В веб-версии российского мессенджера MAX нашли способ обхода пароля

Пользователи обратили внимание на нюансы безопасности веб-версии российского мессенджера MAX. Дискуссия началась после публикации пользователя портала Habr под псевдонимом sansmaster, который проанализировал алгоритм авторизации сервиса на сайте web.max.ru. Выяснилось, что при входе в систему браузер сохраняет токен сессии в локальном хранилище. Этот код можно извлечь с помощью стандартной консоли разработчика и скопировать на другое устройство.

При использовании токена в другом браузере мессенджер открывает учетную запись без запроса пароля, СМС-подтверждения или сканирования QR-кода. Автор исследования уточнил, что данный процесс не является хакерским взломом, так как подобный штатный механизм сохранения сессий применяется во многих веб-сервисах. Тем не менее простота извлечения токена через DevTools вызвала резонанс в сообществе.

Для осуществления такого переноса сессии постороннему лицу необходим физический доступ к компьютеру пользователя, где уже выполнен вход в MAX. При этом если владелец аккаунта нажмет кнопку выхода или принудительно завершит сессию в настройках, скопированный токен моментально перестанет действовать на всех устройствах.