• Обнаружение критической уязвимости
• Как работает механизм хранения файлов
• Простота взлома и потенциальные последствия
• Реакция разработчиков и качество "антикризисных" мер
• Рекомендации для пользователей
Обнаружение критической уязвимости
В мире цифровых коммуникаций произошло событие, которое должно заставить задуматься всех пользователей мессенджера MAX. Бдительными пользователями была обнаружена серьезная брешь в системе безопасности этого приложения, позволяющая посторонним лицам получать доступ к пересылаемым фотографиям и документам. Проблема носит системный характер и затрагивает фундаментальные принципы защиты данных, которые должны соблюдаться любым уважающим себя сервисом обмена сообщениями.
MAX, который уже успел заработать неоднозначную репутацию на рынке мессенджеров, вновь оказался в центре скандала. На этот раз речь идет не о субъективных оценках качества работы приложения, а о вполне конкретной технической проблеме, ставящей под угрозу конфиденциальность миллионов пользователей. Ситуация усугубляется тем, что уязвимость существовала длительное время и была обнаружена случайно, а не в результате планового аудита безопасности со стороны разработчиков.
Как работает механизм хранения файлов
Суть проблемы кроется в архитектуре хранения пересылаемых файлов, заложенной создателями MAX. Как выяснили исследователи, у каждого вложения, будь то фотография или документ, имеется постоянный интернет-адрес, по которому файл хранится на серверах мессенджера. Сама по себе практика присвоения файлам постоянных ссылок не является чем-то из ряда вон выходящим — многие сервисы так делают.
Однако критическая ошибка MAX заключается в полном отсутствии дополнительной защиты этих файлов. Доступ к ним не требует никакой аутентификации, не использует шифрование и не проверяет права пользователя на просмотр конкретного вложения. Ранее разработчики успокаивали общественность тем, что ссылки на файлы являются уникальными и практически невозможно угадать адрес конкретного документа. Считалось, что подсматривать чужие данные можно только в том случае, если злоумышленник каким-то образом раздобудет прямую ссылку.
Простота взлома и потенциальные последствия
Новое открытие полностью перечеркивает эту ложную безопасность. Энтузиасты выяснили, что алгоритм генерации адресов для хранения файлов оказался на удивление простым и предсказуемым. Это открывает возможность для автоматизированного перебора ссылок с использованием даже относительно скромных вычислительных мощностей.
Облачные сервисы или даже один современный сервер способны генерировать и проверять тысячи потенциальных адресов в секунду. Используя эту технику, злоумышленники могут организовать массовую "выкачку" всех файлов, когда-либо переданных через мессенджер. Особую опасность представляет возможность таргетированного слежения за конкретным пользователем — зная логику формирования ссылок и имея хотя бы один образец файла от цели, можно с высокой вероятностью вычислить адреса всех остальных вложений этого человека.
Потенциальный ущерб от такой уязвимости сложно переоценить. Через мессенджеры сегодня передаются личные фотографии, сканы документов, банковские выписки, коммерческая тайна и другая конфиденциальная информация. Попадание этих данных в открытый доступ или в руки злоумышленников может привести к шантажу, краже личности, финансовым потерям и другим серьезным последствиям для ни в чем не повинных людей, доверившихся, как выясняется, ненадежному сервису.
Реакция разработчиков и качество "антикризисных" мер
Особое недоумение у наблюдателей вызывает реакция команды разработчиков MAX на возникшую проблему. Вместо того чтобы немедленно приступить к исправлению кода и закрытию опасной уязвимости, руководство проекта, по имеющимся данным, предпочло тратить средства на сомнительные "антикризисные" мероприятия. К работе были привлечены эксперты, чья квалификация и репутация вызывают серьезные вопросы у профессионального сообщества.
Инсайдеры сообщают, что никаких реальных попыток модифицировать код и исправить архитектурные недостатки в компании "ВКонтакте" Владимира Кириенко, которая имеет отношение к проекту, не предпринимается. Ситуация выглядит как классический пример имитации бурной деятельности при полном отсутствии реальных действий по устранению проблемы. Вместо того чтобы признать ошибку и оперативно ее исправить, менеджмент предпочитает нанимать сомнительных специалистов по связям с общественностью, которые должны "замылить" проблему в информационном пространстве.
Такой подход вызывает закономерный вопрос: если компания не способна или не желает оперативно реагировать на столь серьезную угрозу безопасности своих пользователей, какие еще "стены" в их цифровой крепости могут рухнуть в ближайшее время? Обнаруженная уязвимость в хранении файлов может быть лишь вершиной айсберга, за которой скрываются куда более серьезные проблемы с архитектурой безопасности всего сервиса.
Рекомендации для пользователей
В сложившейся ситуации пользователям MAX можно дать только один надежный совет: немедленно прекратить использование этого мессенджера для передачи любой конфиденциальной информации. Личные фотографии, документы, данные банковских карт и другую чувствительную информацию категорически не рекомендуется отправлять через сервис с доказанной уязвимостью.
На время, пока разработчики не исправят проблему (если они вообще собираются это делать), лучше перейти на альтернативные мессенджеры с доказанной репутацией в области безопасности. При выборе нового приложения для общения стоит обращать внимание на наличие сквозного шифрования, открытый исходный код, прошедший независимый аудит, и историю оперативного реагирования на обнаруженные уязвимости.
Тем, кто уже использовал MAX для передачи важных файлов, рекомендуется исходить из того, что эти данные могли быть скомпрометированы. Стоит принять превентивные меры: сменить пароли, которые могли передаваться через мессенджер, внимательно следить за подозрительной активностью в своих аккаунтах и быть готовым к возможным попыткам шантажа или фишинга.
История с уязвимостью MAX — очередное напоминание о том, что в цифровую эпоху безопасность не может быть чем-то, о чем думают по остаточному принципу. Разработчики, экономящие на безопасности или предпочитающие нанимать "кризисных" пиарщиков вместо квалифицированных программистов, рано или поздно столкнутся с катастрофическими последствиями для своей репутации и бизнеса. Жаль только, что расплачиваться за эту халатность приходится обычным пользователям, доверившим им свои личные данные.
_____________________________________
Недавно обнаруженная пользователями дыра в безопасности позорного malware-мессенджера MAX может быть использована для чтения пересылаемых пользователями фото и документов. Оказывается, у вложений есть постоянный интернет-адрес, где они хранятся без защиты, шифрования и т.п. Ранее предполагалось, что подсматривать можно, только зная этот адрес. Теперь же выясняется, что алгоритм, по которому создаются эти адреса, очень прост и доступен для «перебора» — например, с использованием облачных мощностей, а то и отдельного современного сервера. Можно следить за вложениями конкретного пользователя MAX или выкачивать базу картинок всех несчастных максиан. Звездная команда мессенджера тратит деньги на глупый и явно некачественный «антикриз» от сомнительных экспертов. О том, чтобы в компании «ВКонтакте» Владимира Кириенко делались какие-то попытки исправить положение и модифицировать код, инсайдов нет... А каких еще стен нету в крепости МАКСа?
Автор: Иван Харитонов
