55 подписчиков
Наблюдения Starого (Дыра в безопасности MAX)
Всем привет!
Как обещал продолжаю следить за развитием национального мессенджера. И сегодня появилась новость об огромной дыре в безопасности мессенджера. Фотографии, включая из личной переписки загружаются не в закрытые сервера MAX, а в какое-то стороннее файловое хранилище i.oneme.ru, зарегистрированное за VK и доступны по прямой ссылке, даже для тех кто не зарегистрирован в Max. Также специалисты выяснили что даже при удалении фото/картинку из переписки, она останется в данном хранилище и продолжит быть доступной по ссылке.
Также не видна защита от перебора, т.е. злоумышленники используя метод перебора могут получить доступ к любой фотографии и картинки когда-либо загруженной через MAX в канал или в личную переписку.
С сообщениями, видео и аудиосообщениями такой уязвимости не выявлено.
Так что не стоит до устранения уязвимости отправлять фотографии с чувствительной информацией или вызывающего характера через Max.
Проверить вы это можете, открыв картинку из любой вашей переписки, нажав на нее левой клавишей мыши, затем правой клавишей мыши нажать на нее и выбрать пункт меню «копировать ссылку на изображение». После этого откройте ссылку на другом устройстве или отправьте ее человеку, который не зарегистрирован MAX и посмотрите откроет он фото или нет.
Для примера, ссылка на фото из моего канала в MAX:
Продолжаю следить за новостями дальше.
1 минута
6 марта