Всем привет! Хотел узнать какие могут быть уязвимости в андроид приложении с гугл 2fa. Суть в чем, я зарегистрировал аккаунт на сервисе, поставил туда 2фа. Человек говорит нашел там 0day и может без проблем войти в аккаунт введя рандомный шестизначный код (условно 123456), он видит мою статистику, мои персональные данные, но при этом ничего менять не может. В чем суть уязвимости? Как это могло произойти. Это точно не брутфорс. Если что он не говорит

А это как понимать? А когда, как он говорит, "может без проблем войти в аккаунт ", двухфакторная аутентификация срабатывает? Ведь на твой смарт должно приходить уведомление.
Настройки
И - на всякий случай - смарт чистый*

Да, работает 2фа. Но он ее почему-то обходит, может мод какой-то для андроида, чтобы 2фа убирать, если он некорректно настроен.

Первое, что приходит на ум - он нашел какой-нибудь IDOR в приложении (точнее в api приложения). На подобную уязвимость указывает то, что он не может менять чужие данные, но при этом их видит. В таком случае ему и не потребуется входить в твой аккаунт и уж тем более 2фа обходить.
Ну а вообще - это гадание, хз что там может быть.