Verizon устранила серьезную уязвимость в мобильном приложении My FiOS для Android

Компания Verizon устранила серьезную уязвимость в мобильном приложении My FiOS. По словам специалиста, обнаружившего проблему в приложении, которое позволяет взаимодействовать с телекоммуникационным сервисом FiOS, эксплуатация бреши открывала свободный доступ к учетным записям пользователей.

Старший разработчик ПО компании XDA Developers Рэнди Вестергрен (Randy Westergren) обнаружил уязвимость в версии приложения My FiOS для ОС Android, обеспечивающего доступ к учетной записи пользователя, электронной почте и каталогу видеозаписей.

Эксплуатация бреши в API приложения открывала доступ к электронной почте пользователя: атакующий мог ознакомиться с входящей корреспонденцией и отправлять письма от имени жертвы.

Вестергрен обнаружил уязвимость, когда изучал трафик коммуникаций My FiOS и серверов Verizon: вследствие замены идентификатора пользователя приложение возвращало содержимое папки «Входящие» стороннего ящика электронной почты.

Verizon отреагировала на уведомление от Вестергрена, незамедлительно выпустив исправление безопасности. В своем блоге эксперт особо отметил оперативность действий крупнейшего оператора сотовой связи в США.