denis-196 мар в 08:49

Эксперты кибербезопасности мессенджера опровергли новость о доступности фото в Max без разрешения пользователя

2 мин

25K

Мессенджеры * Информационная безопасность * Социальные сетиТестирование веб-сервисов * Управление продуктом *

+12

Комментарии 40

yujinn 6 мар в 09:02

Так опровергли "эксперты по кибербезопасности", не зависимые от компании-разработчика Max, или просто пресс-служба Max передала слова, которые возможно сказали возможно существующие эксперты по кибербезопасности из числа сотрудников их компании?
Это даже не опровержение. Это - "отписка".

Yuriy_krd 6 мар в 09:05

ну так в тексте есть прямое указание, что это

По заверению экспертов мессенджера по ИБ

Одним словом - какой мессенджер, такие и эксперты.

inkda1 6 мар в 10:07

а этот эксперт мессенджера по ИБ, штатный сотрудник Мах? И мог сказать что-то иное, дискредитируя работодателя...?))

zlat_zlat 6 мар в 09:55

Это «заведомо верные сведения», а кто будет спорить - можно вменить раскачивание лодки и дискредитацию макса. А если расшарят фото из переписки гендира, то это будет не подтверждение дыры, а отдельное преступление.

Shaman_RSHU 6 мар в 09:10

Давайте ешё накинем :)

В мессенджере MAX появились секретные чаты: все сообщения шифруются по алгоритму Base64 (?!!!)

Real_Egor 6 мар в 09:18

испанский стыд -)))

Medeyko 6 мар в 10:10

На всякий случай обратите внимание, что про секретные чаты на основе Base64 - это прикол от ИА Панорама. С другой стороны, живём в такие времена, что "новости" от Панорамы порой уже кажутся более реалистичными, чем реальность...

WhiteBarsik 6 мар в 11:53

Есть предположение, что разработчики прочитают и эту статью: "О! А что? Здравая мысль"

Real_Egor 6 мар в 09:19

а картинки в секретном чате так же хранятся в открытых ссылках? -)))

freeExec 6 мар в 17:11

Сказано же, что законодательство требует хранить всё. Не будут же они напрягать товарища майора еще и расшифровкой заниматься.

shaseer 6 мар в 09:21

это ИА "Панорама"

saga111a 6 мар в 10:32

так ИА "Панорама" новости берет с той же доски что РФ сервисы для Роадмап используют))

Vdm_ro 6 мар в 09:23

Алгоритм шифрования входящий в пакет Яровой — Озерова, проверен ФСТЭК, используется во всем мире многие годы, включен в международные документы: RFC 1421 (Privacy Enhancement for Electronic Internet Mail), RFC 2045 (MIME), RFC 4648 (Base16, Base32, и Base64 кодирование данных), в общем нет оснований не доверять. /s

denisgrigoriev04 6 мар в 09:31

Самый быстрый алгоритм. Он даже в wireguad используется

max9 6 мар в 09:35

XOR быстрее

НЛО прилетело и опубликовало эту надпись здесь

Shaman_RSHU 6 мар в 09:35

Они могли бы конечно ещё зауюючить (uuencode кто забыл жаргон), но он по сравнению с Base64 работает в 2-5 раз медленнее, какая разница как кодировать.

Но разработчикам макса надо явно подучить, чем шифрование от кодирования отличается.

UniInter 6 мар в 10:02

Там в источнике же стоит рубрика "Юмор". А сегодня не 1 апреля.

Victor1979 6 мар в 10:37

Vdm_ro 6 мар в 09:11

теперь у экспертов есть шанс выиграть спор... или нет?

AlexLive27 6 мар в 10:21

так существует все-таки эта уязвимость, нет?)

SCode 6 мар в 10:25

Никто не знает, так как никто не зарегистрирован там

saga111a 6 мар в 10:36

Эксперты опровергли доступность фото.
"Мы проверили - Вы не могли проверить его работу т.к. пользователь под ником #### с номером %%%% там не зарегистрирован!"

mayorovp 6 мар в 12:05

Нет, в ссылке достаточно энтропии чтобы её было невозможно подобрать.

