Дисклеймер: Мы, как и многие сейчас, не очень понимаем, как в ближайшее время будет меняться онлайн-коммуникация и какие площадки в итоге окажутся для всех обязательными, основными или просто неизбежными. Поэтому мы тоже на всякий случай завели канал в «Максе» — вот ссылка для желающих. Но, в отличие от брендов, которые бодро зовут туда аудиторию, мы не считаем честным делать перед своими пользователями вид, будто вопросов к платформе нет. Собственно, именно поэтому мы и задумали эту статью: чтобы чуть уменьшить неопределенность и собрать в одном месте то, что известно о рисках перехода в этот сервис.
Эта статья — старательная попытка отделить реальные баги от пользовательских жалоб без открытого техразбора, а уязвимости — от неудобных и потенциально опасных ограничений сервиса. Она может быть полезна для нашей с вами цифровой безопасности: если мессенджер уже стоит на телефоне или его необходимо поставить, важно понимать, где есть риск для файлов, групп, личной переписки и доступа к важным чатам.
N.B. В тексте используется написание «Макс», потому что буквально пару дней назад Max переименовался на официальном сайте, в App Store и Google Play.
Баги «Макса» с чужими сообщениями: что известно о кружках, фото и голосовых от незнакомцев
Одним из самых громких сюжетов вокруг «Макса» стали жалобы пользователей на чужие видеокружки, фотографии и голосовые сообщения в чатах. Два заблокированных в России издания писали, что пользователям вместо видеосообщений от их собеседников приходили кружки от незнакомых людей, а некоторым — даже фотографии и голосовые.
Например, по новостным каналам разошлось такое видео:
Видео от пользователя, чья супруга, по его словам, получила вместо его видеосообщения чужой кружок
Через некоторое время после появления новостей по этой теме «Коммерсантъ» написал, что один из самых частых векторов среди найденных в «Максе» уязвимостей связан с IDOR. Это класс ошибок, при котором можно получить несанкционированный доступ к чужим данным или действиям, подменяя идентификатор объекта в запросе к серверу (например, ID сообщения, чата или пользователя). Пресс-служба «Макса», комментируя запрос «Коммерсанта», не отрицала, что уязвимость, связанная с подменой ID, действительно существовала — только заявила, что таковые устраняются в приоритетном порядке, и что уязвимости новых сервисов — норма, которая не должна подаваться как сенсация.
Есть и еще одна версия, любопытная уже скорее с точки зрения маркетинга и устройства вирусных сюжетов. По данным того же «Коммерсанта», волну обсуждения мог подогреть Алексей Северцов, создатель сервиса norminternet, который намеренно воспроизводит эффект «случайного чужого кружка».
Для пользователя, однако, важнее не то, был ли конкретный вирусный кейс с чужими кружками подлинным и кто именно мог его раскрутить, а то, что сама уязвимость, которая делала такой сценарий возможным, по всей видимости, существовала.
Сколько уязвимостей нашли в «Максе» и сколько из них признает сам мессенджер
Самый надежный набор фактов о проблемах безопасности «Макса» связан с Bug Bounty — программой, в рамках которой исследователи сообщают сервису о найденных уязвимостях. 10 апреля «Коммерсантъ» сообщал, что в программе «Макс» было принято 288 отчетов об уязвимостях из 454 поданных, а общая сумма выплат составила почти 22 млн рублей.
На момент создания этой статьи число выросло: принято 316 из 493 поданных отчетов. Посмотреть на эти цифры можно на официальной странице мессенджера на сайте Bug Bounty.
Сотни отчетов сами по себе, конечно, не подтверждают каждую историю, которая разошлась по соцсетям, и не говорят о том, что все найденные проблемы одинаково проявлялись у всех пользователей. Но они задают масштаб: речь идет не о случайных жалобах и не о единичных кейсах, а о регулярной внешней проверке, в рамках которой сервис принимает и подтверждает сотни отчетов. На этом фоне разговор о багах «Макса» уже трудно свести к одному только медийному шуму — вопросы к безопасности сервиса, по всей видимости, были предметными.
