Приватность покинула чат. Защищённый мессенджер Freedom раскрыл личные номера своих пользователей

leer en español

Freedom Chat Таннер Хаас Эрик Дейгль PIN-коды телефонные номера утечка данных мессенджер
Приватность покинула чат. Защищённый мессенджер Freedom раскрыл личные номера своих пользователей
Freedom Chat Таннер Хаас Эрик Дейгль PIN-коды телефонные номера утечка данных мессенджер

Тот неловкий момент, когда о дырах в безопасности приходится писать в СМИ, потому что у техподдержки банально нет почты.

image

Приложение Freedom Chat, позиционируемое как защищённая платформа для обмена сообщениями, оказалось под угрозой из-за двух серьёзных уязвимостей. Несмотря на заявления о конфиденциальности данных, в том числе скрытии телефонных номеров, специалисты выявили ошибки, позволявшие получить доступ к этим номерам, а также к PIN-кодам пользователей.

По словам исследователя Эрика Дейгля, уязвимости обнаружены на прошлой неделе. Он сообщил о находке изданию TechCrunch, поскольку у Freedom Chat отсутствует открытый механизм для уведомлений о проблемах безопасности. После этого редакция связалась с основателем приложения Таннером Хаасом, который подтвердил инцидент и сообщил о предпринятых мерах.

Одна из ошибок позволяла массово проверять телефонные номера, чтобы определить, какие из них зарегистрированы в системе. Эта техника аналогична той, что ранее описали специалисты Венского университета в исследовании, посвящённом WhatsApp. Тогда была проведена проверка миллиардов комбинаций номеров, что привело к сбору данных о миллиардах аккаунтов.

Кроме того, ещё одна уязвимость в Freedom Chat приводила к утечке PIN-кодов, которые пользователи устанавливали для защиты доступа к приложению. С помощью инструмента анализа сетевого трафика можно было зафиксировать, что PIN-коды других пользователей, находящихся в одном с пользователем публичном канале, возвращались в ответах от сервера. Хотя сами коды не отображались в интерфейсе, доступ к ним получал любой участник канала.

По оценке Дейгля, таким образом можно было собрать информацию о PIN-кодах почти двух тысяч зарегистрированных пользователей, что, в случае кражи устройства, позволило бы обойти защиту приложения.

Компания уже выпустила обновление, усилила ограничение на количество запросов к серверу и автоматически сбросила все PIN-коды, чтобы предотвратить возможное несанкционированное использование. Кроме того, разработчики устранили случаи, при которых номера телефонов становились видимыми другим участникам сервиса.

Ранее Таннер Хаас уже сталкивался с критикой в связи с приложением Converso, которое пришлось удалить из магазинов после обнаружения проблем с безопасностью, затронувших личные сообщения пользователей.