтение данных. Часто используется для работы с контактами и профилем. |
READ_CONTACTS | Чтение списка контактов устройства для поиска друзей в мессенджере. |
READ_MEDIA_IMAGES | Чтение изображений с телефона для отправки в чаты. |
READ_MEDIA_VIDEO | Чтение видео с телефона для отправки в чаты. |
READ_MEDIA_VISUAL_USER_SELECTED | Доступ только к конкретным медиафайлам, выбранным пользователем (улучшенная приватность). |
READ_PHONE_NUMBERS | Чтение телефонных номеров, привязанных к устройству (для верификации и поиска контактов). |
READ_SETTINGS (HTC) | Чтение системных настроек на устройствах соответствующего производителя. |
READ_SETTINGS (HUAWEI) | Чтение системных настроек на устройствах соответствующего производителя. |
RECEIVE | Получение данных из интернета (часть работы мессенджера). |
RECEIVE_BOOT_COMPLETED | Запуск служб приложения после загрузки устройства для получения сообщений. |
RECORD_AUDIO | Запись аудио с микрофона для голосовых сообщений и звонков. |
REQUEST_INSTALL_PACKAGES | Запрос на установку пакетов (например, для обновления приложения не через магазин). |
UPDATE_SHORTCUT | Обновление ярлыков на рабочем столе. |
USE_BIOMETRIC | Использование биометрической аутентификации (сканер отпечатка, Face ID). |
USE_FINGERPRINT | Использование сканера отпечатков пальцев (устаревшее, заменено на USE_BIOMETRIC). |
USE_FULL_SCREEN_INTENT | Показ полноэкранных уведомлений (например, для входящего звонка). |
VIBRATE | Доступ к вибрации устройства. |
WAKE_LOCK | Предотвращение перехода устройства в спящий режим (например, во время звонка или загрузки файла). |
WRITE | Общее разрешение на запись данных. |
WRITE_CONTACTS | Запись контактов (например, добавление найденного друга в адресную книгу). |
WRITE_SETTINGS (HUAWEI) | Изменение системных настроек на устройствах соответствующего производителя. |
2. Есть в Telegram и WhatsApp*, но нет в MAX
Это пересечение интересно тем, что с высокой вероятностью, какие‑то из этих разрешений могут появиться в будущих версиях MAX. Таких разрешений 19. Я прокомментировал каждое разрешение, как я это вижу и знаете, по‑моему — очень хорошо, что многих из них сейчас нет в MAX.Разрешение | Описание | Почему нет в MAX? (Моё предположение) |
|---|---|---|
ACCESS_MEDIA_LOCATION | Доступ к метаданным местоположения у медиафайлов (геотеги). | Не является критичным функционалом. |
BILLING | Доступ к API для совершения платных покупок внутри приложения (например, покупки стикеров). | Пока функционала покупок внутри приложения у MAX нет, но, скорее всего, появится скоро. |
BLUETOOTH | Поиск и подключение к Bluetooth‑устройствам. | MAX использует более широкое разрешение BLUETOOTH_ADMIN |
CALL_PHONE | Прямой набор телефонного номера без необходимости ручного подтверждения. | MAX пока не является мессенджером с функцией звонков на телефонные номера. |
FOREGROUND_SERVICE_LOCATIOM | Служба для отслеживания местоположения. | MAX пока не позволяет следить для координатами местоположения в режиме с постоянным уведомлением |
INSTALL_SHOTRCUT (Android.permission) | Создание ярлыков приложения на рабочем столе. | MAX пока это не позволяет. |
INSTALL_SHOTRCUT | Создание ярлыков приложения на рабочем столе. | MAX пока это не позволяет. |
MANAGE_OWN_CALLS | Управление собственными вызовами (для работы с API вызовов на Android). | Возможно, в MAX звонки реализованы другими методами. Не знаю, хорошо это или нет. |
MAPS_RECEIVE | Получение данных от картографических сервисов. | MAX пока это не позволяет. |
READ_CALL_LOG | Чтение истории звонков устройства. | MAX пока не является мессенджером с функцией звонков на телефонные номера. |
READ_EXTERNAL_STORAGE | (Устаревшее) Чтение файлов с внешнего хранилища. Заменено на READ_MEDIA_*. | Использует современные разрешения READ_MEDIA_IMAGES и READ_MEDIA_VIDEO. |
READ_GSERVICES | Доступ к настройкам Google Play Services. | Специфичное разрешение, возможно, не требуется для функционала MAX. |
READ_MEDIA_AUDIO | Чтение аудиофайлов с телефона. | Доступ к аудиофайлам может не требоваться для основных функций. |
