В пену

В MAX появились секретные чаты с шифрованием Base64

panorama.pub — Разработчики мессенджера MAX объявили, что теперь в нём существуют полноценные секретные чаты – пользователи, желающие сохранить конфиденциальность, могут инициировать защищённый диалог, который не смогут прочитать третьи лица. Как заверили создатели MAX, защита сообщений «надёжно обеспечена ИИ-алгоритмом Base64». В момент, когда зашифрованное сообщение будет доставлено на устройство получателя, искусственный интеллект произведёт его расшифровку обратно в читаемый текст #опережая_события

Новости, Юмор | tonyware 14 ч 50 мин назад

29 комментариев | 21 за, 0 против |

tonyware »

#1 | 14 ч 50 мин назад | Кому: Всем

В мессенджере MAX появились секретные чаты: все сообщения шифруются по алгоритму Base64

Разработчики мессенджера MAX объявили, что теперь в нём существуют полноценные секретные чаты – пользователи, желающие сохранить конфиденциальность, могут инициировать защищённый диалог, который не смогут прочитать третьи лица.

Как заверили создатели MAX, защита сообщений «надёжно обеспечена ИИ-алгоритмом Base64».

«К примеру, вы пишете сообщение: «Здравствуй, Сергей Семёнович». Умный алгоритм перед отправкой на сервер превращает этот текст вот в такую, совершенно не читаемую строку: «0J3QtSDQt9GA0Y8g0L/QvtC70LXQtyDQv9C10YDQtdC/0YDQvtCy0LXRgNC40YLRjCwg0LTQsD8=». В результате хакеры и иностранные спецслужбы если даже и перехватят её, то не смогут понять, о чём идёт речь», – говорится в пресс-релизе.

В момент, когда зашифрованное сообщение будет доставлено на устройство получателя, искусственный интеллект произведёт его расшифровку обратно в читаемый текст. Таким образом, шифрование не доставит никаких неудобств для пользователей. Как отмечают разработчики, MAX – первый в мире мессенджер с Base64-шифрованием, что в очередной раз доказывает технологическое лидерство отечественных решений.

Kaktus »

#2 | 14 ч 46 мин назад | Кому: Всем

Можно ещё буквы местами менять.

sergant_l »

#3 | 14 ч 36 мин назад | Кому: Всем

Когда это пишет "панорама" - это смешно, все смеются. А когда подобное заявляют всякие macOTSOS'ы - все неистово верят и дрочат на безопасность.

Strider »

#4 | 14 ч 19 мин назад | Кому: Всем

Если вставить "зашифрованное" сообщение в любой онлайн-перекодировщик Base64, можно получить небольшой смешной бонус от авторов новости.

user2980 »

#5 | 14 ч 10 мин назад | Кому: Всем

Умный алгоритм перед отправкой на сервер превращает этот текст вот в такую, совершенно не читаемую строку:
«0JfQtNGA0LDQstGB0YLQstGD0LksINCh0LXRgNCz0LXQuSDQodC10LzRkdC90L7QstC40Yc=»

Склеп »

#6 | 13 ч 25 мин назад | Кому: Strider

> Если вставить "зашифрованное" сообщение в любой онлайн-перекодировщик Base64, можно получить небольшой смешной бонус от авторов новости.

Тут от производителя МАХа более смешная шутка пришла - все картинки, фото - не шифруются и получают постоянную ссылку с прямым доступом кого угодно, и если ты получил хоть один документ от какого-нить пользователя - ты можешь простым перебором получить ВСЕ фото/картинки этого пользователя.

Freund »

#7 | 12 ч 40 мин назад | Кому: Склеп

> Тут от производителя МАХа более смешная шутка пришла - все картинки, фото - не шифруются и получают постоянную ссылку с прямым доступом кого угодно, и если ты получил хоть один документ от какого-нить пользователя - ты можешь простым перебором получить ВСЕ фото/картинки этого пользователя.

Это называется IDOR, кажется. Очень нелепая дыра.

baraka16 »

#8 | 11 ч 56 мин назад | Кому: Freund

> Это называется IDOR, кажется. Очень нелепая дыра.

