Вразливості у Freedom Chat: як незахищений додаток поставив під загрозу особисті дані користувачів
1 min read

Вразливості у Freedom Chat: як незахищений додаток поставив під загрозу особисті дані користувачів

Плахотнюк Сергій0

У месенджері Freedom Chat виявлені серйозні вади безпеки, які ставили під загрозу конфіденційність користувачів. Зокрема, одна з цих уразливостей дозволяла досліднику безпеки здогадатися про номери телефонів зареєстрованих користувачів, тоді як інша відкривала доступ до персональних пін-кодів, призначених для блокування доступу до застосунку.

Freedom Chat, запущений у червні, позиціонує себе як захищений месенджер, обіцяючи збереження конфіденційності телефонних номерів своїх користувачів. Однак, як виявив дослідник Ерік Дайгл, легко виявити номери телефонів і пін-коди, що використовуються для безпеки, шляхом експлуатації наявних уразливостей.

Дайгл виявив ці уразливості минулого тижня та поділився інформацією з TechCrunch, оскільки Freedom Chat не має публічного каналу для звітування про помилки безпеки. Після цього TechCrunch повідомив засновника Freedom Chat Таннера Хааса про виявлені проблеми.

Хаас підтвердив, що компанія вже скинула пін-коди користувачів та випустила нову версію застосунку. Він також зазначив, що видаляється можливість перегляду телефонних номерів та посиленою обмеження швидкості на серверах, щоб уникнути масових спроб здогадатися номери.

Дайгл зазначає, що шляхом простої маніпуляції можна було виявити номери телефонів приблизно 2000 користувачів, які підписалися на Freedom Chat. Сервера застосунку надавали можливість спробувати мільйони номерів, щоб дізнатися, чи зберігається певний номер у системі.

Також Дайгл виявив, що Freedom Chat витікав пін-коди користувачів. За допомогою відкритого інструменту для інспекції мережевого трафіку він показав, що застосунок відповідає з пін-кодами інших користувачів у публічному каналі, навіть якщо ці пін-коди не були видимими у самій програмі.

На думку Дайгла, будь-хто, хто перебував у стандартному каналі Freedom Chat, міг отримати доступ до пін-кодів інших користувачів, що дозволяло отримати доступ до їхніх акаунтів зі вкрадених пристроїв.

У новому оновленні в магазину застосунків Freedom Chat наголошує: “Критичний скидання: Нещодавнє оновлення бекенду випадково дозволило витік пін-кодів у системній відповіді. Жодні повідомлення не були під загрозою, і оскільки Freedom Chat не підтримує сполучені пристрої, ваші розмови ніколи не були доступні; однак ми скинули все пін-коди користувачів для забезпечення безпеки.”

Freedom Chat стає ще одним прикладом, як месенджери можуть стикатися з серйозними проблемами безпеки, адже нещодавно аналогічні зауваження торкнулися Converso, засновник якого вирішив вилучити застосунок з магазинів після оголошення про наявність вад безпеки, що викривали приватні повідомлення користувачів.

Related Posts