READ_PHONE_STATE | Доступ к состоянию телефона (узнает, когда поступает звонок, чтобы приглушить звук). | Может быть не реализовано или заменено другими методами. |
READ_PROFILE | Чтение личных данных профиля пользователя. | Не требуется для работы.(имхо — это очень хорошо) |
READ_SYNC_SETTINGS | Чтение настроек синхронизации. | Нет активной синхронизации данных с облаком или заменено другими методами. |
UNINSTALL_SHORTCUT | Удаление ярлыков с рабочего стола. | Не является критичным функционалом. |
WRITE_EXTERNAL_STORAGE | (Устаревшее) Запись файлов на внешнее хранилище. Заменено на другие методы. | Возможно, MAX использует современные API для сохранения файлов. |
WRITE_SYNC_SETTINGS | Изменение настроек синхронизации. | Нет активной синхронизации данных с облаком или заменено другими методами. |
3. Есть в WhatsApp* и MAX, но нет в Telegram
Это очень пугающее пересечение. Давайте посмотрим:Разрешение | Описание | Предположение, почему нет в Telegram |
|---|---|---|
AD_ID | Доступ к рекламному идентификатору. | Telegram использует собственную рекламную сеть. |
BIND_GET_INSTALL_REFERRER_SERVICE | Использование сервиса для отслеживания источников установки приложения (рекламные кампании). | Возможно, Telegram либо это не нужно, либо реализовано как‑то по‑другому. |
CHANGE_NETWORK_STATE | Включение и выключение мобильных данных, Wi‑Fi. | Не требуется для базового функционала Telegram. У MAX, наверное, чтобы ловило на парковке. ) |
CHANGE_WIFI_STATE | Подключение и отключение от Wi‑Fi сетей. | Не требуется для базового функционала Telegram. У MAX, наверное, чтобы ловило на парковке. ) |
USE_CREDENTIALS | Использование учетных данных из хранилища ключей системы. | Не понимаю use case использования этого разрешения. Наверное, это для интеграции с внешними сервисами и у Telegram сейчас такого функционала нет. |
4. Есть в Telegram и MAX, но нет в WhatsApp*
Разрешение | Описание | Предположение, почему нет в WhatsApp* |
|---|---|---|
BADGE_COUNT_READ | Чтение числа для бейджа на иконке приложения (число непрочитанных сообщений). | WhatsApp* может не требовать чтения текущего значения бейджа из системы, так как управляет им исключительно через свои внутренние механизмы и серверные push‑уведомления. |
BADGE_COUNT_WRITE | Установка числа для бейджа на иконке приложения. | Аналогично, WhatsApp* может использовать для обновления бейджа другие, более стандартизированные или специфичные для производителей API, не требующие этого разрешения. |
FOREGROUND_SERVICE_MEDIA_PLAYBACK | Служба на переднем плане для воспроизведения медиа (музыка, видео). | WhatsApp*, вероятно, использует стандартные механизмы воспроизведения медиа или другие типы служб, не требующие именно этой специализированной разрешения. |
READ_APP_BADGE | Чтение текущего значения бейджа на иконке приложения. | WhatsApp* может полагаться на собственные системы уведомлений и бейджей, не требующие чтения этого значения из системы. |
READ_SETTINGS (OPPO) | Чтение системных настроек на устройствах OPPO. | Интеграция с конкретными производителями (как OPPO) может не быть реализована в WhatsApp*, либо она достигается другими методами, не требующими этого разрешения. |
SYSTEM_ALERT_WINDOW | Отрисовка окон поверх других приложений (например, для «пузырьков» чата). | WhatsApp* сознательно избегает этого разрешения из‑за его агрессивного характера и потенциальных рисков для безопасности и пользовательского опыта. |
UPDATE_BADGE | Обновление бейджа на иконке приложения. | WhatsApp* использует стандартные API уведомлений для управления бейджами, которые не требуют этого разрешения. |
UPDATE_COUNT | Обновление счетчика (вероятно, внутренняя функция для управления уведомлениями). | Реализация уведомлений в Telegram и MAX, которое WhatsApp* не использует. |
WRITE_SETTINGS (OPPO) | Изменение системных настроек на устройствах OPPO. | Как и в случае с READ_SETTINGS (OPPO), WhatsApp* не имеет глубокой интеграции с OPPO, требующей изменения системных настроек. |
5. Уникальные разрешения для каждого мессенджера
Уникальные разрешения Telegram (2 шт.)
