В веб-версии мессенджера MAX нашли способ переноса активной сессии

Пользователь платформы «Хабр» под псевдонимом Sansmaster обнаружил специфическую функцию в веб-версии мессенджера MAX. Токен сессии сохраняется в локальном хранилище браузера, откуда его можно извлечь с помощью стандартных инструментов разработчика. Официальных комментариев от создателей сервиса по этому поводу пока не поступало.

Данная особенность позволяет перенести активную учетную запись на другое устройство или в другой браузер, минуя процедуры ввода пароля, СМС-кода или сканирования QR-кода. Автор публикации уточнил, что обнаруженный алгоритм не является уязвимостью или взломом, так как подобный метод хранения сессий применяется в большинстве современных веб-сервисов.

Для успешного извлечения токена и переноса сессии необходимо иметь прямой доступ к браузеру или устройству, где уже осуществлен вход в профиль. В случае если пользователь самостоятельно завершит сеанс через настройки или выйдет из аккаунта, токен моментально аннулируется на всех устройствах. Основная угроза связана с физическим доступом посторонних лиц к компьютеру пользователя и отсутствием привычки завершать сессии на чужих устройствах.

Информация о том, применима ли данная схема к другим мессенджерам, в материале не приводится. Ранее также сообщалось, что национальному мессенджеру MAX может грозить полная блокировка в браузерах.