В популярном мессенджере MAX специалисты по кибербезопасности обнаружили более 200 уязвимостей, среди которых преобладают дефекты типа IDOR (Insecure Direct Object Reference). Этот класс уязвимостей позволяет злоумышленникам манипулировать идентификаторами объектов в запросах к серверу, получая несанкционированный доступ к чужим данным.
По предварительным данным, уязвимости затрагивают не только личные сообщения, но и фотографии, кружки, а также другие функции приложения. Эксперты отмечают, что IDOR-баги представляют особую опасность, так как для их эксплуатации не требуется сложных технических навыков — достаточно подменить идентификатор в URL или API-запросе.
Разработчики MAX уже начали работу над исправлением обнаруженных дефектов, однако точные сроки закрытия уязвимостей пока не сообщаются. Пользователям рекомендуется оперативно обновлять приложение до последней версии, чтобы минимизировать риски.
Стоит отметить, что IDOR — это не новая проблема для мессенджеров. Ранее подобные уязвимости уже приводили к утечкам данных в других популярных приложениях, что подчеркивает важность регулярных аудитов безопасности.