Разрешение | Описание |
|---|---|
ACCESS_BACKGROUND_LOCATION | Доступ к местоположению в фоновом режиме (когда приложение закрыто). |
READ_CLIPBOARD | Чтение данных из буфера обмена. |
Уникальные разрешения WhatsApp* (19 шт.)
Разрешение | Описание |
|---|---|
ANSWER_PHONE_CALLS | Прямое ответы на входящие звонки (без необходимости открывать приложение). |
BLUETOOTH_ADVERTISE | Реклама себя через Bluetooth (для работы с Nearby Devices). |
BLUETOOTH_SCAN | Поиск Bluetooth‑устройств. |
BROADCAST | Рассылка системных широковещательных сообщений. |
BROADCAST_STICKY | Рассылка «липких» широковещательных сообщений (которые сохраняются после перезагрузки). |
DETECT_SCREEN_CAPTURE | Обнаружение момента, когда пользователь делает скриншот или начинает запись экрана. |
FEO2 | Нестандартное разрешение. Возможно, внутреннее для WhatsApp*. |
FOREGROUND_SERVICE_PHONE_CALL | Служба для обработки телефонных звонков. |
READ (стикеры WhatsApp* из сторонних приложений) | Нестандартное разрешение. Думаю, что из названия понятно для чего оно. |
NEARBY_WIFI_DEVICES | Поиск nearby устройств по Wi‑Fi (для функций обмена файлами и т. д.). |
NFC | Обмен данными через Near Field Communication (NFC). |
GET_TASKS | (Устаревшее) Просмотр запущенных приложений. |
READ_BASIC_PHONE_STATE | Доступ к базовому состоянию телефона (более ограниченная версия READ_PHONE_STATE). |
READ_SYNC_STATS | Чтение статистики синхронизации. |
RECEIVE_SMS | Получение SMS‑сообщений (вероятно, для автоматической верификации номера). |
REGISTRATION | Нестандартное разрешение. Возможно, внутреннее для процесса регистрации аккаунта. |
RUN_USER_INITIATED_JOBS | Запуск задач, инициированных пользователем, даже при ограничениях фоновой работы. |
SCHEDULE_EXACT_ALARM | Точная установка времени для срабатывания будильника или напоминания. |
SEND_SMS | Отправка SMS‑сообщений (вероятно, для верификации или приглашения друзей). |
Уникальные разрешения MAX (3 шт.)
Разрешение | Описание |
|---|---|
BLUETOOTH_ADMIN | Поиск и сопряжение Bluetooth‑устройств (более широкие возможности, чем BLUETOOTH). |
DISABLE_KEYGUARD | Отключение экрана блокировки (например, для воспроизведения видео при заблокированном экране). |
DOWNLOAD_WITHOUT_NOTIFICATION | Загрузка файлов без показа уведомления в статус‑баре. |
Итоги и выводы
- Подтверждается то утверждение, которое, якобы, давали разработчики MAX, что у них разрешений запрашивается меньше, чем запрашивают их конкуренты. Что же — это правда. На текущей стадии развития MAX их действительно меньше: 59 против 72 у Telegram и 85 у WhatsApp*;
- Больше всего меня, конечно же, «пугает» WhatsApp*. По разрешениям подтверждается, что он, с высокой вероятностью, «инструмент на службе американской разведки». Назначение разрешений, таких как ANSWER_PHONE_CALLS, BLUETOOTH_ADVERTISE, DETECT_SCREEN_CAPTURE, NFCи некоторых других мне понятно, но лучше бы их не было в мессенджере;
- Очевидно, что MAX будет развиваться и многие разрешения, касающиеся звонков, картографии и пр. (да любые, в принципе) могут появится в будущих версиях;
- В части MAX у меня вопросы к его уникальным разрешениям, особенно к DOWNLOAD_WITHOUT_NOTIFICATION и BLUETOOTH_ADMIN -зачем они? Также хотелось бы видеть меньше разрешений в пересечении MAX с WhatsApp*, но которых нет в Telegram Может быть команда разработки увидит мою статью и даст комментарии.
Источник
