Как не устанавливать мессенджер MAX, если в вузе заставляют. И как обезопасить свои данные от слежки приложений

Рассказываем, чем опасен «национальный мессенджер», почему любые угрозы от администрации — незаконны и как отстоять своё право на безопасность личных данных.

При подготовке этого материала мы обращались за помощью к экспертам Теплицы социальных технологий.

Мессенджер MAX — небезопасное приложение

Если сравнить количество запрашиваемых разрешений, Мах запрашивает их не больше, чем, например, телеграм или WhatsApp. Современному приложению доступ к функциям телефона необходим для корректной работы. Но важно обращать внимание на то, как, когда и для чего приложение использует выданные разрешения.

Специалисты по кибербезопасности Теплицы при анализе кода и политики мессенджера MAX нашли несколько потенциальных рисков:

• Деанонимизация пользователя и «профайлинг»

Как обнаружили специалисты, в приложении MAX встроены несколько трекеров, которые автоматически записывают действия пользователей и собирают множество идентификаторов: возраст, пол, телефон, email, языковые настройки и даже ваши ID из других сервисов («Одноклассники», VK ID).

Зная эти данные, можно связать ваши аккаунты на разных платформах. Например, определить, кому из пользователей MAX принадлежит определённый анонимный аккаунт в телеграме.

• Сбор данных и геолокации

MAX может собирать и хранить историю ваших поисковых запросов внутри приложения, привязывая её к вашей личности, а также передавать координаты устройства в режиме реального времени, даже в фоновом режиме. 

• Запись звука, видео и захват экрана в фоновом режиме

В приложении заложена системная служба, которая технически позволяет в фоновом режиме записывать звук и видео, а также совершать захват экрана. Собранные данные потенциально могут быть переданы в Единую биометрическую систему, чтобы упростить идентификацию человека по голосу.

❗️ На современных смартфонах любая фоновая активность сопровождается оповещением пользователя: например, оранжевой точкой или системными уведомлениями.

Специалисты Теплицы отмечают общую непрозрачность приложения: по словам экспертов, код специально защищён для стороннего анализа всех функций приложения. 

Кто может получить доступ к собранной MAX информации о пользователе

За разработку и развитие мессенджера отвечает компания «Коммуникационная платформа» — дочерняя структура Вконтакте, ей владеют три компании из экосистемы VK. Согласно открытым данным, в штате этой компании числятся всего два сотрудника.

Все данные, которые собирает приложение MAX, хранятся «под честное слово» сотрудников «Коммуникационной платформы», её учредителей и подрядчиков.

Отсутствие сквозного шифрования

Как и многие крупные платформы (VK, Госуслуги), MAX не использует сквозное шифрование (end-to-end) для всех чатов по умолчанию. Это значит что ваши переписки, файлы и остальные данные хранятся на серверах компании в виде, доступном для её сотрудников, учредителей, подрядчиков.

В таком случае безопасность данных целиком зависит от человеческого фактора — это создаёт прямые риски утечек из-за ошибок, злого умысла, коррупции или давления со стороны властей.

Доступ силовых органов

Благодаря законам Яровой и СОРМ (системе оперативно-розыскных мероприятий) вся собранная приложением информация о вас доступна силовым органам без судебного ордера.

MAX не уникален в своих рисках

Возможность отслеживать действия пользователя существует уже давно: например, это могут делать Госуслуги, Яндекс-карты, Wildberries, Сбер. Как отмечают эксперты, в России есть большое количество программного обеспечения, имеющего широкие права доступа к системе (например, Касперский и DrWeb). Есть обмен сообщениями в ВК, почта mail.ru — все они точно так же могут предоставлять всю собранную информацию о вас по запросу. Поэтому отсутствие MAX не решает проблему слежки в целом.

Но главная проблема конкретно с MAX — принуждение.

Студентов и работников заставляют устанавливать приложение, словно приучая к слежке как к норме.

Все учебные заведения переходят в MAX?

28 июля Минобрнауки совместно с вузами начало прорабатывать рекомендации по переходу на MAX: официально переход мотивировали «цифровой безопасностью» и созданием «единой образовательной среды».

В середине сентября Минобрнауки сообщило: 447 вузов создали чаты в MAX, а 203 — внедрили «Цифровой студенческий». Тогда же замминистра Андрей Омельчук анонсировал планы на следующий этап — создать единую экосистему «Цифровой вуз» на базе MAX, где будут собраны все сервисы и коммуникации вуза:

• собственные чат-боты вузов
• рассылки от администрации
• цифровой ID — аналог физического студенческого
• расписания занятий
• официальные студенческие чаты.

