- Регистрация
- 01.08.25
- Сообщения
- 1,073
- Реакции
- 626
Приложение Freedom Chat, позиционируемое как защищённая платформа для обмена сообщениями, оказалось под угрозой из-за двух серьёзных уязвимостей. Несмотря на заявления о конфиденциальности данных, в том числе скрытии телефонных номеров, специалисты выявили ошибки, позволявшие получить доступ к этим номерам, а также к PIN-кодам пользователей.
По словам исследователя Эрика Дейгля, уязвимости обнаружены на прошлой неделе. Он сообщил о находке изданию TechCrunch, поскольку у Freedom Chat отсутствует открытый механизм для уведомлений о проблемах безопасности. После этого редакция связалась с основателем приложения Таннером Хаасом, который подтвердил инцидент и сообщил о предпринятых мерах.
Одна из ошибок позволяла массово проверять телефонные номера, чтобы определить, какие из них зарегистрированы в системе. Эта техника аналогична той, что ранее описали специалисты Венского университета в исследовании, посвящённом WhatsApp. Тогда была проведена проверка миллиардов комбинаций номеров, что привело к сбору данных о миллиардах аккаунтов.
Кроме того, ещё одна уязвимость в Freedom Chat приводила к утечке PIN-кодов, которые пользователи устанавливали для защиты доступа к приложению. С помощью инструмента анализа сетевого трафика можно было зафиксировать, что PIN-коды других пользователей, находящихся в одном с пользователем публичном канале, возвращались в ответах от сервера. Хотя сами коды не отображались в интерфейсе, доступ к ним получал любой участник канала.
По оценке Дейгля, таким образом можно было собрать информацию о PIN-кодах почти двух тысяч зарегистрированных пользователей, что, в случае кражи устройства, позволило бы обойти защиту приложения.
Компания уже выпустила обновление, усилила ограничение на количество запросов к серверу и автоматически сбросила все PIN-коды, чтобы предотвратить возможное несанкционированное использование. Кроме того, разработчики устранили случаи, при которых номера телефонов становились видимыми другим участникам сервиса.
Ранее Таннер Хаас уже сталкивался с критикой в связи с приложением Converso, которое пришлось удалить из магазинов после обнаружения проблем с безопасностью, затронувших личные сообщения пользователей.
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
• Source: Для просмотра ссылки Войдиили Зарегистрируйся
По словам исследователя Эрика Дейгля, уязвимости обнаружены на прошлой неделе. Он сообщил о находке изданию TechCrunch, поскольку у Freedom Chat отсутствует открытый механизм для уведомлений о проблемах безопасности. После этого редакция связалась с основателем приложения Таннером Хаасом, который подтвердил инцидент и сообщил о предпринятых мерах.
Одна из ошибок позволяла массово проверять телефонные номера, чтобы определить, какие из них зарегистрированы в системе. Эта техника аналогична той, что ранее описали специалисты Венского университета в исследовании, посвящённом WhatsApp. Тогда была проведена проверка миллиардов комбинаций номеров, что привело к сбору данных о миллиардах аккаунтов.
Кроме того, ещё одна уязвимость в Freedom Chat приводила к утечке PIN-кодов, которые пользователи устанавливали для защиты доступа к приложению. С помощью инструмента анализа сетевого трафика можно было зафиксировать, что PIN-коды других пользователей, находящихся в одном с пользователем публичном канале, возвращались в ответах от сервера. Хотя сами коды не отображались в интерфейсе, доступ к ним получал любой участник канала.
По оценке Дейгля, таким образом можно было собрать информацию о PIN-кодах почти двух тысяч зарегистрированных пользователей, что, в случае кражи устройства, позволило бы обойти защиту приложения.
Компания уже выпустила обновление, усилила ограничение на количество запросов к серверу и автоматически сбросила все PIN-коды, чтобы предотвратить возможное несанкционированное использование. Кроме того, разработчики устранили случаи, при которых номера телефонов становились видимыми другим участникам сервиса.
Ранее Таннер Хаас уже сталкивался с критикой в связи с приложением Converso, которое пришлось удалить из магазинов после обнаружения проблем с безопасностью, затронувших личные сообщения пользователей.
• Source: Для просмотра ссылки Войди
• Source: Для просмотра ссылки Войди