В российском мессенджере MAX выявлена серьезная уязвимость, позволяющая злоумышленникам получать доступ к личным фотографиям пользователей. Об этом рассказал на Pikabu пользователь под ником «5time».
Суть проблемы заключается в том, что загруженные в мессенджер изображения получают прямые URL-адреса. Их можно легко извлечь через просмотр кода страницы в веб-версии MAX.
При этом большая часть адреса остается одинаковой для всех файлов конкретного пользователя, что дает злоумышленникам возможность с помощью перебора получить доступ ко всем его фотографиям.
Вишенка на торте — для просмотра фотографий по таким адресам не нужна авторизация, а их удаление из приложения не приводит к удалению с серверов, поэтому изображения продолжают оставаться общедоступными.
Команда мессенджера MAX пока никак не комментировала найденную уязвимость. Напомним, что аналогичная дыра раньше была и в VK.
Комментарии в Телеграм