Так что, если для вас важно, чтобы файл точно ушел только одному человеку и не превратился в проблему при ошибке маршрутизации, лучше выбирать другие каналы.
Уязвимости «Макса»: можно ли открыть фото и файлы по прямой ссылке
Еще одна обсуждаемая уязвимость мессенджера связана с доступом к файлам по прямой ссылке. Habr подробно разбирал сценарий, при котором изображение из веб-версии «Макса» можно открыть без авторизации, если у человека уже есть прямой URL файла. Стартовую публикацию, с которой началось это обсуждение, можно посмотреть здесь.
На первый взгляд может показаться, что проблема не такая уж серьезная. В конце концов, если пользователь и так может переслать кому-то ссылку на фото из чата, то он мог бы точно так же переслать и сам файл. В этом смысле «Макс» действительно начинает выглядеть скорее как хостинг: у кого есть ссылка, у того есть и доступ. И пресс-служба «Макса» ответила на публикацию Habr именно так: «Другие пользователи могут увидеть фото только если владелец добровольно поделится ими или ссылкой на них. Ссылку нельзя подобрать или сгенерировать».
Последнее утверждение мне показалось интересным, и я решила посмотреть, как вообще устроены такие ссылки на практике. Следующие две картинки я отправила другу в личной переписке, а потом удалила — но вы можете убедиться, что у вас они открываются:
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Note8y89w4Tg_5bIV9Ji_-NM98CBV0Tx1kKvEexpyNagis
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NotslENVcj5UG_dh91giYev5t8CBV0Tx1kKvEexpyNagis
Как видите, эти адреса не полностью уникальны — большая их часть совпадает, а различается только фрагмент строки (выделен черным цветом). Но означает ли это, что ссылку на фотографии определенного пользователя можно получить методом перебора? Оценить это без технического бэкграунда мне было сложно, и я нашла разбор, в котором пользователь попробовал посмотреть на проблему не эмоционально, а через стандартные модели оценки уязвимостей — ФСТЭК и CVSS. Прочитать о его методике оценки подробно можно здесь, но я коротко сформулирую для вас его вывод.
В любом из рассматриваемых сценариев речь идет именно об уязвимости контроля доступа, а не об особенности интерфейса. В самом жестком варианте (если любой человек может перебором получить адрес) такая проблема тянет на высокий уровень угрозы: доступ удаленный, дополнительных привилегий не требуется, а раскрывается содержимое приватного пользовательского файла. В более мягком сценарии (если для начала ссылка должна утечь или быть передана самим пользователем) оценка снижается, но не до нуля, а только до среднего уровня угрозы.
Иными словами, даже если принять версию «Макса» целиком — что ссылки нельзя массово подбирать, а доступ появляется только после того, как ссылка уже оказалась у кого-то, — это все равно означает, что приватность файла зависит не от авторизации в сервисе, а от судьбы самой ссылки. Для мессенджера, через который пользователям предлагают передавать документы, фотографии и другие чувствительные материалы, это все-таки слишком заметная оговорка.
H2: Проблемы «Макса» без взлома: риск остаться без доступа к важной связи
Не все уязвимости связаны с утечками или доступом к чужим данным. Есть и другой риск — зависимость от сервиса как от единственного канала связи.
Неделю назад новосибирский портал НДН.инфо написал, что после жалобы на спам аккаунт школьницы в «Максе» заблокировал ее друг, который пожаловался на спам, и что в техподдержке сообщили: номер ребенка «заблокирован в целях профилактики». Тут стоит отметить не факт блокировки, а ее срок: неделя для школьной коммуникации — это достаточное время, чтобы выпасть из повседневного учебного процесса.
Опасность этой истории усиливается тем, что «Макс» уже используется как канал образовательной коммуникации. Forbes Education еще в конце прошлого года писал, что образовательные организации массово переносят родительские чаты на платформу, а те, кто не регистрировался, сталкивались с проблемами — от невозможности вовремя получить информацию о домашних заданиях и расписании до общего выпадения из коммуникации.
