- O Freedom Chat expôs os números de telefone e PINs dos usuários devido a duas grandes falhas de segurança
- Um servidor mal configurado permitiu que invasores usassem números de telefone com força bruta, enquanto uma segunda falha vazava PINs para todos em um canal público padrão.
- Após protestos da mídia, a empresa corrigiu os problemas e redefiniu à força os PINs de todos os usuários
O aplicativo de mensagens Freedom Chat tinha duas grandes vulnerabilidades de segurança que permitiam que atores mal-intencionados expusesse os números de telefone e PINs dos usuários, disseram especialistas.
O pesquisador de segurança Eric Daigle quando o Freedom Chat sofreu o mesmo erro de configuração do WhatsApp, expondo os números de telefone de 3,5 bilhões de usuários.
Os servidores do aplicativo tentam fazer com que alguém adivinhe os números de telefone dos usuários indefinidamente para ver se conseguem uma correspondência.
Redefinindo PINs
O segundo bug vazou os códigos PIN das pessoas. Daigle disse que usou uma ferramenta de inspeção de tráfego de rede de código aberto para analisar os dados que passam pelo aplicativo e descobriu que o aplicativo responderia com o PIN de cada usuário no mesmo canal público, mesmo que os usuários do aplicativo não pudessem ver os códigos.
Daigle diz que qualquer pessoa inscrita no canal padrão Freedom Chat compartilhou seu PIN com todos os outros. Infelizmente, todos que se inscrevem são automaticamente inscritos neste canal, o que significa que se alguém conseguir seu dispositivo, poderá desbloquear facilmente o aplicativo.
Além disso, se permitirmos que as pessoas usem o mesmo PIN em vários serviços, isso poderá comprometer outros aplicativos e ferramentas, incluindo cartões de crédito, carteiras criptográficas e contas de redes sociais.
Felizmente, ao contrário do WhatsApp, que conta com milhões de usuários, o Freedom Chat é um aplicativo recém-lançado com aproximadamente 2.000 usuários.
Daigle tentou entrar em contato com o Freedom Chat, mas como não existe uma forma oficial de relatar bugs, ele não conseguiu chamar a atenção da empresa. No entanto TechCrunch consegui entrar em contato diretamente com o criador Tanner Haas – que mais tarde confirmou que a empresa havia lançado uma nova versão e redefiniu os PINs de todos.
“Reinicialização crítica: uma atualização de back-end recente expôs os PINs dos usuários em uma resposta do sistema”, disse a empresa em sua página de atualização da loja de aplicativos.
“Nenhuma mensagem foi comprometida e, como o Freedom Chat não oferece suporte a dispositivos conectados, suas conversas nunca foram acessadas; no entanto, redefinimos todos os PINs de usuário para garantir que sua conta permaneça segura. Sua privacidade continua sendo nossa principal prioridade.”
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
