MAX грозит утечка через вход с ключом в браузере

Вокруг российского мессенджера MAX возникло новое обсуждение безопасности после публикации пользователя Habr под именем sansmaster. Он обратил внимание на то, как веб-версия сервиса хранит ключ активного сеанса.

По словам автора, после входа в учетную запись через браузер ключ сеанса сохраняется в локальном хранилище. Его можно увидеть через инструменты разработчика, а затем применить на другом устройстве или в другом браузере.

После переноса такого ключа и обновления страницы сервис открывается под прежней учетной записью. Повторно вводить пароль, код из сообщения или сканировать код быстрого отклика при этом не требуется.

Автор публикации подчеркнул, что описанная ситуация не является взломом или классической уязвимостью. Речь идет о штатном механизме браузера, который используется во многих веб-сервисах.

При этом тема вызвала активное обсуждение среди пользователей. Некоторые участники дискуссии удивились тому, что доступ к ключу сеанса можно получить через инструменты разработчика.

Для переноса активного сеанса постороннему человеку нужен физический доступ к устройству или браузеру, где уже выполнен вход в MAX. Если владелец учетной записи выйдет из нее или завершит сеанс в настройках, ключ станет недействительным на всех устройствах.

Рекомендуем также:

1. Соль лечит, грязь омолаживает, арбузы удивляют: забытый город-курорт России снова манит туристов
2. «Раптор» больше не главный спаситель: обычная луковица неожиданно стала кошмаром для комаров
3. Летний обед без плиты и духоты: холодный борщ со свеклой и кефиром становится главным хитом сезона
4. Морковь будет ровной и сладкой как на подбор: дачники раскрыли секретную соль вместо привычной золы
5. До пенсии не допустят без доплаты: кому в 2026 году придется отдать десятки тысяч рублей