Конечно, сама по себе безальтернативность такого выбора — не вина «Макса» как сервиса. Но для пользователя это мало что меняет: если коммуникация завязана на один мессенджер, то болезненной становится именно долгая разблокировка.
H2: Опасные ограничения «Макс» в группах: админ здесь может не все
Впрочем, кейс с забаненной школьницей, похоже, еще пригодится — уже администраторам чатов. Дело в том, что избавиться от нежелательного пользователя иначе, чем заблокировать его целиком, похоже, не получится. Судя по официальной справке сервиса, участника можно удалить из группы, а новых пользователей — добавлять, в том числе в уже существующий чат. А вот привычного черного списка, то есть режима, при котором удаленный участник одновременно получает запрет на самостоятельное возвращение, в «Максе», по всей видимости, пока нет.
Для сравнения: в Telegram забаненный пользователь не сможет вернуться по инвайт-ссылке, пока его не разбанят.
Я сама попробовала найти возможность добавить пользователя в черный список, но не смогла, и в официальном FAQ «Макса» отдельного инструмента для такого сценария тоже не нашла. Судя по доступным настройкам и документации, на момент создания статьи возможность забанить пользователя в канале действительно нет.
Чтобы убедиться, что баг действительно есть, я пригласила друга в чат по ссылке, затем удалила, после чего он смог вернуться в беседу
Почему это важно? Потому что в конфликтной ситуации — если в чат заходит человек, который публикует спам, провокации или 18+ контент, — простого удаления может оказаться недостаточно. Если у пользователя остается возможность вернуться, администратор фактически лишается одного из базовых инструментов защиты сообщества. Для школьных, родительских, домовых и рабочих чатов это не мелкая разница в UX или политике общения, а настоящая проблема.
Формально это, конечно, не уязвимость в техническом смысле слова. Но для администратора разница невелика: если он не может надежно закрыть доступ деструктивному участнику, контроль над группой становится заметно слабее.
Как снизить риски для себя и своих близких в «Максе» прямо сейчас
Если «Макс» уже установлен или его придется поставить, лучше не ждать, пока спорные истории окончательно подтвердят или опровергнут. Гораздо практичнее сразу включить доступные меры защиты и немного изменить привычный способ пользоваться мессенджером.
Разберитесь с настройками безопасности на устройствах детей и пожилых людей
Включите «Безопасный режим»: он скрывает профиль из поиска, ограничивает звонки только контактами, позволяет получать приглашения в чаты только от тех, с кем пользователь уже общался, и автоматически скрывает каналы и контент с метками 16+ и 18+.
Там же ограничьте поиск по номеру телефона — лучше выбрать режим, при котором пользователя смогут найти только люди, у которых он есть в контактах. Это заметно снижает риск случайных и нежелательных входящих.
Заодно включите пароль для входа и обязательно привяжите электронную почту для восстановления доступа. Без этого дополнительная защита может обернуться новой проблемой: при сбое или потере доступа восстановить аккаунт будет сложнее.
Проверьте, кто вообще может написать вашему ребенку или бабушке в личные сообщения. В «Максе» с пользователем могут связаться не только по номеру, но и через пригласительную ссылку, QR-код или общий чат. «Безопасный режим» здесь особенно полезен: он сводит этот круг к контактам пользователя.
Эти рекомендации могут не подойти человеку, который вынужден общаться с большим количеством незнакомых контактов — например, по работе. Но следующие рекомендации, которые уже не касаются настроек, вполне универсальны для всех.
Отправляйте приватный контент через сервисы с контролем доступа
Если утечка документа, фото или видео может причинить реальный вред, не отправляйте такой файл обычным вложением в чат. Сканы документов, медицинские файлы, пропуска, договоры, фотографии детей и другие чувствительные материалы лучше передавать через облако с доступом по конкретным адресам почты. Тогда даже если ссылка, отправленная через мессенджер на папку или файл, куда-то уйдет, сама по себе она не откроет файл посторонним.
