Az Edison Mail sebezhetőségével jogosulatlanul hozzáférhetnek más felhasználók e-mail fiókjaihoz

Az Edison Mail az egyik legnépszerűbb harmadik féltől származó e-mail alkalmazás iPhone-ra, iPadre és Macre, de egy nyilvánvaló hiba a szolgáltatásban komoly adatvédelmi aggályokat vet fel. Az Edison Mail felhasználók arról számoltak be, hogy miután engedélyezték az alkalmazás új fiókszinkronizálási funkcióját, teljes hozzáférést kaptak más Edison Mail felhasználók e-mail fiókjaihoz.

Frissítés: Az Edison Mail a következő nyilatkozatot adta ki a 9to5Mac-nek, hozzátéve, hogy a hiba csak az iOS-felhasználókat érinti.

“10 órával ezelőtt egy szoftverfrissítés került ki az iOS felhasználóink egy kis százalékához. Ezen felhasználók közül néhányan, akik megkapták a frissítést, az alkalmazásban az e-mail fiókokat érintő hibát tapasztalnak, amelyre ma reggel hívták fel a figyelmünket. A frissítést gyorsan visszavontuk. Kapcsolatba lépünk az érintett Edison Mail felhasználókkal (azon felhasználók egy részhalmazára korlátozva, akik az elmúlt 10 órában frissítették és megnyitották az alkalmazást), hogy értesítsük őket.”

A jelen pillanatban úgy tűnik, hogy ez egy hiba és nem biztonsági rés.”

A probléma a jelek szerint egy új szinkronizálási funkcióból ered, amelyet múlt héten vezettek be az Edison Mail ügyfelekhez. “Az e-mail kapcsolatok szinkronizálódnak az összes eszközén” – így írta le a funkciót az Edison az induláskor.

Zach Knox volt az egyik első Edison Mail felhasználó, aki ma reggel a Twitteren elismerte a problémát:

Most frissítettem a @Edisonapps Mail &, egy új szinkronizálási funkció engedélyezése után egy olyan e-mail fiók jelent meg az alkalmazásban, amely NEM AZ Enyém, és látszólag teljesen hozzá tudtam férni. Ez egy SIGNIFICANT biztonsági probléma. Hozzáférés más e-mail w/o hitelesítő adatok! Soha többé nem bízom ebben az alkalmazásban.

Thomas, egy másik Edison Mail felhasználó szintén rámutatott a problémára a Twitteren ma kora reggel. Thomas rámutatott, hogy látszólag nem tudja beállítani a szinkronizálási beállításokat:

Srácok, idegenek e-mailjeit látom az alkalmazásomban, miután hozzáadtátok a szinkronizálási funkciókat. Látom az ő e-mailjeiket, így valószínűleg ők is látják az enyémet. Annak ellenére, amit a blogbejegyzésetekben írtok, NEM változtathatom meg a szinkronizálási fiókomat, és csak annyit tehetek, hogy letiltom magam és őket az alkalmazás használatától.

Egy másik felhasználó, Petter azt mondja, hogy látja, hogy egy másik iPhone-nak jogosulatlanul hozzáférése van a fiókjához:

Az én e-mailjeimet nem. Nem az én készülékem. Hogy lehet ez még mindig megy egy és hogy nem kommunikál semmit. Nyilvánvaló, hogy valaki a készülék “Mandy iPhone jelenleg teljes hozzáféréssel rendelkezik az e-mail fiókjaimhoz. Kérem, mondja, hogy legalább az adattörlés működik.”

Az Edison Mail nem reagált a közösségi médiában megjelent panaszokra, annak ellenére, hogy több felhasználó rámutatott, hogy látszólag teljes hozzáféréssel rendelkeznek olyan e-mail fiókokhoz, amelyek nem az övék. A probléma mértékét egyelőre nem lehet tudni, de még ha nem is érinti az összes Edison-felhasználót, ez egy komoly biztonsági rés azok számára, akiket érint.

Frissíteni fogjuk ezt a bejegyzést, ha közvetlenül az Edison-tól hallunk valamit, vagy ha elérik az érintett felhasználókat.

Hi @Edison_apps Most frissítettem az e-mail alkalmazást, és most két olyan fiók e-mailjét látom, amelyekről soha életemben nem hallottam. Szerintem egy hatalmas biztonsági hiba van. A három Chris névvel kezdődő fiók az enyém. A többi nem. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) May 16, 2020

Just noticed today new account in mail app. Nem az enyém! Heavy privacy breach by @Edison_apps? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) May 16, 2020

@Edison_apps Srácok, idegenek e-mailjeit látom az alkalmazásomban, miután hozzáadtátok a szinkronizálási funkciókat. Látom az ő e-mailjüket, így valószínűleg ők is látják az enyémet. Annak ellenére, hogy a blogbejegyzésetek szerint NEM változtathatom meg a szinkronizálási fiókomat, és csak annyit tehetek, hogy letiltom magam és őket, hogy valaha is használhassák az alkalmazást. Clusterf*.

– Thomas W (@trezzer) May 16, 2020

I just updated @Edison_apps Mail &, after enabling a new sync feature, an email account THAT IS NOT IS MINE appeared up in the app, that I could seemingly axcess completely.
This is a SIGNIFICANT security issue. Hozzáférés más e-mailjéhez a hitelesítő adatok nélkül! Soha többé nem bízom meg ebben az alkalmazásban.

– Zach (@zmknox) May 16, 2020

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.