이메일 정보 노출시키는 Edison Mail iOS 취약점 발견돼

Edison Mail iOS Bug Exposes Emails to Strangers 

Edison Mail 앱의 iOS 소프트웨어 업데이트 과정에서 발생한 취약점으로 인해 제3자에게 이메일이 노출되는 것으로 확인되었습니다. 

유명 서드파티 이메일 애플리케이션 Edison Mail은 iOS 취약점 익스플로잇을 통해 수천 명의 iOS 사용자의 이메일을 노출시킬 수 있다고 경고했습니다. 

Edison Software Inc. 기업의 Edison Mail은 애플 앱스토어의 100대 생산성 앱에 속하며 "빠르고 안전한 메일"로 유명합니다. 

Edison Mail에 따르면 최근 iOS 업데이트로 인해 앱에서 일시적인 버그가 발생했습니다. 

해당 버그로 인해 6,480 명의 iOS Edison Mail 사용자가 다른 사용자에게 무단으로 이메일 계정에 액세스할 수 있었던 것으로 확인되었습니다.

Edison Software는 공식 성명을 통해 아래와 같이 설명했습니다.

"2020년 5월 15일 금요일에 소프트웨어 업데이트 이후 발생한 취약점은 iOS 앱 사용자의 일부에만 영향을 미쳤으며 Android 또는 Mac 사용자는 영향을 받지 않았습니다. 일시적인 결함으로 외부 보안 문제와 관련이 없습니다."

또한 토요일에 해당 취약점이 해결되었으며, 모든 계정이 안전합니다고 덧붙였습니다. 

해당 취약점은 지난 금요일 iOS 소프트웨어 업데이트 (1.20.2 버전)에서 추가한 새로운 동기화 기능에서 발생한 것으로 보입니다. 

업데이트 후 일부 Edison Mail 사용자는 자신의 이메일 앱 내 받은 편지함에서 알 수 없는 계정의 읽지 않은 이메일 메시지 100개를 확인할 수 있다고 트위터를 통해 밝혔습니다. 

이들은 계정 정보 없이도 다른 사람의 이메일을 확인할 수 있었으며, 이메일 삭제를 위해 동기화 설정을 변경할 필요도 없었습니다.

한 Edison Mail 사용자는 트위터를 통해 다음과 같이 전했습니다.

"현재 “Mandy's iPhone” 기기 소유자가 내 이메일 계정에 접근할 수 있습니다. 최소한 데이터 삭제만이라도 가능하게 해줄 수 없나요?"

또 다른 트위터 사용자는 다음과 같은 의견을 게시했습니다.

"이건 정말 중대한 보안 이슈입니다. 계정 정보도 없이 누군가의 이메일에 접근할 수 있다는 것은 말도 안 됩니다. 절대 이 앱을 신뢰할 수 없어요!"

Edison Mail은 지난 일요일 사용자 비밀번호 또는 자격 증명 정보가 노출되거나 해킹 당한 것이 아니라고 강조했습니다. 

또한 안전 조치로서, 다음 패치 (버전 1.20.4)는 잠재적으로 영향을 받는 모든 사용자가 Edison Mail 앱의 모든 메일에 접근할 수 없도록 차단했습니다고 언급했습니다. 

그리고 잠재적으로 영향을 받는 모든 사용자 기기의 보안을 위해 앱을 일시적으로 중단시킨 것에 대한 사과의 뜻을 밝혔습니다.

Edison Mail이 보안 문제를 조사한 것은 이번이 처음이 아닙니다. 

지난 2월에는 Motherboard가 사용자 수신함에서 수집한 데이터를 판매하는 Edison Mail을 포함한 다수의 이메일 앱에 관해 보고한 바 있습니다. 

Edison Mail은 추가적인 예방 조치로 이미 영향을 받은 사용자에게 연락하여 이메일 계정 암호를 변경하도록 요청했습니다.

또한 이메일을 받지 못했다면 영향을 받지 않은 것이라고 설명했습니다.

출처:

https://securityaffairs.co/wordpress/103418/data-breach/edison-mail-ios-app-bug.html

https://threatpost.com/edison-mail-ios-bug-exposes-emails-to-strangers/155814/