Про безопасность мессенджера MAX
Я им не пользовался и не собираюсь. И вам не советую даже устанавливать его. Я не знаю, как он устроен, но у меня есть серьёзные основания считать, что его следует опасаться. О них и поговорим.
Если вы всё же вынуждены пользоваться MAX-ом, перенесите туда только те переписки, где вы не можете поступить иначе. А основное общение (и особенно общение на любые чувствительные темы) ведите в других мессенджерах.
Кстати, всё нижеописанное приложения и сайта VK тоже касается.
Сразу должен сразу сказать, что почти любое приложение (а особенно мессенджер) на вашем компьютере или, тем более, телефоне, имеет богатые возможности, чтобы следить за вами. MAX в этом мало отличается от любого другого приложения.
Есть способы урезать приложению возможности слежки, но большинство людей относится к этому очень наплевательски. Вы всегда потенциально под наблюдением, не со своего телефона, так с телефона друга или подруги. Deal with it.
Про разрешения был видео-разбор от мобильного разработчика. Впрочем, разбор был плох, и я в ответ написал пространный комментарий с разбором его слабых мест. Данный пост суммаризует дискуссию в комментариях и уводит её в менее техническую сторону.
Близость к государству
Проблема с MAX лежит совсем не в плоскости дыр в приложении или лишних разрешений. Главная проблема — это близость мессенджера к российскому государству и силовикам.
У компании vk (бывшая Mail.Ru Group), которая разрабатывает MAX, за последние 10 лет сложилась очень дурная репутация в отношении передачи данных пользователей силовикам.
За посты в соцсетях уже были возбуждены уголовные дела, на сотни человек и административные — на много тысяч человек, и vk — главный поставщик таких дел. Судя по всему, информацию о пользователях и их переписках силовики получают даже без запроса.
Сам тот факт, что только что появившийся месенджер с фейковыми владельцами-создателями тут же стал государственным, говорит о том, что властям очень хочется пересадить всех в подконтрольный мессенджер. Ранее власти уже переводили всё общение учителей-родителей-школьников в Сферум (это предшественник MAX-а), где администратор домена имеет доступ ко всем перепискам.
О желании всех пересадить в MAX говорит и то, что альтернативные мессенджеры начали блокировать одновременно со стартом кампании по привлечению пользователей.
Вы можете не сомневаться, это именно государственный мессенджер. Он выпущен менее полугода назад, но уже вошёл в реестр предустанавливаемого софта и в белые списки социально значимых приложений, которые не блокируются при ограничении мобильного интернета. Министр цифрового развития называет его национальным мессенджером. Он позволяет авторизовываться в Госуслугах (об этом позже), ранее такого не было ни в одном продукте. А несколько дней назад он, фактически, стал вторым после Госуслуг приложением, позволяющим авторизовывать некоторые операции вместо паспорта.
Вопросы из зала
Мне регулярно приходится отвечать на два аргумента:
- А что, другие приложения безопасны? За вотсапом-телеграмом-фейсбуком следят спецслужбы других государств
- А что, другие приложения безопасны? Стоит опасаться любого российского приложения.
Что ж, по-порядку…
Но ведь за телеграмом следят спецслужбы других государств
В комплекте с этим вопросом обычно идёт ещё упрёк в двойных стандартах. И обвинение в непатриотичности, из-за того, что я наши спецслужбы считаю хуже зарубежных.
Давайте скажу честно: возможно за другими мессенджерами и следят (не знаю точно).
И да, моё доверие российским спецслужбам сильно отрицательное (зарубежным не сильно больше).
Но вне зависимости от доверия спецслужбам, рациональная стратегия для любого отдельного человека — больше бояться доступа к данным родных спецслужб, а не зарубежных.
Доступ ФСБ к переписке в vk может создать мне гораздо больше неприятностей, чем доступ ЦРУ к переписке на фейсбуке. Ведь у зарубежных силовиков меньше рычагов влияния на меня: «Что ты мне сделаешь, я в другом городе».
Но ведь все российские приложения небезопасны
Логика этого аргумента обыкновенно такая: силовики могут прийти к любому российскому разработчику и принудить его отдать данные. Значит, все российские приложения одинаково небезопасны. А раз отказаться от всего невозможно (попробуй проживи без сервисов Яндекса), то нет смысла отказываться и от MAX.
Да, пользование любым приложением несёт риски. Пользование российским приложением (особенно приложением крупной компании: мелкие никому не интересны), несёт существенно большие риски. Но даже среди российских компаний уровень риска сильно неодинаковый.
Силовики регулярно присылают запросы на получение информации в разные IT-компании. Если запрос обоснован и составлен корректно компании вынуждены отвечать. Однако довольно большой поток запросов им ранее удавалось отклонять (Яндекс и Хабр когда-то публиковали соответствующую статистику); удаётся ли сейчас, не знаю, думаю, что некоторую часть удаётся.
Как я упоминал выше, в случае vk запросы, похоже, даже писать не требуется, вся информация силовикам доступна автоматически.
Есть очень существенная разница между «слежкой on demand» и «слежкой by default». Это радикально меняет экономику «правового» преследования.
В одном случае для возбуждения дела нужно на первой стадии собрать кипу бумаг и дождаться ответа от компании, а в другом достаточно пару раз кликнуть мышкой. Как думаете, в каком случае больше людей попадёт в жернова «правоохранительной» системы? И как думаете, в каком случае лично вы, Неуловимый Джо, защищены больше?.. Вопрос риторический.
Уверен ли я, что другие комании не передают информацию по аналогичной схеме, и что они не будут передавать её в будущем? Нет, не уверен. Зато про VK Group я уверен вполне.
Умереть можно и просто гуляя по улице, но если вы лезете в щиток с табличкой «Не влезай, убьёт!», ваши шансы сильно возрастают.
Прогнозы на будущее
Рискну предположить, что
- вся переписка в MAX будет прозрачна для силовиков
- анонимность, если и будет, то от других пользователей, но не от силовиков (мошенников это не касается, они продолжат быть анонимными ;-))
- любые групповые дискуссии будут блокироваться, если не понравятся властям; организаторы будут подвергаться преследованиям
- альтернативные мессенджеры будут заблокированы полностью; блокировка аудиозвонков — это лишь пробный шар. Чтобы оставаться на связи, будет необходим VPN, надеюсь, у вас уже давно есть (но, если введут белые списки, не поможет даже это)
Дополнительные предостережения
В рекламе MAX активно используется аргумент, что пользователи мессенджера защищены от мошенничества. Это наглая и бесстыдная ложь. Мошенники найдут способы завести себе фейковые аккаунты. А пользователи, поверившие в эту сказку про защищённость окажутся куда более уязвимы к скаму разного рода.
Поскольку MAX, якобы, безопасный мессенджер, Госуслуги предлагают присылать коды авторизации прямо туда. Разрешать присылать коды подтвержения входа в госуслуги в MAX (если уж вы установили его) — плохая идея. Увести мессенджер проще, чем телефон. Вы не хотите, чтобы мошенник, перехвативший ваш мессенджер, автоматом получил доступ и к госуслугам.