Verizon arregló una grave vulnerabilidad en su aplicación móvil My FiOS que permitió el libre acceso a cuentas de correo electrónico de sus clientes, de acuerdo con el desarrollador que encontró el problema.

-Randy Westergren, un desarrollador de software senior de XDA Developers, buscó la versión de Android de My FiOS, que se utiliza para la gestión de cuentas, correo electrónico y programación de videograbaciones.

"Verizon cuenta con una buena cantidad de información mía, pensé que sería un buen candidato para la investigación", Westergren escribió en su blog personal. "Estaba en lo cierto, los resultados fueron sorprendentes."

La falla, que figura en la API de la aplicación, podría haber permitido a un atacante leer los mensajes de la bandeja de entrada de Verizon de la persona afectada, e incluso enviar mensajes de correo electrónico de la misma cuenta, escribió.

Westergren observó el tráfico de ida y vuelta entre la aplicación My FiOS y los servidores de Verizon. Encontró que My FiOS regresa el contenido de la bandeja de entrada de correo electrónico de otra persona simplemente sustituyendo el ID de un usuario diferente en la solicitud.

Entró en contacto con Verizon el jueves, quienes reconocieron el problema un día después. Verizon emitió una solución el viernes, Westergren escribió.

"El grupo de seguridad de Verizon pareció darse cuenta de inmediato del impacto de esta vulnerabilidad, dándole bastante relevancia", Westergren mencionó. "Estuvieron muy al pendiente durante el proceso, incluso arreglaron un año gratis de servicio de Internet FiOS como muestra de gratitud."