Любопытно, что это название (IDOR) происходит от эпитета, которым большинство пользователей обзывало разработчика в комментах за криворукость.

Comrade9444 »

#9 | 11 ч 45 мин назад | Кому: baraka16

Новость:
[censored]

Опровержение:
[censored]

Проверить не могу, нет у меня Ма(ха)кса

Склеп »

#10 | 10 ч 25 мин назад | Кому: Comrade9444

> Опровержение:

Другие пользователи могут увидеть фото, только если владелец добровольно поделится ими или ссылкой на них

О чем и речь - достаточно получить одну ссылку, чтоб получить доступ ко всем.

Пальтоконь »

#11 | 10 ч 7 мин назад | Кому: Склеп

> Тут от производителя МАХа более смешная шутка пришла - все картинки, фото - не шифруются и получают постоянную ссылку с прямым доступом кого угодно, и если ты получил хоть один документ от какого-нить пользователя - ты можешь простым перебором получить ВСЕ фото/картинки этого пользователя.

То есть в точности как в Телеге.

Comrade9444 »

#12 | 9 ч 5 мин назад | Кому: Пальтоконь

> То есть в точности как в Телеге.

Нет.
Телега использует сложную систему хранения и доступа к файлам (MTProto + CDN) , там такого быть не должно. Каждый файл (фото, документ, видео) имеет уникальный набор идентификаторов. В приватных чатах, группах и обычных диалогах ссылка всегда привязана к твоей сессии (cookies + file_reference). Посторонний человек (даже если ты ему её отправишь) получит 403 Forbidden. Только если медиа из публичного канала тогда прямой CDN может открыться у кого угодно (но тоже не навсегда).

IDOR уязвимость и вечный хостинг был раньше у VK, сейчас не знаю давно не интересовался.

Ilya.K »

#13 | 6 ч 44 мин назад | Кому: Склеп

> О чем и речь - достаточно получить одну ссылку, чтоб получить доступ ко всем.

[censored]

Вот одна ссылка, достань остальные мои нюдсы и дикпики)))

> ты можешь простым перебором получить ВСЕ фото/картинки этого

На всего лишь 67^40 = 1*10^73 вариантов перебрать - говно вопрос!

Ilya.K »

#14 | 6 ч 37 мин назад | Кому: Пальтоконь

> То есть в точности как в Телеге.

В телеге в web-версии ссылка имеет вид: blob:https://web.telegram.org/93d5d8c5-480b-4c72-b3e6-850a102908eb
Открывается только в браузере где выполнен вход, я так понимаю требует авторизационный токен.
В Whatsapp так же.
Почему в макс так не сделали непонятно, но сказать что это прям дыра...

Ilya.K »

#15 | 6 ч 33 мин назад | Кому: Comrade9444

> Проверить не могу, нет у меня Ма(ха)кса

Проверил. С одной стороны написана правда, с другой как и всегда лучшая ложь это полуправда.
Сказать, что ваши нюдсы в общественном доступе, и забыть сказать что для этого надо знать пароль из 67 символов это как сказать что ваши деньги в онлайн банкинге в открытом доступе, если подобрать пароль.

Ilya.K »

#16 | 6 ч 3 мин назад | Кому: Ilya.K

Окей, поправлю себя, чтобы никто не упрекнул в неточности.

Вот две мои ссылки:

[censored]
[censored]

Первые 24 символа общие для пользователя. 43 уникальные. Кол-во вариантов для перебора 43^40 = 2*10^65
Задача сильно проще не стала.

P.S. Кстати, хорошая замена idiod'у получается)))

Вотт пропускает: [censored]

максимум 20 символов
надзор »

#17 | 6 ч 1 мин назад | Кому: baraka16

> Любопытно, что это название (IDOR) происходит от эпитета

Есть альтернативная теория, что это искажённое iDoor, появившаяся ещё в экосистеме Apple десятки лет назад.

максимум 20 символов
надзор »

#18 | 5 ч 53 мин назад | Кому: Ilya.K

> Задача сильно проще не стала

В сто миллионов раз проще!!!

