Российские хакеры нашли способ взлома любого аккаунта в Yo

В минималистичном мессенджере Yo нашли уязвимость, позволяющую получить доступ к аккаунту любого пользователя. Об этом рассказали TJournal двое специалистов по безопасности, обнаруживших брешь в приложении.

Лев Локтионов и Александр Гребенщиков, двое программистов, известных взломами «ВКонтакте», обнаружили критическую уязвимость в мессенджере Yo. Они выяснили, что процедура восстановления доступа к аккаунту в Yo отправляет проверочный код на номер мобильного телефона, однако не проверяет, принадлежит ли он владельцу аккаунта.

Как оказалось, на странице восстановления пароля можно ввести любое имя пользователя и получить ссылку для изменения пароля, введя свой номер телефона. Гребенщиков обнаружил эту уязвимость «методом тыка», а Локтионов придумал, как присваивать аккаунты с помощью панели разработчиков сервиса.

Хакерам удалось отправить сообщения через Yo от чужих аккаунтов — например, YO, DUROV и TJOURNAL. Помимо этого, они получили доступ к личному аккаунту технического директора TJournal Ильи Чекальского и привязанным к нему вспомогательным профилям, после чего TJournal перестал присылать уведомления о новых статьях через Yo.

Вместе с сообщением о взломе Yo хакеры прислали в редакцию TJournal скриншот из панели разработчика, в которую они вошли из-под взломанного аккаунта Чекальского.

Получить доступ к адресной книге Yo хакерам не удалось. Как выяснилось, при повторном логине список контактов не сохраняется. TJournal сообщил представителям Yo о найденной уязвимости, однако не получил оперативного ответа.

Локтионов и Гребенщиков стали известны после взлома страницы Павла Дурова во «ВКонтакте» и эпидемии репостов в соцсети, произошедшей в ноябре 2013 года. При помощи специального приложения во «ВКонтакте» другие пользователи размещали у себя на странице репост записи друга программистов, просто переходя по ссылке в нём.