174
Пользователь обнаружил уязвимость в веб-версии Мах. Оказалось, что изображения из личных сообщений по прямой очень длинной ссылке можно найти в открытом доступе и посмотреть неавторизованному на платформе пользователю. Причём при удалении из сообщения в мессенджере ссылка на изображение остаётся активной ещё некоторое время.
Если знать прямой веб-адрес картинки из веб-версии сервиса, её можно открыть без авторизации и без доступа к переписке. Фактически переданная в мессенджере картинка работает как обычная ссылка на хостинг изображений. Любой, у кого есть прямая ссылка на файл, может открыть изображение без входа в аккаунт. Теоретически такие ссылки можно перебирать автоматически — этим могут заниматься боты и парсеры. Пока уязвимость не закрыли.
Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.
«Если злоумышленнику известен точный веб‑адрес изображения из веб‑версии Max, он сможет его просмотреть примерно как в случае с сайтами для обмена изображениями, только ссылка несколько длиннее. Авторизация в Max для этого не требуется, как и не требуется быть легитимным получателем данного изображения внутри системы», — пояснили профильные эксперты.
«Например я открыл ссылку в другом браузере, где не авторизован в MAX. Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено. Для сравнения в Telegram все личные данные защищены не просто надёжно, а пипец как надёжно. И вишенка на торте, если вы даже удалите изображение из переписки — оно всё равно останется доступно по ссылке без авторизации, как минимум на неделю точно, больше не проверял. Обращаюсь к разработчикам этого аналога всего и вся — ИСПРАВЬТЕ ЭТО НЕДОРАЗУМЕНИЕ!», — написал пользователь 5time.
Источник:
хабрЯП в Мах:
https://max.ru/yaplakal
yaplakal.com