Apple usuwa rosyjskiego Maxa: Kulisy aplikacji inwigilacyjnej, która straciła miejsce w App Store

Architektura aplikacji jest tym, co zaalarmowało obrońców prywatności i badaczy bezpieczeństwa. Główne obawy są fundamentalne i wzajemnie ze sobą powiązane:

• Brak szyfrowania end-to-end: W przeciwieństwie do WhatsAppa czy Signala, Max nie oferuje kompleksowego szyfrowania wiadomości. Oznacza to, że komunikacja nie jest szyfrowana w sposób umożliwiający odczytanie jej wyłącznie przez nadawcę i odbiorcę; jej treść jest dostępna po stronie serwera. Obrońcy praw człowieka i eksperci ds. cyberbezpieczeństwa wielokrotnie ostrzegali, że czyni to z aplikacji potężne narzędzie inwigilacji państwowej, pozostawiając wszystkie przechodzące przez nią dane „w rękach rosyjskiego państwa” .
• Wyłączne przechowywanie danych w Rosji: Wszystkie dane użytkowników przechowywane są wyłącznie na serwerach w Rosji, co poddaje je krajowym przepisom inwigilacyjnym, takim jak tzw. pakiet Jarowaja. Prawo to wymaga od operatorów telekomunikacyjnych i usług komunikacyjnych przekazywania służbom bezpieczeństwa treści, metadanych i zdolności deszyfrujących .
• Szeroko zakrojone zbieranie danych: Niezależne analizy kodu udokumentowały rozbudowane funkcje inwigilacyjne aplikacji. Stwierdzono, że zbiera ona dane o lokalizacji, całe listy kontaktów, zawartość schowka, listę zainstalowanych aplikacji i robocze wersje wiadomości, a także może regularnie aktywować aparat. Dane te są wysyłane na rosyjskie serwery, a system jest podobno podłączony do systemu SORM, czyli państwowej sieci umożliwiającej inwigilację przez organy ścigania . Jeden z ekspertów IT nazwał aplikację „dosłownie szpiegiem, spersonalizowanym szpiegiem, który mówi ci, gdzie byłeś” .
• Ograniczona rejestracja: Dostęp do aplikacji jest kontrolowany od samego początku. Rejestracja wymaga rosyjskiego lub białoruskiego numeru telefonu, który jest powiązany z wydanym przez rząd dokumentem tożsamości, co całkowicie uniemożliwia anonimowość .

Etykieta „spyware” i szybkie jej wycofanie

Obawy dotyczące bezpieczeństwa osiągnęły nowy poziom widoczności publicznej 30 kwietnia 2026 roku, kiedy system kategoryzacji domen Cloudflare, Cloudflare Radar, oznaczył domeny Maxa (max.ru i web.max.ru) etykietą „spyware” (oprogramowanie szpiegowskie). Ta klasyfikacja spowodowała, że przeglądarki i firmowe zapory sieciowe korzystające z filtrów Cloudflare zaczęły oznaczać witrynę jako niebezpieczną, traktując ją jako domenę zaangażowaną w ukryte zbieranie danych i śledzenie użytkowników .

Twórcy Maxa natychmiast zaprotestowali, twierdząc, że etykieta powstała w wyniku „błędnej interpretacji nagłówków żądań do zwykłych usług analityki internetowej”, a nie analizy kodu aplikacji . Następnego dnia, 1 maja, Cloudflare usunął etykietę „spyware”, ponownie klasyfikując zasób po prostu jako komunikator . W mylącym obrocie spraw, jeden z raportów wskazywał, że ostrzeżenie o „złośliwym oprogramowaniu” pozostało widoczne w historycznym raporcie skanowania, ale nie było aktywnym oznaczeniem, a inne źródło twierdziło później, że klasyfikacja spyware została przywrócona . Ten epizod, choć krótki, utrwalił reputację aplikacji jako zagrożenia dla bezpieczeństwa w oczach wielu potencjalnych użytkowników i organizacji.

Nakaz Moskwy i atak na szyfrowanych rywali

Usunięcie Maxa przez Apple nie nastąpiło w próżni. Był to najnowszy ruch w grze o wysoką stawkę, toczącej się o infrastrukturę komunikacyjną w Rosji. Od 1 września 2025 roku w kraju obowiązuje prawo nakazujące preinstalację Maxa na wszystkich nowych smartfonach i tabletach sprzedawanych w Rosji . Ten nakaz zmusza do instalowania aplikacji na urządzeniach każdego obywatela, który kupi nowy telefon.

Jednocześnie rosyjski regulator ds. komunikacji, Roskomnadzor, systematycznie ograniczał i blokował zagraniczne, szyfrowane platformy komunikacyjne, z których Rosjanie korzystali od lat. Ograniczenia na WhatsApp i Telegram eskalowały, aż na początku 2026 roku WhatsApp został całkowicie zablokowany w Rosji – ruch powszechnie interpretowany jako strategia mająca na celu skierowanie całej bazy użytkowników na wspieraną przez państwo i niezaszyfrowaną alternatywę . W momencie usuwania Maxa z App Store był on dziewiątą najczęściej pobieraną aplikacją w Rosji, podczas gdy pozostałe dziewięć miejsc w pierwszej dziesiątce zajmowały usługi VPN – narzędzia, których Rosjanie używają do omijania państwowej cenzury .

Cel Moskwy jest jasny: zbudować w pełni kontrolowany ekosystem komunikacyjny. Jak ujęła to jedna z analiz, plan polega na zastąpieniu globalnego, szyfrowanego komunikatora krajowym ekosystemem, który władze mogą w pełni monitorować, skoncentrowanym wokół superaplikacji Max i architektury rosyjskiego suwerennego internetu .

Ciche usunięcie z głośnym przesłaniem

Apple nie skomentowało, dlaczego dokładnie usunęło aplikację. Firma mogła kierować się naruszeniem przez aplikację własnych zasad dotyczących prywatności i bezpieczeństwa, wagą dowodów z niezależnych analiz kodu, publicznym oznaczeniem Maxa jako oprogramowania szpiegowskiego przez Cloudflare lub kombinacją wszystkich tych czynników. Jasne jest, że usunięcie ma natychmiastowe, praktyczne konsekwencje: skutecznie blokuje napływ nowych użytkowników iPhone'ów do Maxa w Rosji i paraliżuje kluczową funkcję dla jego ogromnej, istniejącej bazy użytkowników .

To usunięcie jest pojedynczym aktem, który przebija się przez szum informacyjny – globalny strażnik platformy odmawia hostowania czegoś, co krytycy opisują jako sponsorowany przez państwo system inwigilacji, nawet w obliczu zdecydowanego nakazu Kremla.