Mesajlaşma uygulaması Freedom Chat, kullanıcıların telefon numaralarını tahmin etmeyi sağlayan ve kullanıcıların ayarladığı PIN'leri diğer kullanıcılara açığa çıkaran iki güvenlik açığını düzeltti.
GÜVENLİK AÇIKLARI ORTAYA ÇIKTI
Freedom Chat, Haziran ayında piyasaya sürüldü ve kendisini güvenli bir mesajlaşma uygulaması olarak tanıtıyor. Uygulamanın web sitesinde kullanıcıların telefon numaralarının gizli kalacağı iddia ediliyor. Ancak güvenlik araştırmacısı Eric Daigle, TechCrunch'a yaptığı açıklamada, kullanıcıların telefon numaralarının ve uygulamayı kilitlemek için kullanılan PIN kodlarının kolayca elde edilebileceğini belirtti. Daigle, güvenlik açıklarını geçen hafta tespit etti ve bunların detaylarını TechCrunch ile paylaştı çünkü Freedom Chat, güvenlik açıklarını rapor etmek için kamuya açık bir yol sunmuyor.
PIN KODLARI GİZLİ KALMADI
TechCrunch, Freedom Chat kurucusu Tanner Haas'a e-posta ile güvenlik açıklarını bildirdi. Haas, uygulamanın artık kullanıcı PIN'lerini sıfırladığını ve yeni bir sürüm yayınladığını doğruladı. Ayrıca, kullanıcıların telefon numaralarının görünürlüğünü azaltacak önlemler aldıklarını ve sunucularında toplu tahmin girişimlerini engellemek için hız sınırlaması uyguladıklarını ekledi. Daigle, blogunda yaptığı paylaşımda, Freedom Chat'a kayıtlı yaklaşık 2,000 kullanıcının telefon numaralarının belirlenebilir olduğunu ifade etti. Daigle, Freedom Chat sunucularının, kullanıcı telefon numaralarının depolanıp depolanmadığını belirlemek için herhangi birinin sunucuya milyonlarca telefon numarası tahmini göndermesine izin verdiğini belirtti. Daigle'ye göre bu teknik, geçen ay Viyana Üniversitesi tarafından tanımlanan bir araştırmada açıklanan bir yöntemle aynı. Daigle ayrıca Freedom Chat'ın kullanıcıların PIN kodlarını sızdırdığını buldu. Açık kaynaklı bir ağ trafiği izleme aracı kullanarak uygulamanın içindeki verileri analiz eden Daigle, uygulamanın aynı kamu kanalındaki her kullanıcının PIN kodlarıyla yanıt verdiğini gördü. Daigle, varsayılan Freedom Chat kanalında bulunan herkesin PIN'inin kanaldaki diğer kullanıcılar tarafından görülebileceğini söyledi. Daigle, bir kişinin PIN'ine sahip olmanın, çalınan bir cihazdan uygulamayı açmak için kullanılabileceğini belirtti. Freedom Chat, Pazar günü yayınladığı uygulama güncellemesinde, "Kritik bir sıfırlama: Yakın zamanda yapılan bir arka uç güncellemesi, kullanıcı PIN'lerini sistem yanıtında istemeden açığa çıkardı. Hiçbir mesaj tehlikede değildi ve Freedom Chat bağlı cihazları desteklemediği için konuşmalarınıza asla erişilemedi; ancak, hesabınızın güvenliğini sağlamak için tüm kullanıcı PIN'lerini sıfırladık. Gizliliğiniz bizim önceliğimizdir." ifadelerine yer verdi. Freedom Chat, güvenlik açıkları nedeniyle kullanıcıların özel mesajlarını açığa çıkaran Converso’dan sonra Haas’ın ikinci mesajlaşma uygulamasıdır.
