В Android-версии московских госуслуг нашли возможность взлома аккаунта

В Android-версии московских госуслуг нашли возможность взлома аккаунта

В Android-версии московских госуслуг нашли возможность взлома аккаунта

В Android-версии мобильного приложения «Госуслуги Москвы» нашлась уязвимость, с помощью которой потенциальный злоумышленник мог получить доступ к аккаунту гражданина, располагая при этом лишь телефонным номером последнего. В настоящий момент разработчики уже пропатчили брешь.

О проблеме безопасности рассказали исследователи из компании Postuf. По их словам, любой желающий мог получить доступ к личному кабинету другого пользователя, указав всего лишь номер его телефона.

Другими словами, в случае успешной эксплуатации уязвимости в руки злоумышленника или любопытного гражданина попадали следующие данные: ФИО, адрес электронной почты, год рождения, номер СНИЛС и ОМС, список имущества, а также информация о загранпаспорте и детях. Именно эти сведения содержатся в личном кабинете приложения «Госуслуги Москвы».

Как отметили сотрудники РБК, ознакомившиеся с выводами Postuf, с помощью номера полиса ОМС можно было получить доступ к медицинской информации россиянина. Для этого достаточно было воспользоваться системой ЕМИАС. Здесь речь идёт уже о крайне личных данных: список врачей, которых посещает гражданин, какие рецепты он получает и тому подобное.

При этом с помощью выявленной бреши можно было не только просмотреть данные в госуслугах, но и отредактировать их. Для самой жертвы такие манипуляции остались бы незамеченными.

Как подчеркнули представители Postuf, разработчики устранили уязвимость после отправки соответствующего запроса в ДИТ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru