Вокруг российского мессенджера MAX вспыхнула новая дискуссия о безопасности после того, как пользователь Habr под ником sansmaster обратил внимание на особенность веб-версии сервиса.
Мужчина обратил внимание на то, что после входа в аккаунт через web.max.ru браузер сохраняет токен сессии в локальном хранилище, и этот токен можно извлечь через консоль разработчика, а затем перенести на другой компьютер или в другой браузер.
После перезагрузки страницы веб-версия MAX открывается под той же учетной записью без необходимости вводить пароль, СМС-код или сканировать QR-код.
Автор публикации подчеркнул, что речь идет не о взломе или классической уязвимости, а о штатном механизме браузера, который используется и во многих других веб-сервисах. Тем не менее публикация вызвала бурную реакцию, поскольку многие пользователи удивились тому, насколько легко можно получить доступ к токену через DevTools.
Для такого переноса сессии злоумышленнику нужен физический доступ к устройству или браузеру жертвы с активной сессией MAX. Кроме того, если пользователь выйдет из аккаунта или завершит сессию через настройки, токен станет недействительным сразу на всех устройствах.
Читать по теме: MAX полностью перестал открываться на iPhone.