Пожалуй, самыми нашумевшими в сфере ИБ на этой неделе стали новости, касающиеся нового национального мессенджера MAX. Собрали для наших читателей основные моменты.
- Компания Infosecurity заявила о резком всплеске активности мошенников в мессенджере Max.
Издание Газета.ru опубликовало беседу с Кристиной Буренковой, руководителем направления отдела анализа цифровых угроз. По словам эксперта, злоумышленники облюбовали не личные переписки, а именно групповые чаты — родительские, дачных поселков и ТСЖ. В частности, речь шла о вредоносном ПО «Мамонт» — одном из самых распространенных и опасных из всех известных. Этот вредонос крадет платежные данные, перехватывает push-уведомления и SMS с кодами авторизации от банковских сервисов.
Сообщение перепостили практически все IT и ИБ издания. Специалисты в обсуждениях, как правило, соглашались с наличием указанной проблемы, однако подчеркивали, что большинство успешных кибератак строится не столько на технологических уязвимостях, сколько на психологическом давлении на пользователей.
В пресс-службе мессенджера Max назвали информацию Infosecurity не соответствующей действительности. Разработчики заверили, что специалисты центра безопасности платформы в проактивном режиме выявляют и блокируют вредоносное ПО, а все данные пользователей надежно защищены. Никаких подробностей о том, проводилась ли внутренняя проверка и на чем именно основано опровержение, в компании не привели.
Чуть позже статья исчезла с сайта издания Газета.ru
- На Хабре вышла статья о том, что Мессенджер MAX следит за пользователями VPN
На портале «Хабр» была опубликована статья, в которой утверждалось, что мессенджер МАХ следит за пользователями с VPN. Автор поста сослался на то, что в сети якобы стали появляться сообщения о странных обращениях мессенджера MAX к Telegram и WhatsApp, из-за чего в сети начали выдвигаться предположения касательно природы и целей этих запросов.
Пользователи профильного NTC-форума (открывается только через IPv6), который посвящен исследованиям интернет-цензуры и обхода блокировок, обратили внимание на необычную сетевую активность российского мессенджера MAX. Речь идет об официальном APK, скачанном с сайта проекта.
Проверку трафика провели двумя способами. В одном случае использовали PCAPdroid, который на Android имитирует VPN и позволяет перехватывать сетевые соединения без root-прав. Во втором случае анализ выполнили в эмуляторе, отдельно подчеркнув, что образ системы был «чистым», без других мессенджеров и дополнительного софта. Дампы трафика участники выложили в теме на форуме.
По наблюдениям участников обсуждения, клиент MAX регулярно обращается сразу к нескольким сервисам для определения внешнего IP-адреса, причем часть сервисов находится за рубежом. В числе доменов упоминаются api.ipify.org, checkip.amazonaws.com и ifconfig.me. Сам по себе запрос к сервису определения IP участники не считают чем-то незаконным и допускают прикладные причины, например корректную настройку прямых вызовов через WebRTC. Настороженность вызвали частота проверок и количество источников: для простой задачи обычно хватает одного сервиса, а несколько параллельных запросов больше похожи на перепроверку результата и сбор картины с разных точек. В обсуждении также отмечают, что у VK, разработчиков MAX, давно есть собственные STUN-серверы для таких задач, поэтому необходимость в сторонних, особенно зарубежных, сервисах выглядит спорно.
Отдельные вопросы вызвали обращения клиента MAX к доменам, связанным с Telegram и WhatsApp, включая main.telegram.org и mmg.whatsapp.net
«МАХ не отслеживает пользование VPN-сервисами [и] не отправляет запросы на серверы WhatsApp и Telegram. Используемые технические решения направлены на обеспечение высокого качества работы сервисов — в первую очередь звонков и уведомлений. К персональным данным или пользованию другими сервисами, включая VPN, они не имеют никакого отношения», — объяснили в пресс-службе мессенджера.
Там также объяснили, что данные об IP-адресах нужны МАХ только для корректной работы звонков в нем, а запросы на серверы — это касается Google и Apple — для проверки доставки push-уведомлений, что необходимо в «сложных сетевых условиях и ограничениях мобильной связи в отдельных регионах». «Технология WebRTC требует внешний IP, чтобы построить прямой маршрут «телефон-телефон». Это стандарт для всех подобных сервисов», — заключили в пресс-службе МАХ.
- Все фото, загруженные в MAX, доступны сторонним пользователям, причем даже после удаления.
Сначала вышла публикация на Pikabu от пользователя с ником 5time. Автор утверждает, что картинку из личной переписки в веб-версии сервиса можно открыть по прямому адресу без входа в аккаунт. Там же сказано, что после удаления изображения из чата ссылка ещё какое-то время остаётся рабочей.
Суть претензии выглядит неприятно даже без лишней драматизации. По версии публикации, пользователю достаточно отправить фото в переписку или в «Избранное», открыть веб-версию MAX, вытащить адрес файла из кода страницы и вставить ссылку в другом браузере, где авторизация отсутствует. Хабр пишет, что собственная проверка подтвердила проблему.
Если отправить фото кому‑то в переписке или себе в избранное, то можно зайти в веб‑версию Мах, посмотреть код страницы (Ctrl+Shift+C), скопировать ссылку на изображение и открыть без авторизации и доступа к переписке на другом ПК.
Примечательно, что в Архиве Интернета есть уже много примеров таких картинок.
MAX ответил почти сразу и в максимально жёсткой форме. Пресс-служба платформы заявила, что личные фотографии доступны только владельцу, а посторонний пользователь увидит файл лишь в том случае, если владелец сам передал изображение или прямую ссылку. В компании также настаивают, что ссылку нельзя подобрать или сгенерировать, а сообщения о свободном доступе к фото называют фейком. При этом в последующей заметке Хабр отдельно указал, что MAX не объяснил, почему удалённая картинка и её адрес, по версии издания, продолжают открываться после удаления из переписки.
В таком виде история упирается уже не только в вопрос «можно ли подобрать ссылку», а в куда более неприятный вопрос: должна ли приватность личного файла держаться на секретности адреса. Организация OWASP (Открытый проект безопасности веб-приложений) относит подобные сценарии к ошибкам контроля доступа. Организация прямо указывает, что сложный или длинный идентификатор может затруднить подбор, но не заменяет серверную проверку прав. Если злоумышленник всё же получил адрес чужого объекта, сервис обязан блокировать доступ, а не надеяться на случайность и длину ссылки.
Пока MAX и авторы публикации стоят на противоположных позициях, пользователям лучше исходить из осторожного сценария. Через веб-версию сервиса сейчас не стоит передавать сканы документов, банковские карты, интимные снимки и любые другие чувствительные изображения. Если спорная схема действительно существует, ущерб для приватности окажется слишком дорогим. Если схема не существует — несколько дней осторожности никому не повредят. Наши эксперты призывают пользователей не забывать о контроле за безопасностью информации всегда и везде, независимо от используемых инструментов.
С заботой о вашей безопасности, команда Origin Security
