Для тестирования были использованы мобильные устройства iPhone и Google Pixel. Перед тестированием, телефоны были сброшены до заводских настроек и потом обновлены до новейших версий ОС. Приложение MAX было впервые загружено на них через AppStore и Google Play.
Задачей было проверить когда и какие разрешения запрашиваются приложением MAX на телефоне пользователей, как приложение пользуется этими разрешениями, делает ли что‑то без разрешения и как приложение связывается со своими серверами.
Тестирование длилось двое суток. На обоих устройствах приложению сначала был разрешён доступ ко всему, что приложение запрашивало (камере, микрофону, контактам, местоположению, звонкам, файлам, фотографиям и видео). В это время за тем, что происходит на телефоне наблюдали эксперты и фиксировали аномалии. По прошествии двух суток у приложения были отозваны все ранее выданные разрешения — теперь наблюдение шло за тем, будет ли MAX запрашивать их снова и при каких условиях.
Во время тестирования на Android использовался мониторинг приложения по названию приложения (ru.oneme.app) или ID, мониторинг активности приложения через adb, штатные средства Android (Панель управления разрешениями), журнал с ошибками adb bugreport.
Для iPhone проведён анализ файла sysdiagnose с логами приложений и системы с помощью iLEAPP, мониторинг активности приложения через штатные средства iPhone (Отчёт о конфиденциальности приложений).
Мониторинг трафика с обоих устройств происходил с помощью
.
Приложение тестировалось с российскими IP‑адресом, геолокацией и номером телефона. А также с IP‑адресом и геолокацией вне России.
