Сейчас мессенджер Max «очень классно ловит даже на парковке» ?
Стало интересно: а что же за технологии стоят за этим чудом? Скачал APK (весит ~114 MB) и полез внутрь.
Как ковырял
Ничего сверхъестественного:
apktool для ресурсов
jadx для кода
grep по строкам в DEX
В динамику (Frida, MITM) пока не лез, ограничился статикой.
Очень подробный обзор можно глянуть здесь: https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
Первые находки
Три DEX, куча нативных библиотек. Попадаются знакомые:
libjingle_peerconnection_so.so ← WebRTC
libtensorflowlite.so ← TensorFlow Lite
libjlottie.so ← анимации LottieТо есть звонки есть, ML тоже, анимации нормальные — не на коленке.
Сеть и звонки
Внутри OkHttp3 + Okio, есть WebSocket.
Звонки сидят на WebRTC, в коде прям строки PeerConnection, ICE, SDP, Opus.
Нашёл даже отдельный URL: https://max.ru/joincall/.
Медиа
ExoPlayer 2 для видео
Поддержка WebP, GIF, image pipeline
Lottie для анимаций
Стек нормальный, без кустарщины.
ML
libtensorflowlite.so внутри. Вероятно, для модерации картинок/видео или UX-фич.
Удивило, что ML прямо в клиенте.
Домены и корни
Самое интересное: строки из DEX.
https://api.ok.ru
https://api.odnoklassniki.ru
https://mycdn.me
https://welcome.tamtam.chatИ пакеты:
ru/ok/tamtam/login
ru/ok/messages? Это явно TamTam/Odnoklassniki (VK Group) под новым брендом.
Push и сервисы
Максимально дружит с Huawei Mobile Services: push, location, maps, analytics. В assets лежат .bks сертификаты и agconnect-core.properties.
Firebase SDK нет, но строки FCM встречаются - fallback под Google, похоже, самописный.
Разрешения
В манифесте есть:
READ_CONTACTS, WRITE_CONTACTS
CAMERA, RECORD_AUDIO
ACCESS_FINE_LOCATION, включая background
доступ к медиа
Это не все что там есть (выделил самые интересные), но вообще, довольно стандартный набор для мессенджера, так что можно сказать что один из главных набросов про собираемые данные не могу подтвердить.
Безопасность
E2EE (двухстороннее шифрование) не нашёл: Signal/Olm/Matrix отсутствуют. Значит, только TLS до сервера.
База данных - Room/SQLite без SQLCipher → скорее всего plaintext.
Есть защита от ковыряния: libxhook.so, libtrhook2.so (анти-рут/анти-инжект).
Итог
Max = TamTam/OK под новым именем
Современный стек: WebRTC, ExoPlayer, TFLite, OkHttp
Сквозного шифрования нет
База, скорее всего, лежит открыто
Huawei HMS-интеграция глубокая - явно нацелено на устройства без Google (Что логично, брал apk для AppGallery)
Лично я: в Max приватные переписки не понес бы, а вот типичный чат или как VoIP-клиент он вполне сгодится.
? Если было интересно — подписывайтесь на мой Telegram-канал Prefire.
? Там же анонсы моих стримов на Twitch - смотрим код, разбираем технологии, иногда ковыряем такие вот APK.
Комментарии (30)
Fragster
19.08.2025 09:17Странно. А вот тут про my.tracker пишут https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
BarredEwe Автор
19.08.2025 09:17Хм, не нахожу таких вхождений в apk как на GitHub. Возможно отличается версия.
cosmopolitan_29
19.08.2025 09:17Какая именно версия разбиралась? Из какого источника был получен APK?
SClown
А следов mytracker не видно? Было бы логично его тут встретить
BarredEwe Автор
Я чуть глубже копнул в APK и посмотрел именно на аналитику/трекеры.
Нашлось интересное:
✅ внутри есть:
Huawei Analytics + Hatool (стандарт для HMS-девайсов)
Adjust
Amplitude
VK Ads / MRADX / AppTracer (sdk-api.apptracer.ru в строках)
❌ а вот чего нет:
MyTracker / myTarget
AppMetrica (Яндекс)
AppsFlyer
Firebase Analytics / Crashlytics / Google Analytics
Mixpanel / Sentry / Bugsnag
То есть упор сделан на Huawei-экосистему + часть западных SDK (Adjust, Amplitude), а привычных для СНГ myTracker/AppMetrica тут не нет.
BarredEwe Автор
Update, проверил на последней версии, myTracker и правда присутствует.
Можно самому проверить так:
unzip -p MAXv25.8.1.apk classes.dex | strings | grep -i mytracker