Sårbarhet i Edison Mail ger obehörig åtkomst till andra användares e-postkonton

Skriven av den i Articles

Edison Mail är ett av de mer populära e-postprogrammen från tredje part för iPhone, iPad och Mac, men en uppenbar bugg i tjänsten ger upphov till stor oro för den personliga integriteten. Edison Mail-användare rapporterar att efter att ha aktiverat en ny funktion för kontosynkronisering i appen har de full tillgång till andra Edison Mail-användares e-postkonton.

Uppdatering: Edison Mail lämnade följande uttalande till 9to5Mac och tillade att felet endast drabbar iOS-användare.

”För 10 timmar sedan rullades en mjukvaruuppdatering ut till en liten andel av våra iOS-användare. Vissa av dessa användare som fick uppdateringen upplever en brist i appen som påverkar e-postkonton och som uppmärksammades av oss i morse. Vi har snabbt rullat tillbaka uppdateringen. Vi kontaktar de berörda Edison Mail-användarna (begränsat till en delmängd av de användare som har uppdaterat och öppnat appen under de senaste 10 timmarna) för att informera dem.

Det verkar för närvarande vara en bugg och inte en säkerhetsöverträdelse.”

Problemet tycks härröra från en ny synkroniseringsfunktion som rullades ut till Edison Mail-klienter förra veckan. ”E-postanslutningar synkroniseras på alla dina enheter”, beskrev Edison funktionen vid lanseringen.

Zach Knox var en av de första Edison Mail-användarna som bekräftade problemet på Twitter i morse:

Jag har just uppdaterat @Edisonapps Mail &, efter att ha aktiverat en ny synkroniseringsfunktion dök ett e-postkonto SOM INTE ÄR MITT upp i appen, som jag till synes kunde komma åt helt och hållet. Detta är ett VÄLDIGT säkerhetsproblem. Åtkomst till en annan persons e-post utan inloggningsuppgifter! Jag kommer aldrig att lita på den här appen igen.

Thomas, en annan Edison Mail-användare, påpekade också problemet på Twitter tidigt i morse. Thomas påpekade att han till synes inte kan justera synkroniseringsinställningarna:

Guys, I see strangers’ e-mail in my app after you added sync features. Jag kan se deras e-post, så de kan förmodligen se min. Trots vad som står i ert blogginlägg kan jag INTE ändra mitt synkroniseringskonto och allt jag kan göra är att blockera mig själv och dem från att någonsin använda appen.

En annan användare, Petter, säger att de kan se att en annan iPhone har obehörig åtkomst till deras konto:

Inte min e-post. Inte min enhet. Hur kan detta fortfarande vara igång en och hur kan man inte kommunicera något. Det är uppenbart att någon med enheten ”Mandys iPhone har för närvarande full tillgång till mina e-postkonton. Snälla säg att dataradering åtminstone fungerar?

Edison Mail har inte svarat på klagomålen på sociala medier, trots att flera användare påpekat att de till synes har full tillgång till e-postkonton som inte är deras. Det är omöjligt att veta omfattningen av problemet i nuläget, men även om det inte drabbar alla Edison-användare är det en stor säkerhetsbrist för de som berörs.

Vi uppdaterar det här inlägget om vi hör något från Edison direkt eller om de når ut till de drabbade användarna.

Hi @Edison_apps Jag har just uppdaterat e-postappen och jag kan nu se e-postmeddelanden från två konton som jag aldrig har hört talas om i hela mitt liv. Jag tror att ni har en stor säkerhetsbrist. De tre konton som börjar med namnet Chris är mina. De andra är inte det. pic.twitter.com/1KURaAqaNh

– Audiophile Style (@audiophilestyle) May 16, 2020

Just noticed today new account in mail app. Inte mitt! Tungt integritetsintrång av @Edison_apps? pic.twitter.com/Eart7sDiiy

– Alen Zubić (@AlenZubic) May 16, 2020

@Edison_apps Killar, jag ser främlingars e-post i min app efter att ni lagt till synkroniseringsfunktioner. Jag kan se deras e-post, så de kan förmodligen se min. Trots vad som står i ert blogginlägg kan jag INTE ändra mitt synkroniseringskonto och allt jag kan göra är att blockera mig själv och dem från att någonsin använda appen. Clusterf*.

– Thomas W (@trezzer) May 16, 2020

Jag uppdaterade just @Edison_apps Mail &, efter att ha aktiverat en ny synkroniseringsfunktion dök ett e-postkonto SOM INTE ÄR MITT upp i appen, som jag till synes kunde komma åt helt och hållet.
Det här är ett VIKTIGT säkerhetsproblem. Tillgång till någon annans e-post utan inloggningsuppgifter! Litar aldrig på den här appen igen.

– Zach (@zmknox) May 16, 2020

Lämna ett svar

Din e-postadress kommer inte publiceras.