habrahabr

Технический разбор Max: что внутри APK

  • четверг, 21 августа 2025 г. в 00:00:16
https://habr.com/ru/articles/938518/

Сейчас мессенджер Max «очень классно ловит даже на парковке» 🙃
Стало интересно: а что же за технологии стоят за этим чудом? Скачал APK (весит ~114 MB) и полез внутрь.

Как ковырял

Ничего сверхъестественного:

  • apktool для ресурсов

  • jadx для кода

  • grep по строкам в DEX

В динамику (Frida, MITM) пока не лез, ограничился статикой.

Очень подробный обзор можно глянуть здесь: https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger

Первые находки

Три DEX, куча нативных библиотек. Попадаются знакомые:

libjingle_peerconnection_so.so   ← WebRTC
libtensorflowlite.so             ← TensorFlow Lite
libjlottie.so                    ← анимации Lottie

То есть звонки есть, ML тоже, анимации нормальные — не на коленке.

Сеть и звонки

Внутри OkHttp3 + Okio, есть WebSocket.
Звонки сидят на WebRTC, в коде прям строки PeerConnection, ICE, SDP, Opus.
Нашёл даже отдельный URL: https://max.ru/joincall/.

Медиа

  • ExoPlayer 2 для видео

  • Поддержка WebP, GIF, image pipeline

  • Lottie для анимаций

Стек нормальный, без кустарщины.

ML

libtensorflowlite.so внутри. Вероятно, для модерации картинок/видео или UX-фич.
Удивило, что ML прямо в клиенте.

Домены и корни

Самое интересное: строки из DEX.

https://api.ok.ru
https://api.odnoklassniki.ru
https://mycdn.me
https://welcome.tamtam.chat

И пакеты:

ru/ok/tamtam/login
ru/ok/messages

👉 Это явно TamTam/Odnoklassniki (VK Group) под новым брендом.

Push и сервисы

Максимально дружит с Huawei Mobile Services: push, location, maps, analytics. В assets лежат .bks сертификаты и agconnect-core.properties.
Firebase SDK нет, но строки FCM встречаются - fallback под Google, похоже, самописный.

Разрешения

В манифесте есть:

  • READ_CONTACTS, WRITE_CONTACTS

  • CAMERA, RECORD_AUDIO

  • ACCESS_FINE_LOCATION, включая background

  • доступ к медиа

Это не все что там есть (выделил самые интересные), но вообще, довольно стандартный набор для мессенджера, так что можно сказать что один из главных набросов про собираемые данные не могу подтвердить.

Безопасность

  • E2EE (двухстороннее шифрование) не нашёл: Signal/Olm/Matrix отсутствуют. Значит, только TLS до сервера.

  • База данных - Room/SQLite без SQLCipher → скорее всего plaintext.

  • Есть защита от ковыряния: libxhook.so, libtrhook2.so (анти-рут/анти-инжект).

Итог

  • Max = TamTam/OK под новым именем

  • Современный стек: WebRTC, ExoPlayer, TFLite, OkHttp

  • Сквозного шифрования нет

  • База, скорее всего, лежит открыто

  • Huawei HMS-интеграция глубокая - явно нацелено на устройства без Google (Что логично, брал apk для AppGallery)

Лично я: в Max приватные переписки не понес бы, а вот типичный чат или как VoIP-клиент он вполне сгодится.

📢 Если было интересно — подписывайтесь на мой Telegram-канал Prefire.

🎥 Там же анонсы моих стримов на Twitch - смотрим код, разбираем технологии, иногда ковыряем такие вот APK.