Пользователи нашли способ переноса сессии в веб-версии MAX без ввода пароля

В веб-версии мессенджера MAX обнаружена функциональная особенность, связанная с хранением данных авторизации. Как сообщил пользователь платформы «Хабр» под псевдонимом Sansmaster, токен сессии сохраняется в локальном хранилище интернет-обозревателя. Доступ к нему можно получить стандартными инструментами разработчика, встроенными в браузер.

Извлечение данного атрибута дает возможность перенести активную сессию на другое устройство или в другой браузер, минуя этапы ввода пароля, сканирования QR-кода или подтверждения через СМС. Автор публикации уточнил, что обнаруженная особенность не является программной уязвимостью или элементом взлома. Подобный подход к управлению сессиями применяется во множестве современных интернет-сервисов.

Для использования этого метода третьим лицам необходимо иметь физический доступ к устройству или браузеру пользователя, где уже произведена успешная авторизация. Если владелец аккаунта самостоятельно завершит сеанс работы через меню настроек, скопированный токен моментально аннулируется на всех устройствах. Основная угроза компрометации профиля связана с оставлением активных сессий на чужих компьютерах. Информации о применимости данного метода к другим мессенджерам не приводится, при этом ранее сообщалось о возможной полной блокировке MAX в браузерах.