ИT-специалисты обнаружили брешь в приложении Yo

Программисты Лев Локтионов и Александр Гребенщиков, прославившиеся взломами сервиса «Вконтанте», выявили опасную уязвимость в приложении Yo, сообщает издание TJOURNAL. Они обнаружили, что в процессе возобновления возможности входа в учетную запись мессенджера, система отсылает код подтверждения на мобильный номер абонента без проверки принадлежности данного номера настоящему владельцу аккаунта.

Специалисты выяснили, что на странице восстановления пароля к учетной записи возможно ввести произвольное имя пользователя и получить ссылку на изменение пароля, используя при этом личный номер сотового телефона. Александр Гребенщиков случайно нашел эту брешь, а Лев Локтионов изобрел метод, как завладеть аккаунтом, используя панель разработчиков сервиса.

Таким образом, используя приложение Yo специалисты смогли отослать сообщения с чужих аккаунтов. Кроме того, им также удалось получить доступ к персональному аккаунту техдиректора TJOURNAL Ильи Чекальского и прикрепленным к нему дополнительным профилям, вследствие чего журнал прекратил использование приложения при рассылке оповещений о свежем материале.

Помимо этого, оказалось, что при повторном входе в систему список контактов не сохраняется, поэтому добраться до адресной книги владельцев учетных записей программистам не удалось. Журналисты TJOURNAL предупредили владельцев мессенджера о бреши, но на данный момент руководство сервиса от комментариев воздерживается.