Messaging app Freedom Chat ka rregulluar dy probleme sigurie: një që lejonte një studiues sigurie të hamendësonte numrat e telefonit të përdoruesve të regjistruar, dhe një tjetër që ekspozonte PIN-et e vendosura nga përdoruesit tek të tjerët në aplikacion.

Dobësitë e Zbuluara dhe Ndikimi i Tyre

Freedom Chat, i lançuar në qershor, reklamohet si një aplikacion i sigurt për mesazhe dhe pretendon në faqen e tij të internetit se numrat e telefonit të përdoruesve mbeten privatë. Megjithatë, studiuesi i sigurisë Eric Daigle informoi TechCrunch se numrat e telefonit dhe kodet PIN të përdorura për të kyçur aplikacionin mund të merreshin lehtë duke shfrytëzuar dobësitë e sistemit.

Daigle i zbuloi këto çështje javën e kaluar dhe ndau detajet me TechCrunch, pasi Freedom Chat nuk ofron një mënyrë publike për të raportuar probleme të sigurisë, si një program të raportimit të dobësive. TechCrunch më pas informoi themeluesin e Freedom Chat, Tanner Haas, përmes emailit. Haas e konfirmoi se aplikacioni ka rivendosur PIN-et e përdoruesve dhe ka lëshuar një version të ri. Ai shtoi se kompania po heq rastet ku numrat e telefonit shfaqeshin herë pas here dhe ka shtuar kufizimet e serverit për të parandaluar përpjekjet masive të hamendësimeve.

Zgjidhjet dhe Hapat e Ndërmarra

Daigle, i cili publikoi gjetjet në një postim në blog, tha se ishte e mundur të identifikoheshin numrat e telefonit të afërsisht 2,000 përdoruesve që ishin regjistruar në Freedom Chat që nga lançimi. Serverët e aplikacionit lejonin këdo të tentonte miliona numra deri sa të zbulonte nëse ndonjë numër ishte regjistruar. Sipas Daigle, kjo teknikë ishte identike me atë që përshkruhej nga Universiteti i Vjenës, ku studiuesit kishin arritur të gërmonin të dhëna për rreth 3.5 miliardë llogari WhatsApp, duke përputhur miliarda numra telefonikë me serverët e WhatsApp-it.

Daigle zbuloi gjithashtu se Freedom Chat po zbulonte kodet PIN të përdoruesve. Duke përdorur një mjet të inspektimit të trafikut të rrjetit me burim të hapur, ai vuri re se aplikacioni përgjigjej me PIN-et e çdo përdoruesi tjetër në të njëjtin kanal publik — edhe nëse këto PIN-e nuk ishin të dukshme për përdoruesit në aplikacion. Sipas Daigle, kushdo në kanalin default të Freedom Chat, ku përdoruesit regjistrohen automatikisht, kishte PIN-in e ekspozuar ndaj të tjerëve. Në këtë situatë, njohja e PIN-it mund të lejonte dikë të hapte aplikacionin nga një pajisje e vjedhur.

Në një përditësim të faqes së aplikacionit të publikuar të dielën, Freedom Chat theksoi: “Një rivendosje kritike: Një përditësim i fundit në backend ekspozoi pa dashje PIN-et e përdoruesve në një përgjigje të sistemit. Mesazhet tuaja nuk ishin kurrë në rrezik, dhe pasi Freedom Chat nuk mbështet pajisje të lidhura, bisedat tuaja nuk ishin të aksesueshme; megjithatë, kemi rivendosur të gjitha PIN-et për të siguruar që llogaria juaj të mbetet e sigurt. Privatësia juaj mbetet prioriteti ynë kryesor.”

Freedom Chat është aplikacioni i dytë i mesazheve i Haas, pas Converso, i cili u hoq nga dyqanet e aplikacioneve pas zbulimit të dobësive të sigurisë që ekspozonin mesazhet dhe përmbajtjen private të përdoruesve.

Tags: siguria e aplikacioneve, cenueshmëri, privatësia e përdoruesve, Freedom Chat, ekspozimi i të dhënave, aplikacionet e mesazheve