Приложение для обмена сообщениями Freedom Chat исправило две серьезные уязвимости безопасности: одну, которая позволяла злоумышленнику угадывать номера телефонов зарегистрированных пользователей, и другую, из-за которой PIN-коды пользователей становились доступны другим участникам приложения.
Freedom Chat, запущенное в июне, позиционирует себя как надежное и защищенное приложение для общения, утверждая, что номера телефонов пользователей остаются конфиденциальными.
Однако исследователь безопасности Эрик Дейгл обнаружил, что номера телефонов и PIN-коды, используемые для блокировки приложения, можно было легко получить, воспользовавшись уязвимостями. Он обнаружил эти проблемы на прошлой неделе и сообщил о них разработчикам, так как приложение не имеет публичной программы для сообщения об уязвимостях.
Владелец приложения подтвердил, что все PIN-коды были сброшены, выпущена новая версия приложения, а также введены ограничения на количество запросов к серверам, чтобы предотвратить массовые попытки угадывания.
Дейгл смог получить номера телефонов почти 2000 пользователей, которые зарегистрировались с момента запуска. Серверы приложения позволяли отправлять миллионы запросов с номерами телефонов для проверки их наличия в базе.
Кроме того, приложение случайно раскрывалo PIN-коды всех пользователей, находящихся в одном публичном канале, даже если эти PIN-коды не были видны внутри самого приложения. Это означало, что любой участник канала мог узнать PIN другого пользователя, что создавало риск доступа к приложению с украденного устройства.
В последнем обновлении приложения разработчики объяснили, что в результате ошибки на стороне сервера PIN-коды пользователей случайно стали доступны в системном ответе. Несмотря на это, переписка пользователей не была под угрозой, так как приложение не поддерживает подключение нескольких устройств к одному аккаунту. Для обеспечения безопасности были сброшены все PIN-коды.
Freedom Chat является вторым приложением для обмена сообщениями разработчика Таннерa Хааса после Converso, которое было удалено из магазинов приложений после выявления уязвимостей, позволявших получать доступ к личным сообщениям пользователей.
