5 самых популярных мифов про МАХ

 Ученые Пермского Политеха развеяли 5 самых популярных мифов про МАХ

В новом российском мессенджере Мах зарегистрировалось больше 75 млн человек. В связи с конкуренцией за пользователей вокруг приложения образовалось множество мифов относительно его надежности и безопасности. Ученые Пермского Политеха рассказали, в каком объеме мессенджер получает доступ к функциям смартфона, правда ли, что данные россиян утекают за границу, в каких случаях службы безопасности не имеют права читать переписки пользователей и почему проблема мошенничества в Мах не стоит так остро, как в зарубежных приложениях.

Мах – это мессенджер для повседневного общения, запущенный в 2025 году компанией VK при поддержке Минцифры и «Ростеха». Он включает в себя стандартные функции: чаты, групповые беседы, стикеры, звонки, а также позволяет получать электронные государственные услуги, удостоверять личность, использовать усиленную электронную подпись и цифровой ID, совершать платежи. Его ключевое отличие от глобальных конкурентов — фокус на локальном рынке и тесная связь с самой большой в стране социальной экосистемой – «Госуслугами», что делает его удобным для цифровой жизни россиян.

В связи с конкуренцией за пользователей вокруг приложения образовалось множество мифов относительно его надежности и безопасности.

Миф 1. Мах получает доступ к функциям смартфона без согласия пользователя

На объем доступа мессенджера к различным функциям смартфона влияет количество разрешений, которое он запрашивает.

– В отличие от многих других приложений Mах вполне корректно работает без «базового набора разрешений», куда входят доступ к контактам, камере, файлам, геолокации. В мессенджере можно оставить, например, только микрофон для звонков и уведомления, чтобы видеть сообщения, или вообще отключить все. Тот же Телеграм требует гораздо больше разрешений для корректной работы – весь «базовый набор», – рассказывает кандидат технических наук, доцент кафедры «Автоматика и телемеханика», начальник отдела информационной безопасности ПНИПУ Антон Каменских.

При этом у зарубежных мессенджеров иногда бывают уникальные разрешения, не характерные для остальных. Например, WhatsApp* требует у пользователя доступ к SMS-сообщениям, что может привести к утечке паролей и другой информации, предоставляемой по этому каналу.

– Уже достаточно давно и в IOS, и в Android используется система разрешений «только в момент использования», то есть они выдаются конкретному приложению на определенные операции с обозначенными данными исключительно во время работы. Возможность выдать разрешение на постоянной основе остается, но вы сами должны на это согласиться. Так что ваша приватность –в ваших руках, – объясняет Антон Каменских.

Миф 2. Службы безопасности видят все переписки в Мах в реальном времени

Многие боятся устанавливать Мах, опасаясь, что за всеми их действиями и сообщениями в чатах начнут следить ФСБ, МВД и Роскомнадзор. Ученые ПНИПУ объяснили, почему читать переписки законопослушных граждан никто не имеет права и в каких случаях мессенджер обязан предоставить информацию о пользователе.

– Для перехвата зашифрованных сообщений в реальном времени существуют сложные методы, такие как SSL-инспекция. Их используют, например, корпоративные антивирусы для защиты сетей компаний, но в бытовом общении такая технология практически не применяется. К тому же, если личная переписка и групповые чаты защищены несколькими различными схемами шифрования, как в Мах, то реализовать её перехват и расшифровку с помощью подобных методов технически невозможно, – объясняет Антон Каменских. 

В России основной механизм получения данных связи спецслужбами — это СОРМ – система оперативно-розыскных мероприятий. Известно, что её ключевая задача — фиксация метаданных (кто, кому, когда и как долго звонил или общался). Аналогичные системы под названиями LI (Lawful Intercept) и CALEA действуют в странах ЕС и США.

– Но такие данные операторы связи предоставляют только по официальному и юридически корректно оформленному запросу уполномоченных органов – ФСБ, МВД, СК и других. Объём доступной информации регламентирован статьёй 64 Федерального закона «О связи». В большинстве случаев операторы обязаны передавать именно метаданные — сведения о фактах передачи информации – журналы звонков, сессии связи, но не обязаны хранить или предоставлять само содержание переговоров или переписки, – отмечает Антон Каменских.

