Вот я это и хотел написать тоже, "Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод"
Так то идентификаторы устройств у них есть. Вся эта петрушка работает как раз для веб версии только когда ты сканируешь на залогиненной в мобилке апке qr и тебя запускает. Т.е. в целом как таковой механизм контроля device Id есть
Тут ИМХО главное issue которое надо зафиксить и это быстро и сразу убирает митм - это блокирование отправки смски если есть активная сессия. Смс кидать только если нет активных сессий.
Хочешь зайти на новый девайс - тупо опять Бери qr код и шарь трастовую сессию на новый девайс. Фикс на 5 минут, который коварно подсирает бизнес фишерам)
Если ты попытаешься открыть веб версию Макса в браузере мобилы то тебя редиректит сразу на download.max.ru
Нужно постараться чтобы именно на мобилке веб версия запахала.
Соответственно для фиша таких ограничений нет) грубая логика даже неопытному юзеру подскажет что он не в приложении, а в браузере. Это наверное главный момент в несовершенстве такой атаки. Как бы туп username бы не был, уж отличить что он ковыряет браузер а не приложуху наверное сможет. (По крайней мере я в это верю)
Вот я это и хотел написать тоже, "Нет привязки выпущенной SMS-сессии к идентичности устройства, инициировавшего ввод"
Так то идентификаторы устройств у них есть. Вся эта петрушка работает как раз для веб версии только когда ты сканируешь на залогиненной в мобилке апке qr и тебя запускает. Т.е. в целом как таковой механизм контроля device Id есть
Тут ИМХО главное issue которое надо зафиксить и это быстро и сразу убирает митм - это блокирование отправки смски если есть активная сессия. Смс кидать только если нет активных сессий.
Хочешь зайти на новый девайс - тупо опять Бери qr код и шарь трастовую сессию на новый девайс. Фикс на 5 минут, который коварно подсирает бизнес фишерам)
Если ты попытаешься открыть веб версию Макса в браузере мобилы то тебя редиректит сразу на download.max.ru
Нужно постараться чтобы именно на мобилке веб версия запахала.
Соответственно для фиша таких ограничений нет) грубая логика даже неопытному юзеру подскажет что он не в приложении, а в браузере. Это наверное главный момент в несовершенстве такой атаки. Как бы туп username бы не был, уж отличить что он ковыряет браузер а не приложуху наверное сможет. (По крайней мере я в это верю)