Систему планируют масштабировать на все российские университеты «в рамках государственной стратегии цифровой трансформации». Соответствующие изменения, по словам Омельчука, уже вносят в нормативные акты.

В теории, через несколько MAX может стать платформой, через которую студенты будут подавать документы в деканат, получать стипендию, оплачивать общежитие, записываться на экзамены и получать справки. Каждое из этих действий будет создавать цифровой след, связанный с напрямую со студентом и его уникальным ID.

Но если в сентябре мы получали мало обращений на горячую линию и новостей о принуждении к установке, настоящая волна началась в октябре-ноябре.

Как студентов принуждают устанавливать мессенджер: 3 примера

В учебных заведениях по всей России администрации начали требовать установить MAX. Студентов, которые отказываются это делать, ограничивают в доступе к учёбе и даже угрожают отчислением.

1. В Москве студенту с инвалидностью ограничили доступ к занятиям из-за отказа устанавливать MAX

Студент московского Колледжа автоматизации и информационных технологий № 20 Анатолий Толкалин не смог посещать онлайн-занятия после того, как учебное заведение заблокировало доступ к образовательной платформе «Сферум». Единственным способом авторизации остался мессенджер MAX, который Анатолий устанавливать отказался.

В результате молодому человеку начали автоматически ставить прогулы. Он был вынужден просто получать домашние задания по почте, лишившись возможности участвовать в занятиях и оперативно связываться с преподавателями. По словам старосты группы, руководство колледжа фактически не оставило студентам выбора, а на новой платформе регулярно происходят сбои.

После того, как ситуация получила огласку, студенту и его группе разрешили подключаться к учебной платформе без MAX. Но других потоков это не коснулось: остальные группы по-прежнему должны использовать новый мессенджер.

2. В Екатеринбурге студентам колледжа угрожали отчислениями

В колледже имени Ползунова студентам, не желавшим устанавливать MAX, открыто угрожали отчислением: заведующая одного из отделений колледжа заставила отказавшихся под диктовку написать заявления об отчислении по собственному желанию.

Позже власти опровергли законность таких требований. Департамент информационной политики Свердловской области заявил, что установка мессенджера добровольная, и его отсутствие не является основанием для отчисления.

Несмотря на это, проблемы у студентов продолжились. Администрация колледжа сообщила о введении карантина и переходе на дистант только в мессенджере MAX. В другое учебное приложение, «Сферум», информацию не продублировали. В итоге часть студентов просто не узнала о карантине.

3. В Воронеже студентам пригрозили недопуском к выпускному экзамену за отказ установить мессенджер Max

Воронежский техникум пищевой и перерабатывающей промышленности выпустил приказ, в котором потребовал от студентов установить мессенджер и общаться по учебным вопросам исключительно там. Но спустя неделю после требования установить приложение, это сделали всего 30% от всех студентов. Об этом рассказал студент колледжа Кирилл Деревский.

Тогда администрация перешла к угрозам: кураторов, чьи группы не установили приложение, заставили писать объяснительные, а обучающимся выпускной группы по специальности повар, кондитер (ПК 22-02) угрожали не допустить до госэкзаменов, если они не установят приложение.

Позднее Минобрнауки заявило, что в обязанности преподавателей не входит «агитационная работа с обучающимися по регистрации в мессенджере МАХ, ведение отчётности и статистики по проведённой агитационной работе». А значит, действия администрации — их собственная инициатива.

Принуждать скачивать MAX — незаконно

13 ноября Минобрнауки разослало учебным заведениям письмо о проведении мониторинга по установке МАХ. От образовательных учреждений потребовали, чтобы до 17 ноября они создали чаты академических групп и официальные каналы в нацмессенджере.

Письмо Минобрнауки — это не обязательный для исполнения документ

Наши юристы внимательно изучили письмо: судя по всему, введение MAX формально проводят вместе с экспериментом по цифровизации студенческих. Вузы участвуют в этом эксперименте добровольно, а студенты — тем более. Кроме того, перед загрузкой данных студенческого и зачётки в онлайн-систему, у студента должны запросить письменное согласие на передачу этих данных.

❗️Даже если администрация или кураторы переводят чаты в MAX, вы не обязаны в них вступать. Это подтвердили Минобрнауки и Минцифры

В ответ на запросы депутата Олега Михайлова ведомства подтвердили: в законе нет требований об использовании MAX в образовательном процессе — поэтому принуждения по его установке незаконны. Вузы могут создать свои каналы в МАХ, но не имеют права заставлять студентов регистрироваться в мессенджере, подписываться на каналы вуза и вступать в чаты.

