نقص‌های امنیتی در یک پیام‌رسان شماره تلفن‌ کاربران را فاش کرد – ایده روز آنلاین | اخبار ایران و جهان

به گزارش ایده روز آنلاین به نقل از تک کرانچ، یکی از این نقص‌ها به پژوهشگران امنیتی امکان می‌داد شماره تلفن کاربران ثبت‌شده را حدس بزنند، و دیگری کدهای PIN تعیین‌شده توسط کاربران را برای دیگران در اپ آشکار می‌کرد.

Freedom Chat که در ماه ژوئن منتشر شد، خود را یک پیام‌رسان امن معرفی و در وب‌سایتش ادعا می‌کرد شماره تلفن کاربران محرمانه باقی می‌ماند. اما اریک دیگل پژوهشگر امنیتی می‌گوید شماره تلفن‌ها و کدهای PIN کاربران که برای قفل کردن اپلیکیشن استفاده می‌شوند به‌سادگی قابل دسترسی بودند.

دیگل هفته گذشته این آسیب‌پذیری‌ها را کشف کرد و جزئیات آن را به این نشریه اطلاع رسانی کرد زیرا Freedom Chat راه عمومی برای گزارش نقص‌های امنیتی، مانند برنامه افشای آسیب‌پذیری، ندارد. سپس تک کرانچ این چالش‌ها را به تنر هاس بنیان‌گذار Freedom Chat ایمیل کرد.

پس از آن هاس تأیید کرد اپلیکیشن مذکور اکنون کدهای PIN کاربران را بازنشانی و نسخه جدیدی منتشر کرده است. او افزود شرکت در حال حذف مواردی است که شماره تلفن کاربران گهگاه قابل مشاهده بود و همچنین محدودیت نرخ درخواست‌ها را در سرورها افزایش داده تا از حملات حدس انبوه جلوگیری کند.

دیگل که یافته‌های خود را در یک پست وبلاگی منتشر کرده، در این می‌گوید: امکان حدس شماره تلفن نزدیک به دو هزار کاربر وجود داشت که از زمان راه‌اندازی Freedom Chat ثبت‌نام کرده بودند. به گفته او، سرورهای Freedom Chat اجازه می‌دادند هر کسی میلیون‌ها حدس شماره تلفن ارسال کند تا مشخص شود آیا شماره‌ای در سرور ذخیره شده است یا خیر.

این روش دقیقاً مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. پژوهشگران این دانشگاه داده‌های مربوط به حدود ۳.۵ میلیارد حساب کاربری واتس‌اپ را با تطبیق میلیاردها شماره تلفن با سرورهای واتس‌اپ استخراج کردند.

دیگل همچنین دریافت که Freedom Chat کدهای PIN کاربران را افشا می‌کند. او با استفاده از یک ابزار متن‌باز برای بررسی ترافیک شبکه، شاهد آن بود که اپلیکیشن در پاسخ به درخواست‌ها، کدهای PIN همه کاربران دیگر در همان کانال عمومی را ارسال می‌کرد حتی اگر این کدها در خود اپلیکیشن قابل مشاهده نبودند.

Freedom Chat دومین اپلیکیشن پیام‌رسان هاس است؛ پیش‌تر اپلیکیشن Converso پس از افشای نقص‌های امنیتی که پیام‌ها و محتوای خصوصی کاربران را آشکار می‌کرد، از فروشگاه‌های اپلیکیشن حذف شد.

اپلیکیشن پیام‌رسان Freedom Chat دومین محصول تنر هاس است. پیش‌تر، نخستین اپلیکیشن او با نام Converso پس از افشای نقص‌های امنیتی که پیام‌ها و محتوای خصوصی کاربران را در معرض دید قرار می‌داد، از فروشگاه‌های اپ حذف شد.