Желаю компании ВКонтакте процветания, а ее разработчикам счастья.
Пришедшие с 4pda приглашаются в ЛС канала за объяснениями.
MadMaxDatamines
Пришедшие с 4pda приглашаются в ЛС канала за объяснениями.
MadMaxDatamines
Внимание! Наша команда настоятельно не рекомендует в дебаг меню отключать любые аналитические опции, так как при их отключении будет легко вычислить аномалии. Также по аналогии с веб версией, вероятна отправка на сервер логов навигации по приложению и при заходе в дебаг меню вероятно тоже улетает лог. Старайтесь не модифицировать оффициальные версии с аналитикой. Будьте внимательны и осторожны.
MadMaxDatamines
MadMaxDatamines
Пару слов про защиту приложений от реверс инжиниринга. Раз уж этот информационный канал смотрим не только мы - люди ведущие его, то попробуем прогнать пару слов о защите приложений от реверс инжиниринга до вас, дорогие читатели.
1. Отключайте системно все возможные варианты отладки. Все без исключений. Начиная от отладки по usb, заканчивая любой другой возможной.
2. Проверяйте список загруженных библиотек. Достаточно простое действо, которое поможет вам.
3. Проверяйте рут и завершайте приложение, если устройство имеет модификации. Это конечно бесполезно в большинстве случаев, но может помочь в борьбе за безопасность.
Если вы, не дай бог разработчик Макса, то доносим до вашего сведения - Макс потенциально уязвим, скорее всего уязвимости найдутся не сразу, это лишь вопрос времени. Совет от нанеймов: работайте над своим собственным клиентом, а не берите старые наработки компании, которые впоследствии могут влететь вам в проблемы.
Ну, а мы продолжим искать в Максе всякое, пока это там лежит, хехе.
MadMaxDatamines
1. Отключайте системно все возможные варианты отладки. Все без исключений. Начиная от отладки по usb, заканчивая любой другой возможной.
2. Проверяйте список загруженных библиотек. Достаточно простое действо, которое поможет вам.
3. Проверяйте рут и завершайте приложение, если устройство имеет модификации. Это конечно бесполезно в большинстве случаев, но может помочь в борьбе за безопасность.
Если вы, не дай бог разработчик Макса, то доносим до вашего сведения - Макс потенциально уязвим, скорее всего уязвимости найдутся не сразу, это лишь вопрос времени. Совет от нанеймов: работайте над своим собственным клиентом, а не берите старые наработки компании, которые впоследствии могут влететь вам в проблемы.
Ну, а мы продолжим искать в Максе всякое, пока это там лежит, хехе.
MadMaxDatamines
К сожалению или к счастью, мы уходим на небольшой перерыв в постинге новостей, так как нашли кое что, о чем сообщим позже.
В качестве извинений прикрепляем вам вид аттача "Деньги".
Stay tuned!
P.S. Так и не понятно зачем нужно было делать светле фронт в вебе, когда есть был и будет эндорфинжс, который работает в 15 раз лучше и стабильнее, чем текущий вариант на светле, который ещё и не везде запустится. С 10 андройдом тоже не очень понятное решение. Граждане в возрасте не имеют новейших покофонов х5 ультра про и сидят на достаточно старом железе, на котором работают все нормальные мессенджеры. Очень интересно будет наблюдать за миграцией с условного вацапа в Макс.
MadMaxDatamines
В качестве извинений прикрепляем вам вид аттача "Деньги".
Stay tuned!
P.S. Так и не понятно зачем нужно было делать светле фронт в вебе, когда есть был и будет эндорфинжс, который работает в 15 раз лучше и стабильнее, чем текущий вариант на светле, который ещё и не везде запустится. С 10 андройдом тоже не очень понятное решение. Граждане в возрасте не имеют новейших покофонов х5 ультра про и сидят на достаточно старом железе, на котором работают все нормальные мессенджеры. Очень интересно будет наблюдать за миграцией с условного вацапа в Макс.
MadMaxDatamines
Forwarded from ПАЛКА ВПРАВО
Обещанные в ролике материалы о критической уязвимость Max!
Что представляет собой Remote Code Execution (RCE)?
