Vulnerabilitățile aplicației Freedom Chat
Aplicația de mesagerie Freedom Chat a rezolvat două vulnerabilități de securitate care permiteau unui cercetător în securitate obținerea numerelor de telefon ale utilizatorilor înregistrați și expunerea codurilor PIN setate de utilizatori.
Detalii despre vulnerabilități
Freedom Chat, lansată în iunie, se promovează ca o aplicație de mesagerie sigură, afirmând pe site-ul său că numerele de telefon ale utilizatorilor rămân private. Totuși, cercetătorul în securitate Eric Daigle a declarat că numerele de telefon și codurile PIN folosite pentru blocarea aplicației puteau fi obținute cu ușurință prin exploatarea vulnerabilităților.
Descoperirea și raportarea vulnerabilităților
Daigle a identificat vulnerabilitățile săptămâna trecută și a împărtășit detaliile cu un site de știri, întrucât Freedom Chat nu oferă o modalitate publică de raportare a problemelor de securitate. După ce TechCrunch a alertat fondatorul Freedom Chat, Tanner Haas, acesta a confirmat că aplicația a resetat codurile PIN ale utilizatorilor și a lansat o nouă versiune. Haas a adăugat că compania va elimina cazurile în care numerele de telefon ale utilizatorilor erau ocazional vizibile și a implementat limitarea ratei pe servere pentru a preveni încercările de ghicire în masă.
Impactul vulnerabilităților
Daigle a declarat că era posibil să se enumere numerele de telefon ale aproape 2.000 de utilizatori care se înscriseseră pentru Freedom Chat de la lansare. Serverele Freedom Chat permiteau oricărei persoane să inunde sistemul cu milioane de încercări de numere de telefon pentru a determina dacă un număr era stocat pe servere.
De asemenea, Daigle a descoperit că Freedom Chat expunea codurile PIN ale utilizatorilor. Folosind un instrument de inspecție a traficului de rețea open-source, a observat că aplicația răspundea cu codurile PIN ale tuturor celorlalți utilizatori din același canal public, chiar dacă acestea nu erau vizibile în aplicație. Oricine se afla în canalul implicit Freedom Chat, la care utilizatorii se abonează automat la înscriere, avea codul PIN difuzat tuturor celorlalți utilizatori din canal.
Acțiuni corective
Într-o actualizare a magazinului de aplicații publicată duminică, Freedom Chat a menționat: “O resetare critică: O actualizare recentă a backend-ului a expus în mod inadvertent codurile PIN ale utilizatorilor într-un răspuns de sistem. Niciun mesaj nu a fost niciodată în pericol, și deoarece Freedom Chat nu suportă dispozitive legate, conversațiile tale nu au fost niciodată accesibile; cu toate acestea, am resetat toate codurile PIN ale utilizatorilor pentru a ne asigura că contul tău rămâne sigur. Confidențialitatea ta rămâne prioritatea noastră principală.”
Concluzie
Vulnerabilitățile descoperite în aplicația Freedom Chat subliniază importanța securității în aplicațiile de mesagerie, având potențialul de a compromite datele personale ale utilizatorilor. Aceste incidente pot afecta încrederea utilizatorilor în aplicațiile care promit confidențialitate și securitate.