Миф 3. В Мах много интернет-мошенников

Технология мошенничества мало зависит от конкретного мессенджера, ведь схемы злоумышленников по большей части построены на обмане и психологическом воздействии.

– Однако на отечественной платформе есть все возможности найти и наказать преступника, ведь все учетные данные хранятся на российских серверах, и Мах их предоставит по запросу спецслужбам, – делится кандидат технических наук, доцент кафедры «Информационные технологии и автоматизированные системы» ПНИПУ Даниил Курушин.

Тогда как, по словам Антона Каменских, в зарубежных мессенджерах возможность наказания интернет-мошенников зависит от воли компании, которая фактически не обязана соблюдать законы, принятые в РФ.

Кроме того, зарубежным мошенникам будет сложнее зарегистрироваться в Мах и создать аккаунт, так как он требует привязки к «Госуслугам».

– Ущерб от действий интернет-мошенников составляет по разным оценкам от десятков до сотен миллиардов рублей. Это огромные деньги, которые им не хочется терять. И, если Мах повлияет на имеющийся поток прибыли, например, на 10%, этого достаточно, чтобы заказать «черный пиар» этого мессенджера и распространить подобные мифы – как это и происходит сейчас, – считает Даниил Курушин.   

Миф 4. Данные из Мах утекают зарубеж

В медийном поле сейчас распространено заблуждение о том, что данные из Мах попадают третьим лицам зарубеж и могут быть использованы в коммерческих целях.

– Мах основан на браузере Chromium и, действительно, расположен не только на российских серверах. Он обращается, например, в дата-центры в США и Нидерландах. Значит ли это, что он «сливает данные зарубеж»? Нет. Сам по себе факт обращения за границу не означает автоматической «утечки» личных переписок — ключевым остаётся вопрос, где именно хранятся данные пользователей, а не через какие серверы идёт технический трафик. Согласно закону «О персональных данных» № 152-ФЗ, данные российских граждан должны храниться и обрабатываться на территории РФ. Как крупнейшая ИТ-компания России, VK обязана соблюдать эти нормы, что она и делает, – объясняет Даниил Курушин. 

То есть персональные данные о пользователях хранятся исключительно на российских серверах и не могут быть использованы третьими лицами в своих целях, в отличие от тех же Телеграма и WhatsApp*.

– У Телеграма и WhatsApp* нет серверов в России. Это создаёт два риска: во-первых, иностранные правительства, в том числе недружественных стран, могут потребовать у своих дата-центров предоставить любые данные или статистику, а, во-вторых, – технически ограничить доступ к серверам, что нарушит работу бизнеса и сотрет переписки российских пользователей в этих приложениях, – комментирует Даниил Курушин.

Поэтому наличие альтернативы с серверами в российской юрисдикции, такой как Mах, становится вопросом не только конфиденциальности, но и цифрового суверенитета.

Миф 5. Мах передает информацию о местонахождении пользователя без его разрешения

– Если мы говорим о системе GPS, то она контролируется США, и для доступа к ней любому приложению, в том числе Мах, требуется явное разрешение пользователя в настройках смартфона – подробнее это мы разбирали в контексте первого мифа. Однако определить приблизительные координаты человека можно и без GPS. Самый простой способ — триангуляция по вышкам сотовой связи – при котором местоположение телефона определяется по тому, как далеко он находится от нескольких вышек и где пересекаются эти расстояния. То есть вам вообще ничего не нужно от пользователя, чтобы определить где находится его телефон, если он работает и подключен к сети. Это можно сделать даже если человек не пользуется ни одним из мессенджеров, – отвечает Антон Каменских.

То есть наличие Мах на смартфоне вообще никак не влияет на доступность информации о вашем местонахождении. Это легко определить и без него.

Таким образом, новый российский мессенджер является не просто удобным, но во многом и гораздо более безопасным, чем привычные многим Телеграм и WhatsApp*.

– Стоит добавить, что Мах не смог бы попасть в AppStore или Google Play, если бы не прошел проверку требований конфиденциальности. Если вы пользуетесь любыми мессенджерами, браузерами, посещаете различные сайты, то Мах никак не ухудшит вашу сетевую безопасность. Все перечисленные действия с точки зрения защиты данных представляют собой куда больший риск. Мах же, наоборот, позволит жить удобнее в некоторых случаях, – считает Даниил Курушин.

*принадлежит Meta, которая признана в РФ экстремистской.