Remote Code Execution, или удалённое выполнение кода, - одна из наиболее опасных уязвимостей в сфере кибербезопасности. Её наличие позволяет хакеру запускать произвольные команды на удалённом сервере или устройстве, получая над ним полный контроль. Последствия успешной эксплуатации RCE могут быть катастрофическими: от несанкционированного доступа к конфиденциальной информации до полного захвата системы с возможностью её использования в противоправных целях.
Механизмы реализации атаки через RCE.
Эксплуатация подобной уязвимости обычно основывается на ошибках, допущенных при обработке входящих данных. Рассмотрим несколько распространённых сценариев, которые могут привести к удалённому выполнению кода:
/ Некорректная валидация пользовательского ввода: Если сервер принимает и исполняет данные, переданные через веб-формы, параметры URL или НТТР-заголовки, без должной проверки, злоумышленник может внедрить в них вредоносные команды.
/ Ошибки при обработке структурированных данных: .В случаях, когда приложение работает с файлами определённых форматов (JSON, XML, YAML и др.), их подмена на модифицированные версии с внедрённым кодом может привести к его взлому.
/ Уязвимости в зависимостях и сторонних библиотеках: Даже широко используемые программные компоненты могут содержать критические ошибки. Яркий пример - уязвимость в библиотеке Log4j, обнаруженная в 2021 году, которая позволяла выполнять произвольный код через специально сформированные логи.
/ Инъекция команд в системные вызовы:
Если сервер передаёт пользовательский ввод напрямую в интерпретатор команд (например, через функции eval() или shell-скрипты), это создаёт условия для внедрения и выполнения вредоносных инструкций.
Суть обнаруженной уязвимости в МАХ.
Проблема заключается в недостаточной фильтрации входящих сообщений. Сервер некорректно обрабатывает специальные символы, что позволяет хакеру обойти стандартные механизмы защиты и внедрить произвольный код.
Пример корректной обработки сообщения:
Imessage | Привет → Здесь /message - это команда, | выступает в роли разделителя, а Привет - это текст, который должен быть обработан как обычная строка.
Пример эксплуатации уязвимости:
/message | </noscript/[вредоносный код]>
В данном случае из-за ошибки в обработке сервер интерпретирует часть сообщения как исполняемый код, а не как текст, что открывает возможности для атаки.
Потенциальные последствия успешной атаки.
Если хакеру удастся воспользоваться этой уязвимостью, последствия могут быть крайне серьёзными:
• Кража конфиденциальных данных - включая логины, пароли, платежные реквизиты и другую личную информацию.
• Доступ к перепискам - даже если сообщения зашифрованы, атакующий может перехватывать или модифицировать их до или после расшифровки .
• Полный контроль над аккаунтом - хакер сможет действовать от имени жертвы, рассылать спам, проводить фишинговые атаки или использовать учётную запись для других противоправных действий.
Выводы и рекомендации:
Сейчас МАХ содержит критическую уязвимость, которая ставит под угрозу безопасность его пользователей. До тех пор, пока разработчики не выпустят официальное исправление, рекомендуется либо полностью отказаться от его использования, либо соблюдать повышенную осторожность. Учитывая сложность обнаружения данной проблемы, шансы на её оперативное решение остаются невысокими.
PS Видел комментрии в духе: "СЛЭШ А ПОЧЕМУ НЕ ПОКАЖЕШЬ НА РЕАЛЬНОМ КЛИЕНТЕ MAX ? ЛЮБОЙ ДУРАК КОНСОЛЬ ЮЗАТЬ МОЖЕТ!"
Отвечаю. Во-первых, по закону это уже будет считаться прямой демонстрацией уязвимости с возможной инструкцией к противоправным действиям - а это, на минуточку, статьи 272 и 273 УК РФ. Показывать реальный взлом или эксплойт публично - переступить черту закона. А я действую строго в рамках правового поля.
⠀
Я уже дал достаточно информации, чтобы уязвимость была понятна. Теперь - это зона ответственности государства и руководства Max. Найти и устранить проблему до того, как будет поздно.
⠀
И да - проблема реальна.
