Эксплуатация бреши в API приложения открывала доступ к электронной почте пользователя.
Компания Verizon устранила серьезную уязвимость в мобильном приложении My FiOS. По словам специалиста, обнаружившего проблему в приложении, которое позволяет взаимодействовать с телекоммуникационным сервисом FiOS, эксплуатация бреши открывала свободный доступ к учетным записям пользователей.
Старший разработчик ПО компании XDA Developers Рэнди Вестергрен (Randy Westergren) обнаружил уязвимость в версии приложения My FiOS для ОС Android, обеспечивающего доступ к учетной записи пользователя, электронной почте и каталогу видеозаписей.
Эксплуатация бреши в API приложения открывала доступ к электронной почте пользователя: атакующий мог ознакомиться с входящей корреспонденцией и отправлять письма от имени жертвы.
Вестергрен обнаружил уязвимость, когда изучал трафик коммуникаций My FiOS и серверов Verizon: вследствие замены идентификатора пользователя приложение возвращало содержимое папки «Входящие» стороннего ящика электронной почты.
Verizon отреагировала на уведомление от Вестергрена, незамедлительно выпустив исправление безопасности. В своем блоге эксперт особо отметил оперативность действий крупнейшего оператора сотовой связи в США.
Храним важное в надежном месте