كشفت العيوب الأمنية في تطبيق Freedom Chat عن أرقام هواتف المستخدمين وأرقام التعريف الشخصية

قام تطبيق المراسلة Freedom Chat بإصلاح زوج من العيوب الأمنية: أحدهما سمح للباحث الأمني ​​بتخمين أرقام هواتف المستخدمين المسجلين، والآخر كشف أرقام التعريف الشخصية التي حددها المستخدم للآخرين على التطبيق.

ويقدم تطبيق Freedom Chat، الذي تم إصداره في يونيو/حزيران، نفسه على أنه تطبيق مراسلة آمن، ويدعي على موقعه الإلكتروني أن أرقام هواتف المستخدمين تظل خاصة.

لكن الباحث الأمني ​​إريك دايجل قال لـ TechCrunch إن أرقام هواتف المستخدمين ورموز PIN المستخدمة لقفل التطبيق، يمكن الحصول عليها بسهولة عن طريق استغلال الثغرات الأمنية.

اكتشف Daigle الثغرات الأمنية الأسبوع الماضي وشارك تفاصيلها مع TechCrunch، حيث لا توفر Freedom Chat طريقة عامة للإبلاغ عن العيوب الأمنية، مثل برنامج الكشف عن الثغرات الأمنية. ثم قامت TechCrunch بتنبيه مؤسس Freedom Chat، تانر هاس، إلى العيوب الأمنية عبر البريد الإلكتروني.

أكد Haas لـ TechCrunch أن التطبيق قام الآن بإعادة تعيين أرقام التعريف الشخصية للمستخدم وأصدر إصدارًا جديدًا. وأضاف هاس أن الشركة تقوم بإزالة الحالات التي كانت فيها أرقام هواتف المستخدمين مرئية في بعض الأحيان، وقد قامت بوضع حد للمعدل على خوادمها لمنع محاولات التخمين الجماعي.

ديجل، الذي نشر النتائج التي توصل إليها”nofollow” href=”https://ericdaigle.ca/posts/super-secure-maga-messaging-app-leaks-everyones-phone-number/”> في مشاركة مدونةوقال لـ TechCrunch إنه من الممكن تعداد أرقام هواتف ما يقرب من 2000 مستخدم قاموا بالتسجيل لاستخدام Freedom Chat منذ إطلاقه. وقال دايجل إن خوادم Freedom Chat تسمح لأي شخص بإغراقها بملايين من تخمينات أرقام الهاتف لتحديد ما إذا كان رقم هاتف المستخدم مخزنًا على الخوادم.

وفقًا لديجل، هذه التقنية مطابقة لتقنية واحدة”nofollow” href=”https://www.univie.ac.at/en/news/detail/forscherinnen-entdecken-grosse-sicherheitsluecke-in-whatsapp”>وصفت من قبل جامعة فيينا في البحث الشهر الماضي، حيث”nofollow” href=”https://www.wired.com/story/a-simple-whatsapp-security-flaw-exposed-billions-phone-numbers/”> كشط الأكاديميين بيانات حول حوالي 3.5 مليار حساب مستخدم قاموا بالتسجيل في WhatsApp عن طريق مطابقة مليارات أرقام الهواتف مع خوادم WhatsApp.

اكتشف Daigle أيضًا أن Freedom Chat كان يسرب رموز PIN الخاصة بالمستخدمين. باستخدام أداة فحص حركة مرور الشبكة مفتوحة المصدر لتحليل البيانات الداخلة والخارجة من التطبيق، رأى دايجل أن التطبيق سيستجيب برموز PIN لكل مستخدم آخر في نفس القناة العامة – حتى لو لم تكن أرقام التعريف الشخصية مرئية للمستخدمين داخل التطبيق نفسه.

وفقًا لـ Daigle، فإن أي شخص كان في قناة Freedom Chat الافتراضية، والتي يشترك فيها المستخدمون تلقائيًا عند الاشتراك لأول مرة، كان يتم بث رقم التعريف الشخصي الخاص به إلى أي شخص آخر في القناة. أخبر Daigle موقع TechCrunch أن معرفة رقم التعريف الشخصي لشخص ما قد تسمح لشخص ما بفتح التطبيق من جهاز المستخدم المسروق.

في تحديث لمتجر التطبيقات تم نشره يوم الأحد، أشارت Freedom Chat إلى ما يلي: “إعادة تعيين مهمة: كشف تحديث الواجهة الخلفية عن غير قصد عن أرقام التعريف الشخصية للمستخدم في استجابة النظام. لم تكن هناك رسائل معرضة للخطر على الإطلاق، ولأن Freedom Chat لا يدعم الأجهزة المرتبطة، لم يكن من الممكن الوصول إلى محادثاتك مطلقًا؛ ومع ذلك، قمنا بإعادة تعيين جميع أرقام التعريف الشخصية للمستخدم لضمان بقاء حسابك آمنًا. تظل خصوصيتك على رأس أولوياتنا.”

Freedom Chat هو تطبيق المراسلة الثاني لشركة Haas، بعد Converso، والذي تم حذفه من متاجر التطبيقات بعد الكشف عن”nofollow” href=”https://crnkovic.dev/testing-converso/”> عيوب أمنية التي كشفت الرسائل الخاصة للمستخدمين والمحتوى.

عرض السيرة الذاتية”width: 1em;” ملء=”none” viewBox=”0 0 24 24″>”var(–c-svg, currentColor)” د=”M16.5 12 9 19.5l-1.05-1.05L14.4 12 7.95 5.55 9 4.5z”/>