Kwetsbaarheid in Edison Mail waardoor onbevoegden toegang hebben tot e-mailaccounts van andere gebruikers

Geschreven door op in Articles

Edison Mail is een van de populairdere e-mailprogramma’s van derden voor iPhone, iPad en Mac, maar een duidelijke bug in de dienst leidt tot grote bezorgdheid over de privacy. Gebruikers van Edison Mail melden dat ze na het inschakelen van een nieuwe accountsynchronisatiefunctie in de app volledige toegang hebben tot e-mailaccounts van andere Edison Mail-gebruikers.

Update: Edison Mail gaf de volgende verklaring aan 9to5Mac, en voegde eraan toe dat de bug alleen iOS-gebruikers treft.

“10 uur geleden is er een software-update uitgerold naar een klein percentage van onze iOS-gebruikers. Sommige van deze gebruikers die de update hebben ontvangen, ondervinden een fout in de app die gevolgen heeft voor e-mailaccounts en die vanochtend onder onze aandacht is gebracht. We hebben de update snel teruggedraaid. We nemen contact op met de getroffen Edison Mail gebruikers (beperkt tot een subset van gebruikers die de app in de afgelopen 10 uur hebben geupdate en geopend) om hen te informeren.

Op dit moment lijkt het te gaan om een bug en niet om een beveiligingslek.”

Het probleem lijkt voort te komen uit een nieuwe synchronisatiefunctie die vorige week is uitgerold naar Edison Mail-clients. “E-mailverbindingen worden gesynchroniseerd op al uw apparaten”, zo omschreef Edison de functionaliteit bij de lancering.

Zach Knox was een van de eerste Edison Mail-gebruikers die het probleem vanochtend op Twitter erkende:

Ik heb zojuist @Edisonapps Mail & geüpdatet, na het inschakelen van een nieuwe synchronisatiefunctie, verscheen er een e-mailaccount DIE NIET VAN MIJN IS in de app, waartoe ik schijnbaar volledig toegang had. Dit is een SIGNIFICANT veiligheidsprobleem. Toegang tot andermans e-mail zonder inloggegevens! Ik vertrouw deze app nooit meer.

Thomas, een andere gebruiker van Edison Mail, heeft vanochtend vroeg via Twitter ook op het probleem gewezen. Thomas wees erop dat hij de synchronisatie-instellingen blijkbaar niet kan aanpassen:

Guys, ik zie de e-mail van vreemden in mijn app nadat jullie synchronisatiefuncties hebben toegevoegd. Ik kan hun e-mail zien, dus zij kunnen waarschijnlijk ook de mijne zien. Ondanks wat er in jullie blogpost staat, kan ik mijn synchronisatieaccount NIET wijzigen en het enige wat ik kan doen, is mezelf en hen blokkeren zodat ze de app nooit meer kunnen gebruiken.

Een andere gebruiker, Petter, zegt dat hij kan zien dat een andere iPhone ongeautoriseerde toegang heeft tot zijn account:

Niet mijn e-mail. Niet mijn apparaat. Hoe kan dit nog steeds een gaan en hoe kun je niet communiceren niets. Het is duidelijk dat iemand met het apparaat “Mandy’s iPhone op dit moment volledige toegang heeft tot mijn e-mailaccounts. Zeg me alsjeblieft dat het wissen van gegevens op zijn minst werkt?

Edison Mail heeft niet gereageerd op de klachten op sociale media, ondanks dat meerdere gebruikers erop hebben gewezen dat ze schijnbaar volledige toegang hebben tot e-mailaccounts die niet van hen zijn. Het is onmogelijk om de omvang van dit probleem op dit moment te kennen, maar zelfs als het niet alle Edison-gebruikers treft, is het een groot beveiligingslek voor degenen die worden getroffen.

We zullen dit bericht bijwerken als we rechtstreeks iets van Edison horen of als ze de getroffen gebruikers de hand reiken.

Hi @Edison_apps Ik heb zojuist de e-mailapp bijgewerkt en ik kan nu de e-mail van twee accounts zien waar ik nog nooit in mijn leven van heb gehoord. Ik denk dat je een enorme beveiligingsfout hebt. De drie accounts die beginnen met de naam Chris zijn van mij. De anderen zijn dat niet. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) May 16, 2020

Just noticed today new account in mail app. Niet de mijne! Zware privacyschending door @Edison_apps? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) May 16, 2020

@Edison_apps Jongens, ik zie e-mail van vreemden in mijn app nadat jullie sync-functies hebben toegevoegd. Ik kan hun e-mail zien, dus zij kunnen waarschijnlijk de mijne zien. Ondanks wat jullie blog post zegt kan ik mijn sync account NIET veranderen en het enige wat ik kan doen is mezelf en hen blokkeren om de app ooit te gebruiken. Clusterf*.

– Thomas W (@trezzer) May 16, 2020

Ik heb zojuist @Edison_apps Mail & geupdate, na het inschakelen van een nieuwe synchronisatiefunctie, verscheen er een e-mailaccount DIE NIET VAN MIJN IS in de app, die ik schijnbaar volledig kon verwijderen.
Dit is een SIGNIFICANT veiligheidsprobleem. Toegang tot andermans e-mail zonder inloggegevens! Ik vertrouw deze app nooit meer.

– Zach (@zmknox) May 16, 2020

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.