Что представляет собой Remote Code Execution (RCE)?
Remote Code Execution, или удалённое выполнение кода, - одна из наиболее опасных уязвимостей в сфере кибербезопасности. Её наличие позволяет хакеру запускать произвольные команды на удалённом сервере или устройстве, получая над ним полный контроль. Последствия успешной эксплуатации RCE могут быть катастрофическими: от несанкционированного доступа к конфиденциальной информации до полного захвата системы с возможностью её использования в противоправных целях.
Механизмы реализации атаки через RCE.
Эксплуатация подобной уязвимости обычно основывается на ошибках, допущенных при обработке входящих данных. Рассмотрим несколько распространённых сценариев, которые могут привести к удалённому выполнению кода:
/ Некорректная валидация пользовательского ввода: Если сервер принимает и исполняет данные, переданные через веб-формы, параметры URL или НТТР-заголовки, без должной проверки, злоумышленник может внедрить в них вредоносные команды.
/ Ошибки при обработке структурированных данных: .В случаях, когда приложение работает с файлами определённых форматов (JSON, XML, YAML и др.), их подмена на модифицированные версии с внедрённым кодом может привести к его взлому.
/ Уязвимости в зависимостях и сторонних библиотеках: Даже широко используемые программные компоненты могут содержать критические ошибки. Яркий пример - уязвимость в библиотеке Log4j, обнаруженная в 2021 году, которая позволяла выполнять произвольный код через специально сформированные логи.
/ Инъекция команд в системные вызовы:
Если сервер передаёт пользовательский ввод напрямую в интерпретатор команд (например, через функции eval() или shell-скрипты), это создаёт условия для внедрения и выполнения вредоносных инструкций.
Суть обнаруженной уязвимости в МАХ.
Проблема заключается в недостаточной фильтрации входящих сообщений. Сервер некорректно обрабатывает специальные символы, что позволяет хакеру обойти стандартные механизмы защиты и внедрить произвольный код.
Пример корректной обработки сообщения:
Imessage | Привет → Здесь /message - это команда, | выступает в роли разделителя, а Привет - это текст, который должен быть обработан как обычная строка.
Пример эксплуатации уязвимости:
/message | </noscript/[вредоносный код]>
В данном случае из-за ошибки в обработке сервер интерпретирует часть сообщения как исполняемый код, а не как текст, что открывает возможности для атаки.
Потенциальные последствия успешной атаки.
Если хакеру удастся воспользоваться этой уязвимостью, последствия могут быть крайне серьёзными:
• Кража конфиденциальных данных - включая логины, пароли, платежные реквизиты и другую личную информацию.
• Доступ к перепискам - даже если сообщения зашифрованы, атакующий может перехватывать или модифицировать их до или после расшифровки .
• Полный контроль над аккаунтом - хакер сможет действовать от имени жертвы, рассылать спам, проводить фишинговые атаки или использовать учётную запись для других противоправных действий.
Выводы и рекомендации:
Сейчас МАХ содержит критическую уязвимость, которая ставит под угрозу безопасность его пользователей. До тех пор, пока разработчики не выпустят официальное исправление, рекомендуется либо полностью отказаться от его использования, либо соблюдать повышенную осторожность. Учитывая сложность обнаружения данной проблемы, шансы на её оперативное решение остаются невысокими.
PS Видел комментрии в духе: "СЛЭШ А ПОЧЕМУ НЕ ПОКАЖЕШЬ НА РЕАЛЬНОМ КЛИЕНТЕ MAX ? ЛЮБОЙ ДУРАК КОНСОЛЬ ЮЗАТЬ МОЖЕТ!"
Отвечаю. Во-первых, по закону это уже будет считаться прямой демонстрацией уязвимости с возможной инструкцией к противоправным действиям - а это, на минуточку, статьи 272 и 273 УК РФ. Показывать реальный взлом или эксплойт публично - переступить черту закона. А я действую строго в рамках правового поля.
⠀
Я уже дал достаточно информации, чтобы уязвимость была понятна. Теперь - это зона ответственности государства и руководства Max. Найти и устранить проблему до того, как будет поздно.
⠀
И да - проблема реальна.