Edison Mail vulnerabilidade permitindo acesso não autorizado a contas de e-mail de outros usuários

Written by on in Articles

Edison Mail é um dos mais populares aplicativos de e-mail de terceiros para iPhone, iPad e Mac, mas um aparente bug no serviço está levantando grandes preocupações de privacidade. Os usuários do Edison Mail relatam que após habilitar um novo recurso de sincronização de contas no aplicativo, eles têm acesso total às contas de e-mail de outros usuários do Edison Mail.

Update: Edison Mail forneceu a seguinte declaração para 9to5Mac, acrescentando que o bug afeta apenas usuários iOS.

“10 horas atrás uma atualização de software foi lançada para uma pequena porcentagem de nossos usuários iOS. Alguns desses usuários que receberam a atualização estão experimentando uma falha no aplicativo que impactou as contas de e-mail que foi trazida ao nosso conhecimento esta manhã. Nós rapidamente revertemos a atualização. Estamos contactando os usuários do Edison Mail afetados (limitado a um subconjunto daqueles usuários que atualizaram e abriram o aplicativo nas últimas 10 horas) para notificá-los.

Neste momento isso parece ser um bug e não uma quebra de segurança”

O problema parece derivar de um novo recurso de sincronização que rolou para os clientes do Edison Mail na semana passada. “As conexões de e-mail são sincronizadas em todos os seus dispositivos”, foi como Edison descreveu a funcionalidade no lançamento.

Zach Knox foi um dos primeiros usuários do Edison Mail a reconhecer o problema no Twitter esta manhã:

Acabei de atualizar @Edisonapps Mail &, após habilitar um novo recurso de sincronização, uma conta de e-mail que NÃO É MINHA apareceu no aplicativo, que aparentemente eu poderia acessar completamente. Esta é uma questão SIGNIFICATIVA de segurança. Aceder ao email de outro sem credenciais! Nunca mais confiar neste aplicativo novamente.

Thomas, outro usuário do Edison Mail, também apontou o problema no Twitter esta manhã cedo. Thomas apontou que ele aparentemente não consegue ajustar as configurações de sincronização:

Guys, eu vejo e-mails de estranhos no meu aplicativo depois que você adicionou recursos de sincronização. Eu posso ver o e-mail deles, então eles provavelmente podem ver o meu. Apesar do que o seu post no blog diz que eu NÃO PODE mudar a minha conta de sincronização e tudo o que eu posso fazer é bloquear a mim mesmo e a eles de nunca usar o aplicativo.

Outro usuário, Petter, diz que eles podem ver que outro iPhone tem acesso não autorizado à sua conta:

Não ao meu e-mail. Não é o meu dispositivo. Como isso ainda pode estar acontecendo e como você não pode comunicar nada. Claramente alguém com o dispositivo “O iPhone da Mandy tem actualmente acesso total às minhas contas de e-mail. Por favor, diga-me que a eliminação de dados funciona pelo menos?

Edison Mail não respondeu às reclamações nas redes sociais, apesar de vários utilizadores apontarem que aparentemente têm acesso total a contas de e-mail que não são deles. É impossível saber a escala deste problema neste ponto, mas mesmo que não esteja afetando todos os usuários Edison, é uma grande vulnerabilidade de segurança para aqueles que são afetados.

Atualizamos este post se ouvirmos algo do Edison diretamente ou se eles alcançarem os usuários afetados.

Hi @Edison_apps Acabei de atualizar o aplicativo de e-mail e agora posso ver o e-mail de duas contas que eu nunca ouvi falar na minha vida. Eu acho que você tem uma grande falha de segurança. As três contas que começam com o nome Chris são minhas. As outras não são. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) 16 de maio de 2020

Apenas notei hoje uma nova conta no aplicativo de e-mail. Não minha! Grande quebra de privacidade por @Edison_apps? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) 16 de maio de 2020

@Edison_apps Guys, eu vejo o e-mail de estranhos no meu aplicativo depois que você adicionou recursos de sincronização. Eu posso ver o e-mail deles, então eles provavelmente podem ver o meu. Apesar do que seu post no blog diz que NÃO PODEO mudar minha conta de sincronização e tudo o que posso fazer é bloquear a mim mesmo e a eles o uso do aplicativo. Clusterf*.

– Thomas W (@trezzer) 16 de maio de 2020

Acabei de atualizar @Edison_apps Mail &, depois de ativar um novo recurso de sincronização, uma conta de e-mail QUE NÃO É MINHA apareceu no aplicativo, que eu poderia aparentemente axcess completamente.
Este é um problema de segurança SIGNIFICANTE. Acessando o email de outro sem credenciais! Nunca mais confiar neste aplicativo.

– Zach (@zmknox) 16 de maio de 2020

Deixe uma resposta

O seu endereço de email não será publicado.