Zranitelnost služby Edison Mail umožňující neoprávněný přístup k e-mailovým účtům jiných uživatelů

Written by on in Articles

Edison Mail je jednou z nejoblíbenějších e-mailových aplikací třetích stran pro iPhone, iPad a Mac, ale zjevná chyba v této službě vyvolává velké obavy o ochranu osobních údajů. Uživatelé Edison Mail hlásí, že po zapnutí nové funkce synchronizace účtů v aplikaci mají plný přístup k e-mailovým účtům ostatních uživatelů Edison Mail.

Aktualizace: Edison Mail poskytl serveru 9to5Mac následující prohlášení a dodal, že chyba se týká pouze uživatelů systému iOS.

„Před 10 hodinami byla malému procentu našich uživatelů iOS nasazena aktualizace softwaru. Někteří z těchto uživatelů, kteří aktualizaci obdrželi, se potýkají s chybou v aplikaci ovlivňující e-mailové účty, na kterou jsme byli upozorněni dnes ráno. Aktualizaci jsme rychle stáhli zpět. Kontaktujeme postižené uživatele aplikace Edison Mail (omezeno na podmnožinu těch uživatelů, kteří aktualizovali a otevřeli aplikaci v posledních 10 hodinách), abychom je informovali.

V tuto chvíli se zdá, že se jedná o chybu, nikoliv o narušení bezpečnosti.“

Problém zřejmě pramení z nové funkce synchronizace, která byla do klientů Edison Mail zavedena minulý týden. „E-mailová spojení jsou synchronizována napříč všemi vašimi zařízeními,“ tak popisoval Edison tuto funkci při uvedení na trh.

Zach Knox byl jedním z prvních uživatelů Edison Mail, který dnes ráno na Twitteru problém přiznal:

Právě jsem aktualizoval @Edisonapps Mail &, po zapnutí nové funkce synchronizace se v aplikaci objevil e-mailový účet, KTERÝ NENÍ MŮJ, a ke kterému jsem zdánlivě neměl kompletní přístup. Jedná se o VÁŽNÝ bezpečnostní problém. Přístup k cizímu e-mailu bez přihlašovacích údajů! Této aplikaci už nikdy nebudu věřit.

Dnes brzy ráno na tento problém upozornil na Twitteru také další uživatel aplikace Edison Mail, Tomáš. Thomas upozornil, že zřejmě nemůže upravit nastavení synchronizace:

Chlapi, po přidání synchronizačních funkcí vidím v aplikaci cizí e-maily. Vidím jejich e-maily, takže pravděpodobně vidí i ty moje. Navzdory tomu, co se píše ve vašem příspěvku na blogu, NEMŮŽU změnit svůj synchronizační účet a jediné, co můžu udělat, je zablokovat sebe i je, aby vůbec mohli aplikaci používat.

Další uživatel, Petter, tvrdí, že vidí, že jiný iPhone má neoprávněný přístup k jeho účtu:

Můj e-mail ne. Ne můj přístroj. Jak je možné, že to stále jde jedna a jak je možné, že nic nekomunikujete. Je jasné, že někdo se zařízením „Mandy iPhone má v současné době plný přístup k mým e-mailovým účtům. Prosím, řekněte mi, že funguje alespoň mazání dat?“

Edison Mail nereagoval na stížnosti na sociálních sítích, přestože několik uživatelů upozornilo, že mají zřejmě plný přístup k e-mailovým účtům, které nejsou jejich. V tuto chvíli není možné zjistit rozsah tohoto problému, ale i když se netýká všech uživatelů Edisonu, pro ty, kterých se týká, jde o velkou bezpečnostní chybu.

Pokud se něco dozvíme přímo od společnosti Edison nebo pokud osloví postižené uživatele, budeme tento příspěvek aktualizovat.

Ahoj @Edison_apps Právě jsem aktualizoval e-mailovou aplikaci a nyní vidím e-mail dvou účtů, o kterých jsem v životě neslyšel. Myslím, že máte obrovskou bezpečnostní chybu. Ty tři účty začínající jménem Chris jsou moje. Ty ostatní nejsou. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) May 16, 2020

Právě jsem si dnes všiml nového účtu v poštovní aplikaci. Není můj! Těžké narušení soukromí ze strany @Edison_apps? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) 16. května 2020

@Edison_apps Lidi, po přidání synchronizačních funkcí vidím ve své aplikaci cizí e-maily. Vidím jejich e-mail, takže oni pravděpodobně vidí můj. Navzdory tomu, co se píše ve vašem příspěvku na blogu, NEMŮŽU změnit svůj synchronizační účet a jediné, co můžu udělat, je zablokovat sebe i je, aby aplikaci vůbec používali. Clusterf*.

– Thomas W (@trezzer) 16. května 2020

Právě jsem aktualizoval @Edison_apps Mail &, po zapnutí nové funkce synchronizace se v aplikaci objevil e-mailový účet, KTERÝ NENÍ MŮJ a ke kterému jsem zřejmě mohl úplně získat přístup.
To je VELKÝ bezpečnostní problém. Přístup k cizímu e-mailu bez přihlašovacích údajů! Této aplikaci už nikdy nebudu věřit.

– Zach (@zmknox) May 16, 2020

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.