Только вчера на Хабре публиковалась новость о простеньком приложении «Yo», которое внезапно стало популярным. Это приложение попало в топ-10 приложений App Store в США, плюс получило 1 млн долларов США инвестиций.
Приложение отметил даже Элон Маск, назвавший его лучшим мессенджером (это сообщение уже потерто, но Интернет помнит все, да):
Ну, а сегодня оказалось, что приложение уже взломано тремя студентами колледжа.
Взлом позволяет, во-первых, узнать номер телефона любого пользователя приложения (взломщики уже узнали номер телефона создателя приложения, и поговорили с ним). Во-вторых, они могут отправлять «Yo» в любом количестве любому пользователю. В-третьих, взлом позволяет отправлять пуш-уведомление любому пользователю, с любым текстом (этого ребята решили не делать).
В общем, взломщики уже сообщили автору приложения о проблеме, и тот подтвердил факт взлома ресурсу Techcrunch. Сейчас разработчик старается ликвидировать уязвимости приложения, хотя точно непонятно, какая именно уязвимость может привести к указанному выше взлому.
Тем не менее, автор приложения обещает решить проблему «уже через несколько часов».
Кстати, вчера еще один пользователь приложения, взяв себе ник «ELONMUSK», сотворил «бурю в стакане», заставив других пользователей поверить, что Элон Маск отправляет этим пользователям сообщения. Само собой, сразу же появилась куча радостных твитов типа «Элон Маск прислал мне Yo!»:
Это уже социальная инженерия, а не уязвимость приложения, вот здесь автор описывает, как все было проделано (англ. яз).
Via techcrunch
Автор: marks