Помните, что удалить файл получится не всегда
В «Максе» свое сообщение можно удалить у всех участников чата только в течение семи дней после отправки. Если удалить его только у себя, у других оно останется.
Для сравнения: в Telegram «удалить для всех» можно по истечении любого времени.
Поэтому для действительно чувствительных материалов безопаснее сразу выбирать более контролируемый способ передачи, а не надеяться на последующее удаление.
Не держите важные групповые чаты на одной старой ссылке
Если чат важный и в нем возможны конфликты, открытую ссылку-приглашение лучше сразу считать слабым местом. Как только в группу приходит нежелательный участник и начинает постить спам, провокации или 18+ контент, такую ссылку разумно считать скомпрометированной и менять:
Если по ссылке уже заходил нежелательный пользователь, инвайт-ссылку лучше поменять, и новым пользователям выдавать уже ее
Но сама по себе смена ссылки проблему не решает. При отсутствии черного списка это скорее временная мера: если обновлять ссылку каждый раз, когда по ней начинают приходить новые нежелательные пользователи, в ваших чатах и каналах очень быстро накопится множество старых, уже неактуальных инвайтов.
Дублируйте важную коммуникацию вне «Макса»
Не храните важные контакты только внутри одного мессенджера. История со школьницей показывает, что даже без утечки данных аккаунт может внезапно стать слабым звеном всей вашей коммуникации. Если через «Макс» вы получаете домашние задания, контакты учителей, рабочие сообщения, документы или срочные договоренности, у этой информации должен быть хотя бы еще один канал: почта, другой мессенджер, облако с контролем доступа. Защищаться приходится не только от багов, но и от ситуации, в которой сам сервис в нужный момент оказывается недоступен.
FAQ: короткие ответы на частые вопросы о багах «Макса»
Безопасен ли «Макс» сейчас?
Пока рано называть сервис полностью готовым принять миллионную аудиторию и обеспечить ей безопасность. Вокруг сервиса уже были и массовые жалобы пользователей, и истории про доступ к приватным файлам по ссылке, и сотни принятых отчетов в Bug Bounty.
Правда ли, что в «Максе» приходили чужие кружки, фото и голосовые?
Такие жалобы действительно были и широко расходились в медиа. Но публичного независимого разбора, который бы окончательно подтвердил механизм этой ошибки, так и не появилось.
Что сам «Макс» признает в истории с чужими видеосообщениями?
Сервис не отрицал, что уязвимость, связанная с возможной подменой ID, существовала, но настаивал, что это не доказывает подлинность конкретных вирусных роликов с «чужими кружками».
Что за проблема с фото и файлами по прямой ссылке?
Речь о сценарии, при котором файл можно открыть без авторизации, если уже известен его прямой URL. Даже в самой осторожной трактовке это означает, что доступ начинает зависеть от ссылки, а не только от входа в аккаунт.
Что показывают сотни отчетов в Bug Bounty?
Они не подтверждают автоматически каждую историю из соцсетей, но хорошо показывают масштаб найденных уязвимостей — впрочем, как во всяком сервисе, который еще не в полной мере готов принять большую аудиторию.
Что не так с модерацией групп в «Максе»?
Участника можно удалить из чата, но надежно запретить ему вернуться уже сложнее. Отдельного черного списка в группах сейчас нет, и пользователь сможет вернуться по старой ссылке, если ее не обновить.
Что можно сделать в «Максе» в первую очередь, чтобы обезопасить детей и пожилых людей?
Включить Безопасный режим, ограничить поиск по номеру, настроить пароль для входа, не пересылать чувствительные файлы обычными вложениями и не держать всю важную коммуникацию только внутри одного мессенджера. Эта рекомендация может не подойти, если вы общаетесь с большим количеством незнакомых людей по рабочим вопросам.