Источников оказалось немного: пара постов на Хабре про саму уязвимость и ответки пресс-службы MAX. Вот сам пост с Хабра, где рассказана вся ситуация.
Мне больше другое интересно стало. Во‑первых, является ли уязвимость критичной, если доступ к ней возможен при очень большом переборе ссылок? Да, это в любом случае уязвимость, но настолько ли она критичная? Во‑вторых: а что если эти ссылки и доступ по ним возможен только после самой их компрометации? То есть как в облаке: ты сначала ссылку публичную получил, и уже после доступ к файлу возможен перебором по ссылке без авторизации, ��отому что ты это вообще позволил, а по умолчанию всё с твоими файлами нормально. Потому что из поста выше и всех перечисленных там ссылок не следует того, что эти ссылки изначально не были вскрыты или переданы.
Меня учили в вузе, что если мы сталкиваемся с комплексной задачей, то и её оценку тоже надо проводить комплексно. А ещё, что если это не семинар, то придумывать велосипед необязательно и можно достать табличку объёмов красных шариков, которую за тебя уже составили эксперты по красным шарикам. В нашем случае это ФСТЭК (разрабатывает стандарты и требования по защите персональных данных (ПДн) и критической информационной инфраструктуры (КИИ) в РФ) и CVSS (Открытый стандарт, используемый для расчёта количественных оценок уязвимости в безопасности компьютерной системы, обычно чтобы понять приоритет её исправления).
Так мы сможем описать и дать оценку конкретному сценарию эксплуатации уязвимости. Но помня мои вопросы выше, ради объективности и полного раскрытия темы мы рассмотрим два сценария:
Любой человек с прямым URL может без авторизации открыть фото.
Любой человек с утёкшим или полученным от самого пользователя URL может без авторизации открыть фото.
С вашего позволения, расписывать методику расчёта я не буду, про это есть много других статей, посмотрим сразу на получившийся вектор для первого сценария:
AV:N — атака по сети, удалённо.
AC:L — сложность низкая: просто открыть URL, специальных условий почти нет.
PR:N — привилегии не нужны: логин не нужен.
UI:N — взаимодействие жертвы не требуется в момент эксплуатации; атакующий сам открывает ссылку.
S:U — чтение файла в пределах того же сервиса.
C:H — влияние на конфиденциальность высокое, потому что раскрывается содержимое приватного пользовательского файла.
I:N, A:N — на целостность и доступность в описанном сценарии влияния нет.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N. Числовая оценка этого вектора — 7.5, по ФСТЭК это высокий уровень угрозы.
Для второго сценария меняется только один пункт: UI:R — нужен внешний акт взаимодействия/утечки. Получится CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N, это уже 6.5 — средний уровень угрозы по ФСТЭК.
Ещё раз уточню: речь идёт о самом факте возможности использовать прямую ссылку, это в любом случае уязвимость и косяк контроля доступа, про это вопрос не стоит, вопрос стоит в уровне критичности такой уязвимости. Но, как можно заметить, наше законодательство в худшем случае даёт высокий уровень угрозы, в лучшем — средний, но уж точно не называет это нормой. Сложность брутфорса не оправдание, так как ничего не мешает запускать от нечего делать такой перебор и раз в неделю открывать и смотреть, что он поймал интересного. И речь не только про личные переписки: мы говорим о нацмессенджере, в котором в порядке вещей и безопасно должны передаваться любые документы.
Лично я не верю, что в Максе этого не понимают, им просто нужно было дать какой‑то ответ, а сами они в темпе вальса сейчас всё чинят и исправляют, я так хочу думать. Возможно моя оценка грубая и нужно было бы учитывать ещё какие‑то вещи, но как мне кажется вот такого подхода должно быть достаточно для однозначного ответа по классификации угрозы, связанной с возможностью открытия фото по ссылке.
Всем спасибо за внимание, будем и дальше комментировать ситуацию (да и в целом много интересного в IT) в тг.
