نقصهای امنیتی در اپ Freedom Chat شماره تلفنها و PIN کاربران را فاش کرد
بنیانگذار Freedom Chat اعلام کرد که شرکت PINهای کاربران را بازنشانی کرده و نسخه جدیدی به فروشگاههای اپ منتشر کرده است. پژوهشگر امنیتی نشان داد که شماره تلفنهای ثبتشده و کدهای PIN کاربران قابل استخراج بودند.
داغ
اپ پیامرسان Freedom Chat دو نقص امنیتی جدی را برطرف کرده است که به یک پژوهشگر امنیتی اجازه میداد شماره تلفنهای ثبتشده کاربران را حدس بزند و کدهای PIN تنظیمشده توسط کاربران را برای دیگران در اپ فاش کند.
آسیبپذیریهای کشفشده
- حدس شماره تلفن: سرورهای Freedom Chat به هرکسی اجازه میدادند میلیونها حدس شماره تلفن ارسال کنند تا مشخص شود آیا شماره تلفن یک کاربر در سرورها ذخیره شده است یا خیر
- نشت کدهای PIN: اپ با کدهای PIN هر کاربر دیگر در همان کانال عمومی پاسخ میداد، حتی اگر PINها در خود اپ برای کاربران قابل مشاهده نبودند
اقدامات اصلاحی
"بازنشانی بحرانی: یک بهروزرسانی اخیر بکاند به طور تصادفی PINهای کاربران را در پاسخ سیستم فاش کرد. هیچ پیامی هرگز در خطر نبود و چون Freedom Chat از دستگاههای مرتبط پشتیبانی نمیکند، مکالمات شما هرگز قابل دسترسی نبودند."
- بازنشانی تمام PINهای کاربران
- حذف مواردی که شماره تلفن کاربران گاهی قابل مشاهده بود
- افزایش نرخ محدودیت روی سرورها برای جلوگیری از حدسهای انبوه
این دومین اپ پیامرسان Tanner Haas پس از Converso است که به دلیل افشای نقصهای امنیتی از فروشگاههای اپ حذف شد.
