Приложение «Yo», попавшее в топ-10 приложений App Store в США, взломано студентами колледжа

Только вчера на Хабре публиковалась новость ^[1] о простеньком приложении «Yo», которое внезапно стало популярным. Это приложение попало в топ-10 приложений App Store в США, плюс получило 1 млн долларов США инвестиций.

Приложение отметил даже Элон Маск, назвавший его лучшим мессенджером (это сообщение уже потерто, но Интернет помнит все, да):

Ну, а сегодня оказалось, что приложение уже взломано тремя студентами колледжа.

Взлом позволяет, во-первых, узнать номер телефона любого пользователя приложения (взломщики уже узнали номер телефона создателя приложения, и поговорили с ним). Во-вторых, они могут отправлять «Yo» в любом количестве любому пользователю. В-третьих, взлом позволяет отправлять пуш-уведомление любому пользователю, с любым текстом (этого ребята решили не делать).

В общем, взломщики уже сообщили автору приложения о проблеме, и тот подтвердил факт взлома ресурсу Techcrunch. Сейчас разработчик старается ликвидировать уязвимости приложения, хотя точно непонятно, какая именно уязвимость может привести к указанному выше взлому.

Тем не менее, автор приложения обещает решить проблему «уже через несколько часов».

Кстати, вчера еще один пользователь приложения, взяв себе ник «ELONMUSK», сотворил «бурю в стакане», заставив других пользователей поверить, что Элон Маск отправляет этим пользователям сообщения. Само собой, сразу же появилась куча радостных твитов типа «Элон Маск прислал мне Yo!»:

Это уже социальная инженерия, а не уязвимость приложения, вот здесь ^[2] автор описывает, как все было проделано (англ. яз).

Via techcrunch ^[3]

Автор: marks

Источник ^[4]