Comrade9444 »

#19 | 5 ч 14 мин назад | Кому: Ilya.K

> Кстати, хорошая замена idiod'у получается)))
>

Вотт познавательный)

Comrade9444 »

#20 | 5 ч 6 мин назад | Кому: Ilya.K

> Первые 24 символа общие для пользователя. 43 уникальные. Кол-во вариантов для перебора 43^40 = 2*10^65
> Задача сильно проще не стала.

строка не является простым счётчиком. Это почти наверняка криптографическая подпись / HMAC / зашифрованный blob / токен
Если кто-то разошлёт много ссылок из одного чата/пользователя то можно попробовать собрать префикс + несколько суффиксов и попытаться понять паттерн (но скорее всего всё равно не угадать подпись).Что-то может получится если суффикс это последовательный counter + слабая подпись. Или если есть другая уязвимость , например, предсказуемый seed для генерации токена. Тогда да, возможен перебор. Но все это крайне маловероятно.

максимум 20 символов
надзор »

#21 | 4 ч 59 мин назад | Кому: Comrade9444

> суффикс это последовательный counter + слабая подпись

Обычно без заморочек используют UUID седьмой версии

Склеп »

#22 | 4 ч 48 мин назад | Кому: Ilya.K

>[censored]
>[censored]

> Первые 24 символа общие для пользователя. 43 уникальные. Кол-во вариантов для перебора 43^40 = 2*10^65
> Задача сильно проще не стала.

Префикс

BTE2sh_eZW7g8kugOdIm2Not

Постфикс

RPS78t1fJ0sOGDY-bLWuM

22 уникальные:

UuYlg-Iq7agsz_gp3i-_hy
-pIxtTnoDZD_hTE5kEYg0S

Comrade9444 »

#23 | 4 ч 47 мин назад | Кому: максимум 20 символов

> Обычно без заморочек используют UUID седьмой версии

UUIDv7 не последовательный счет вроде 000001, 000002.
Он примерно монотонный по времени, но внутри значения случайны в большинстве битов. В начале каждой миллисекунды sequence сбрасывается или инициализируется случайным числом. Ты не можешь предсказать, с какого числа начнется счетчик в следующей миллисекунде. В реальной высоконагруженной системе (где много инстансов серверов) у каждого инстанса будет свой счетчик. Предсказать следующий ID системы невозможно, так как это всегда будет микс ID от разных потоков/процессов. Даже если префикс фиксирован (user/chat + timestamp), остаётся 10-12 десятичных порядков случайности. Это 10¹⁸-10²⁰ вариантов на один timestamp.

Ilya.K »

#24 | 4 ч 32 мин назад | Кому: Склеп

> Постфикс

Спасибо, постфикс я просмотрел.

>22 уникальные

Хорошо, 22^40 = 5×10^53 вариантов

Склеп »

#25 | 3 ч 53 мин назад | Кому: Ilya.K

> Хорошо, 22^40 = 5×10^53 вариантов

Вот, уже лучше!!!

lesync »

#26 | 3 ч 19 мин назад | Кому: baraka16

> большинство пользователей обзывало разработчика в комментах за криворукость

Скорее не криворукость, а просто похуй. ТЗ формально выполнено - а остальное не ебёт.

Обновление приложения методом полной установки "поверх" - яркое тому подтверждение.

Ilya.K »

#27 | 2 ч 49 мин назад | Кому: Склеп

> Вот, уже лучше!!!

Но ты другие то мои фотки пришлешь? Я там тебе посхалку оставил!!!

Склеп »

#28 | 2 ч 48 мин назад | Кому: Ilya.K

> Я там тебе посхалку оставил!!!

Вотт теперь точно не буду смотреть!!!

tonyware »

#29 | 1 ч 57 мин назад | Кому: Ilya.K

> Проверил. С одной стороны написана правда, с другой как и всегда лучшая ложь это полуправда.

Ну это "правда" в том же смысле что любой человек может вычислить приватный ключ RSA из публичного ключа, просто быстро подобрав два простых числа из public modulus.

Войдите или зарегистрируйтесь чтобы писать комментарии.

Логин
Пароль
	Запомнить