Но есть опасения, что Яндекс-браузер опять "поможет" с индексацией этих ссылок в будущем.

freeExec 6 мар в 17:16

Да теперь во все сомнительные браузерные расширения добавят сбор этих ссылок.

yurikgl 6 мар в 14:43

К сожалению, да. Как минимум за несколько часов ссылка так и не потухла(

runetfreedom 6 мар в 12:08

Ну хорошо, нужно им хранить их в соответствии с требования российского законодательства по хранению данных, зачем продолжать отдавать их всем подряд после удаления?

В данном случае, как я думаю, это скорее некомпетентность, а не злой умысел. Max это продукт VK, а VK уже много-много лет славится вот такими вот техническими решениями (или отсутствием решений вовсе).

AndreyCodes 6 мар в 18:51

Десятки лет url из личных сообщений могли GET кто угодно. Это почти во всех соц.сетях, дискордах и тд. тп. Раньше не думал, что это не нормально. Сегодня этот пикабушник заставил задуматься.

Kyoki 6 мар в 12:32

Пользователи: фото доступно всем по ссылке

Експерты: это фейк

Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой на них.

Так в чем фейк?

KN_Dima 6 мар в 13:00

В том, что в хаме есть эксперты?

mayorovp 6 мар в 13:35

Утверждалось, что ссылку якобы можно просто подобрать:

Например я открыл ссылку в другом браузере, где не авторизован в MAX. Там довольно длинная ссылка, но БОЛЬШАЯ её часть будет одинаковой для всех ваших файлов, и защиты от перебора вроде бы не предусмотрено.

Но её нельзя подобрать, там достаточно энтропии.

KN_Dima 6 мар в 13:42

а там именно энтропия?
Не время, не счётчики?

mayorovp 6 мар в 14:23

Что у времени, что у счётчиков старшие разряды меняются реже младших. Но у тех ссылок, которые мне скинули, менялся кусок примерно в 128 бит.

У меня нет сведений сколько бит энтропии там на самом деле, но кричать что нашли уязвимость тут явно рано.

alexkeuano 6 мар в 13:31

В чатах "ВКонтакте" эта уязвимость с момента основания и по сей момент, и это никого особо не тревожило

AndreyCodes 6 мар в 18:52

Это везде почти так. Никаких проверок ролей и токенов доступа.

Paranoich 6 мар в 14:30

нацмессенджера

Прекрасное слово для этого поделия.

skovoroad 6 мар в 14:31

Моя твоя русского языка не понимай.

Не "опровергли", а "отвергли". Эти слова имеют разное значение и разную эмоциональную окраску.

Отвергли: возразили, что на самом деле изображения недоступны. Например: сторонники плоской земли отвергли утверждения, что она имеет какую-то другую форму.

Опровергли: предоставили доказательства, что на самом деле изображения недоступны. Например: сторонники неплоской земли с помощью фотографий опровергли утверждения, что она плоская.

PS: И да, "ссылку невозможно сгенерировать" не означает, что "изображения недоступны", это два разных утверждения. Изображения недоступны, если их невозможно получить, вне зависимости от способа утечки ссылки.

ChimeraSyber 6 мар в 18:45

"Товарищ Майор, у вас ус отклеился. "

formatter1 7 мар в 16:04

Как у обычного пользователя, у меня вызывает обеспокоенность тот факт, что в веб-архиве, судя по скриншоту, уже "больше, чем 10000" таких ссылок, и возникает вопрос, как эти ссылки там оказались, если говорят, что их нельзя сгенерировать или подобрать?

Понятно, что скорее всего большинство ссылок там - на картинки из публичных каналов и попали они туда из-за того, что кравлер веб-архива зашел на веб-версию макса и сохранил себе страницы с постами в этих каналах.

Но ведь ссылки не на конкретные jpg/webp, а на скрипт, в который условное название файла передается в параметре, так почему бы разработчикам в этот скрипт не добавить проверку доступа (да даже хотя бы банальную проверку CORS заголовков при обработке запроса - сейчас так делают даже онлайн-кинотеатры, которые "смотреть без регистрации", чтобы у них ворованное не воровали)? В общем, выключайте chat gpt и включайте уже головы.

mayorovp 12 мар в 10:08

CORS - разрешительный механизм, а не запретительный. Отсутствие любой обработки CORS заголовков на стороне сервера - это и есть самое строгое ограничение CORS из возможных.

А ещё это клиентский механизм, и загружать чужие картинки злоумышленнику эти CORS вот вообще никак не помешают.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий