Vulnérabilité Edison Mail permettant un accès non autorisé aux comptes de messagerie d'autres utilisateurs

parFlorian publié le

Edison Mail est l'une des applications de messagerie tierces les plus populaires pour iPhone, iPad et Mac, mais un bug apparent dans le service soulève des problèmes de confidentialité majeurs. Les utilisateurs d'Edison Mail signalent qu'après avoir activé une nouvelle fonctionnalité de synchronisation de compte dans l'application, ils ont un accès complet aux comptes de messagerie des autres utilisateurs d'Edison Mail.

«Il y a 10 heures, une mise à jour logicielle a été déployée pour un petit pourcentage de nos utilisateurs iOS. Certains de ces utilisateurs qui ont reçu la mise à jour rencontrent une faille dans l'application affectant les comptes de messagerie qui a été portée à notre attention ce matin. Nous avons rapidement annulé la mise à jour. Nous contactons les utilisateurs concernés d'Edison Mail (limité à un sous-ensemble des utilisateurs qui ont mis à jour et ouvert l'application au cours des 10 dernières heures) pour les en informer.

Pour le moment, cela semble être un bogue et non une faille de sécurité. »

Le problème semble provenir d'une nouvelle fonctionnalité de synchronisation qui a été déployée sur les clients Edison Mail la semaine dernière. "Les connexions de messagerie sont synchronisées sur tous vos appareils", explique Edison lors de son lancement.

Zach Knox a été l'un des premiers utilisateurs d'Edison Mail à reconnaître le problème sur Twitter ce matin:

Je viens de mettre à jour @Edisonapps Mail &, après avoir activé une nouvelle fonction de synchronisation, un compte de messagerie qui n'est pas le mien est apparu dans l'application, auquel je pouvais apparemment accéder complètement. Il s'agit d'un problème de sécurité SIGNIFICANT. Accéder à la messagerie d'un autre sans informations d'identification! Ne plus jamais faire confiance à cette application.

Thomas, un autre utilisateur d'Edison Mail, a également signalé le problème sur Twitter tôt ce matin. Thomas a souligné qu'il ne semble pas pouvoir ajuster les paramètres de synchronisation:

Les gars, je vois les e-mails d'étrangers dans mon application après avoir ajouté des fonctionnalités de synchronisation. Je peux voir leur e-mail, donc ils peuvent probablement voir le mien. Malgré ce que dit votre blog, JE NE PEUX PAS changer mon compte de synchronisation et tout ce que je peux faire est de m'empêcher et de ne jamais utiliser l'application.

Un autre utilisateur, Petter, dit qu'ils peuvent voir qu'un autre iPhone a un accès non autorisé à leur compte:

Pas mon e-mail. Pas mon appareil. Comment cela peut-il encore aller et comment ne pouvez-vous rien communiquer? Il est clair que quelqu'un avec l'appareil "L'iPhone de Mandy a actuellement un accès complet à mes comptes de messagerie. Veuillez me dire que la suppression des données fonctionne au moins?

Edison Mail n'a pas répondu aux plaintes sur les réseaux sociaux, malgré le fait que plusieurs utilisateurs aient indiqué qu'ils avaient apparemment un accès complet à des comptes de messagerie qui ne sont pas les leurs. Il est impossible de connaître l'ampleur de ce problème à ce stade, mais même s'il n'affecte pas tous les utilisateurs d'Edison, il s'agit d'une vulnérabilité de sécurité majeure pour ceux qui sont affectés.

Nous mettrons à jour ce message si nous entendons directement quelque chose d'Edison ou s'ils contactent les utilisateurs concernés.