Израильская компания Clear Gate провела аудит безопасности российского мессенджера МАКС. Проверяли мобильную, десктопную и веб-версии сервиса, причём с использованием black box и gray box. По итогам проверки компания отметила защищённую архитектуру МАКС, ролевую модель и встроенные механизмы защиты.
В Clear Gate заявили, что имитировали действия злоумышленников с повышенным уровнем подготовки и частичным пониманием внутреннего устройства платформы.
В МАКС пояснили, что решили привлекать иностранных специалистов в рамках масштабирования проекта: мол, внешний взгляд на безопасность лишним не бывает, особенно когда сервис выходит на новые рынки.
Сам отчёт Clear Gate закрытый и для публичного изучения не предоставляется. Так что пользователям остаётся верить пересказам сторон: аудит был, выводы хорошие, но деталей, извините, не покажем.
История особенно любопытна на фоне недавнего шума вокруг публикации на Хабре, где пользователь zarazaexe заявил, что нашёл в APK МАКС функции скрытой записи звука, сбора списка приложений, отслеживания VPN, анализа адресной книги, Mobile ID по открытому HTTP и другие неприятные механизмы.
В МАКС эти обвинения назвали фейком. В компании утверждают, что мессенджер не следит за пользователями, не собирает их персональные данные и не имеет технической возможности прослушивать звонки. Там также пояснили, что NFC нужен для работы Цифрового ID, данные об IP-адресах используются для корректной работы звонков, а Mobile ID — для доставки кодов подтверждения и уведомлений.
