Пользователь «Хабра» под ником Sansmaster обратил внимание на особенность веб-версии мессенджера MAX. Токен сессии сохраняется в локальном хранилище браузера, и его можно извлечь через инструменты разработчика. Разработчик пока не комментировал появившиеся в Сети сведения.
Атрибут позволяет перенести активную учетную запись в другой браузер или на другое устройство без повторного ввода пароля, СМС-кода или QR-аутентификации. Автор подчеркнул, что речь не идет о взломе или уязвимости, поскольку подобный механизм хранения сессий используется во многих современных веб-сервисах.
Для того чтобы извлечь токен и перенести сессию, злоумышленнику нужен прямой доступ к устройству или браузеру, где уже выполнен вход в аккаунт.
Если владелец учетной записи выйдет из профиля или завершит сеанс через настройки, токен станет недействительным сразу на всех устройствах. Таким образом, риски связаны прежде всего с физическим доступом к чужому компьютеру и небрежным отношением к завершению сессий на чужих устройствах.
Распространяется ли указанная ситуация на другие мессенджеры, в сообщении не уточняется.
Читать по теме: По слухам, MAX грозит полная блокировка в браузерах.
