ИT-специалисты обнаружили брешь в приложении Yo

ИT-специалисты обнаружили брешь в приложении Yo

Уязвимость позволяет российским хакерам получить доступ к учетной записи любого пользователя.

Программисты Лев Локтионов и Александр Гребенщиков, прославившиеся взломами сервиса «Вконтанте», выявили опасную уязвимость в приложении Yo, сообщает издание TJOURNAL. Они обнаружили, что в процессе возобновления возможности входа в учетную запись мессенджера, система отсылает код подтверждения на мобильный номер абонента без проверки принадлежности данного номера настоящему владельцу аккаунта.

Специалисты выяснили, что на странице восстановления пароля к учетной записи возможно ввести произвольное имя пользователя и получить ссылку на изменение пароля, используя при этом личный номер сотового телефона. Александр Гребенщиков случайно нашел эту брешь, а Лев Локтионов изобрел метод, как завладеть аккаунтом, используя панель разработчиков сервиса.

Таким образом, используя приложение Yo специалисты смогли отослать сообщения с чужих аккаунтов. Кроме того, им также удалось получить доступ к персональному аккаунту техдиректора TJOURNAL Ильи Чекальского и прикрепленным к нему дополнительным профилям, вследствие чего журнал прекратил использование приложения при рассылке оповещений о свежем материале.

Помимо этого, оказалось, что при повторном входе в систему список контактов не сохраняется, поэтому добраться до адресной книги владельцев учетных записей программистам не удалось. Журналисты TJOURNAL предупредили владельцев мессенджера о бреши, но на данный момент руководство сервиса от комментариев воздерживается.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.