Вести учебные коммуникации только через MAX тоже нельзя

Это создаёт неравный доступ к информации и по факту ограничивает право на образование, а закон прямо устанавливает запрет на дискриминацию в образовательной деятельности. Всю важную информацию — например, о порядке работы и формате обучения — вузы должны публиковать на своём сайте.

Если вы не хотите устанавливать приложение, учебное заведение обязано предоставить альтернативные способы коммуникации: студенты имеют право на доступ к информации об учёбе через все существующие площадки.

Как отказаться

1. Подайте письменное заявление

Если вы не хотите устанавливать мессенджер, подайте письменное заявление на отказ в использовании МАХ и потребуйте обеспечить информирование через другие каналы. Вам должны предоставить альтернативные способы коммуникации — через официальный сайт, личный кабинет или другие мессенджеры.

Вместе с другими организациями, которые представляют студентов и преподавателей, Молния выступает против принуждения к установке мессенджера.

Вот шаблоны заявлений, которыми вы можете воспользоваться при подаче жалоб:

• Шаблон индивидуального заявления
• Шаблон коллективного заявления

2. Игнорируйте угрозы

Любые угрозы, например, не допустить до экзаменов или снизить оценку на сессии, можно игнорировать. Как правило, за ними не следует реальных действий — часто это просто способ принуждения. У администрации просто нет таких полномочий: обязанность установить МАХ нигде не прописана — а значит, ответственности за отказ быть не может.

В теории администрация вуза может прописать обязанность установить и пользоваться MAX, но это будет нарушать закон: такая обязанность создаёт дополнительные барьеры для получения образования, а значит выходит за рамки полномочий вуза и нарушает конституционное право на образование.

Например, в УМЦ им. Жириновского сотрудники вуза студентам угрожают дисциплинарным взысканием за «нарушение субординации», но это незаконно: такое взыскание можно оспорить.

3. Фиксируйте все попытки принуждения

Делайте скрины сообщений, записывайте разговоры на диктофон. Это обезопасит вас на случай, если за отказ к вам применят дисциплинарное взыскание или снизят оценку на экзамене. Вы сможете оспорить незаконные действия в ректорате, в комиссии по урегулированию споров и вне вуза.

Можно ли удалить MAX полностью?

С 1 сентября 2025 года MAX обязательно предустанавливают на все новые смартфоны в России — и на Apple, и на Android.

Возможность удаления зависит от способа установки: это может быть ссылка на загрузку, предустановленное приложение или вшитое в прошивку. Но попробовать удалить стоит в любом случае.

❗️Сейчас много говорят про альтернативы MAX и возможные блокировки. Из-за этого могут появляться сомнительные программы. Будьте внимательны: скачивайте софт только из проверенных источников.

Как защитить чувствительную информацию, если без MAX (или, например, Госуслуг) не обойтись

1. Используйте два телефона

Если не хотите отдавать свои данные разработчикам, можно использовать два телефона.

Основной телефон — только доверенные приложения, никаких избыточных доступов. Для работы, приватных переписок и хранения важной информации.

Телефон-дублёр — для потенциально небезопасных, но необходимых приложений: VK, «Яндекс Go», Госуслуги, 2GIS, Госключ, банковские приложения, рабочие чаты вроде MAX или ТамТам. Скачивать приложения лучше с другой учётной записи, которая не привязана к магазину приложений на основном устройстве.

2. Запускайте MAX через виртуальную машину

Виртуальная машина — это программа, которая создаёт отдельный «компьютер» внутри вашего устройства, работающий изолированно. Специалисты по безопасности используют виртуальные машины для запуска потенциально опасных приложений.

Например, приложение BlueStacks позволяет запустить Android на компьютерах Windows или macOS. Есть более гибкие, но более сложные платформы виртуализации, такие как Oracle virtual box и VMware — они позволяют установить любую операционную систему.

Можно установить MAX на виртуальной машине или запускать веб-версию только внутри этой системы. Из минусов: могут быть проблемы с запуском, требует технических навыков.

3. Используйте приложения-«песочницы» и «второе пространство» (на android)

Приложения-«песочницы» позволяют запускать программы в изолированной среде, отделённой от основной системы. На Android для этого можно использовать, например, Shelter или Island.

На некоторых устройствах есть встроенный режим «второго пространства». У Samsung, например, можно полностью остановить и заблокировать приложения, работающие во втором профиле.

«Песочницы» и отдельные профили создают виртуальную изолированную среду, в которой запускаемые приложения ограничены в доступе к основной операционной системе и не могут на неё влиять. Единственный минус такого способа — часть программ может работать нестабильно или не запускаться вовсе.