Stfw.Ru
Ключевые детали инцидента
Отметка «Шпионское ПО» (Spyware) появилась у домена web.max.ru, а в результатах публичного сканирования за 30 апреля 2026 года сервис также помечен как «вредоносный» (malicious).
Что обнаружили специалисты Cloudflare
- Два нарушения политики безопасности пользователей, связанные с механизмом CORS
- Чрезмерный запрос данных об устройстве пользователя
- Большое количество уязвимостей — в начале апреля 2026 года в Max нашли 213 уязвимостей, позволявших просматривать чужие фото и сообщения
Парадоксальная ситуация
Несмотря на метку «шпионское ПО», на официальном сайте мессенджера указан действительный TLS-сертификат для защищённого подключения по HTTPS, а само приложение доступно для установки в магазинах Apple App Store и Google Play.
Предыстория: похожий случай с «Телегой
В начале апреля 2026 года Cloudflare аналогично пометил неофициальный Telegram-клиент «Телега» как «шпионское ПО», после чего приложение удалили из App Store. Разработчики «Телеги» заявили, что провайдер снял ошибочную классификацию 11 апреля, однако на 30 апреля метка на Cloudflare Radar всё ещё сохранялась.
Рекомендации по безопасности
Авторы исследования Cloudflare рекомендуют не устанавливать сервис Max на смартфон и не пользоваться веб-версией программы до устранения проблем
Если вы используете Max, временно рассмотрите альтернативные мессенджеры с проверенной безопасностью. Перед повторной установкой дождитесь официального ответа разработчиков Max о устранении 213 уязвимостей.
Об об этом сообщает stfw.ru.
