Verizon FiOS应用程序漏洞暴露了500万客户的电子邮件地址

Verizon的FiOS移动应用程序允许攻击者相对轻松地访问任何Verizon客户的电子邮件帐户，从而使Verizon的FiOS应用程序的近500万用户帐户面临风险。

这个FiOS API缺陷是被XDA高级软件开发人员兰迪·韦斯特格伦2015年1月14日，他发现不仅可以阅读其他用户收件箱的内容，还可以代表他们发送消息。

这个问题是在分析Android版My FiOS产生的流量时发现的，它用于账户管理、电子邮件和安排视频录制。

Westergren花了一段时间整理了一份概念证明，表明存在严重的担忧，然后将其报告给了Verizon。这家电信巨头在同一天向研究人员确认了该通知，并在周五发布了修复程序，就在漏洞被披露两天后。这正是应该如何做到的——快速有效。

微软可以从Verizon学到更多东西，因为微软无法修复谷歌的Project Zero团队报告的软件中的安全漏洞，即使在向该公司提供了三个月的时间之后。在微软计划修补Windows 7和8.1中的三个严重零日漏洞之前，谷歌的安全团队一个接一个地披露了这些漏洞。

FiOS API漏洞实际上包含在应用程序的API中，允许通过在web请求中操纵用户标识号来访问任何帐户，从而使攻击者能够从个人的Verizon收件箱中读取单个消息。

据安全研究人员称，该漏洞甚至允许攻击者从受害者的帐户发送电子邮件，并发现和利用更多易受攻击的API调用。

"我怀疑应用程序中这个小部件的所有API方法都有漏洞。我的上一个测试是以另一个用户的身份发送一条传出消息，这也成功了韦斯特格伦写道。

这家电信巨头已经解决了这个问题，因此用户无需担心。Verizon向Westergren提供了一年的免费互联网服务。"Version的（公司）安全组似乎立即意识到了这个漏洞的影响，并非常认真地对待它，韦斯特格伦说。