Une vulnérabilité d’Edison Mail permettant un accès non autorisé aux comptes de messagerie d’autres utilisateurs

Written by on in Articles

Edison Mail est l’une des applications de messagerie tierces les plus populaires pour iPhone, iPad et Mac, mais un bogue apparent dans le service soulève des préoccupations majeures en matière de confidentialité. Les utilisateurs d’Edison Mail signalent qu’après avoir activé une nouvelle fonction de synchronisation des comptes dans l’application, ils ont un accès complet aux comptes de messagerie des autres utilisateurs d’Edison Mail.

Mise à jour : Edison Mail a fourni la déclaration suivante à 9to5Mac, ajoutant que le bug ne concerne que les utilisateurs iOS.

« Il y a 10 heures, une mise à jour logicielle a été déployée pour un petit pourcentage de nos utilisateurs iOS. Certains de ces utilisateurs qui ont reçu la mise à jour rencontrent une faille dans l’application impactant les comptes de messagerie qui a été portée à notre attention ce matin. Nous avons rapidement annulé la mise à jour. Nous contactons les utilisateurs d’Edison Mail impactés (limités à un sous-ensemble des utilisateurs qui ont mis à jour et ouvert l’app au cours des 10 dernières heures) pour les en informer.

À l’heure actuelle, il semble s’agir d’un bug et non d’une faille de sécurité. »

Le problème semble provenir d’une nouvelle fonctionnalité de synchronisation qui a été déployée sur les clients Edison Mail la semaine dernière. « Les connexions de courrier électronique sont synchronisées sur tous vos appareils », c’est ainsi qu’Edison a décrit la fonctionnalité lors du lancement.

Zach Knox a été l’un des premiers utilisateurs d’Edison Mail à reconnaître le problème sur Twitter ce matin :

Je viens de mettre à jour @Edisonapps Mail &, après avoir activé une nouvelle fonctionnalité de synchronisation, un compte de courrier électronique QUI N’EST PAS LE Mien s’est affiché dans l’application, auquel je pouvais apparemment accéder complètement. Il s’agit d’un problème de sécurité SIGNIFICATIF. Accéder à l’email d’un autre sans identifiant ! Je ne ferai plus jamais confiance à cette application.

Thomas, un autre utilisateur d’Edison Mail, a également signalé le problème sur Twitter tôt ce matin. Thomas a souligné qu’il ne peut apparemment pas ajuster les paramètres de synchronisation :

Guys, je vois les e-mails des étrangers dans mon application après que vous ayez ajouté des fonctionnalités de synchronisation. Je peux voir leur e-mail, donc ils peuvent probablement voir le mien. Malgré ce que dit votre article de blog, je NE PEUX PAS changer mon compte de synchronisation et tout ce que je peux faire est de me bloquer et de les empêcher de jamais utiliser l’app.

Un autre utilisateur, Petter, dit qu’il peut voir qu’un autre iPhone a un accès non autorisé à son compte:

Pas mon email. Pas mon appareil. Comment cela peut-il être encore en cours un et comment pouvez-vous ne pas communiquer quoi que ce soit. Il est clair que quelqu’un avec l’appareil « iPhone de Mandy a actuellement un accès complet à mes comptes de messagerie. S’il vous plaît, dites-moi que la suppression des données fonctionne au moins ?

Edison Mail n’a pas répondu aux plaintes sur les médias sociaux, malgré les multiples utilisateurs qui ont souligné qu’ils ont apparemment un accès complet aux comptes de messagerie qui ne sont pas les leurs. Il est impossible de connaître l’ampleur de ce problème à ce stade, mais même s’il n’affecte pas tous les utilisateurs d’Edison, il s’agit d’une vulnérabilité de sécurité majeure pour ceux qui sont affectés.

Nous mettrons à jour ce post si nous entendons quelque chose d’Edison directement ou s’ils contactent les utilisateurs affectés.

Hi @Edison_apps Je viens de mettre à jour l’application de messagerie et je peux maintenant voir l’email de deux comptes dont je n’ai jamais entendu parler de ma vie. Je pense que vous avez une énorme faille de sécurité. Les trois comptes commençant par le nom Chris sont les miens. Les autres ne le sont pas. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) May 16, 2020

Just noticed today new account in mail app. Pas le mien ! Lourde violation de la vie privée par @Edison_apps ? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) May 16, 2020

@Edison_apps Les gars, je vois les e-mails des étrangers dans mon application après que vous ayez ajouté des fonctionnalités de synchronisation. Je peux voir leur e-mail, donc ils peuvent probablement voir le mien. Malgré ce que dit votre article de blog, je NE PEUX PAS changer mon compte de synchronisation et tout ce que je peux faire est de me bloquer et de les empêcher de jamais utiliser l’app. Clusterf*.

– Thomas W (@trezzer) May 16, 2020

Je viens de mettre à jour @Edison_apps Mail &, après avoir activé une nouvelle fonctionnalité de synchronisation, un compte de messagerie qui n’est pas le mien est apparu dans l’application, que je pouvais apparemment axcess complètement.
C’est un problème de sécurité SIGNIFICATIF. Accéder à l’email d’un autre sans identifiants ! Je ne ferai plus jamais confiance à cette application.

– Zach (@zmknox) May 16, 2020

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.