- Freedom Chat, iki büyük güvenlik açığı nedeniyle kullanıcı telefon numaralarını ve PIN kodlarını açığa çıkardı
- Yanlış yapılandırılmış bir sunucu, saldırganların telefon numaralarını kaba kuvvetle kullanmasına izin verirken ikinci bir hata, varsayılan bir genel kanaldaki herkese PIN’leri sızdırdı
- Medyanın artmasının ardından şirket sorunları yamaladı ve tüm kullanıcı PIN’lerini zorla sıfırladı
Uzmanların bildirdiğine göre, mesajlaşma uygulaması Freedom Chat’in, kötü niyetli aktörlerin kullanıcı telefon numaralarını ve PIN kodlarını açığa çıkarmasına olanak tanıyan iki büyük güvenlik açığı taşıdığı bildirildi.
Güvenlik araştırmacısı Eric Daigle, Freedom Chat’in de aynı yanlış yapılandırmadan muzdarip olduğunu yeniden ortaya çıkardı WhatsApp 3,5 milyar kullanıcının telefon numarasını açığa çıkardı.
Uygulamanın sunucuları, herkesin bir eşleşme olup olmayacağını görmek için kullanıcı telefon numaralarını süresiz olarak denemesine ve tahmin etmesine olanak tanır.
PIN’leri sıfırlama
İkinci hata ise insanların PIN kodlarının sızdırılmasıydı. Daigle, uygulama boyunca hareket eden verileri analiz etmek için açık kaynaklı bir ağ trafiği inceleme aracı kullandığını ve uygulama kullanıcıları kodları göremese bile uygulamanın aynı genel kanaldaki her kullanıcının PIN koduyla yanıt vereceğini bulduğunu söyledi.
Daigle, varsayılan Özgürlük Sohbeti kanalına abone olan herkesin PIN kodunun diğer herkese yayınlandığını iddia ediyor. Ne yazık ki, kaydolan herkes otomatik olarak bu kanala abone oluyor; bu, birinin cihazını ele geçirmesi durumunda uygulamanın kilidini kolayca açabileceği anlamına geliyor.
Daha da kötüsü, insanların birden fazla hizmette aynı PIN kodunu kullandığını varsayarsak, bu durum kredi kartları, kripto cüzdanlar ve sosyal medya hesapları da dahil olmak üzere diğer uygulama ve araçları da riske atabilir.
Neyse ki, aksine WhatsAppKullanıcılarını milyarlarca sayan Freedom Chat, yaklaşık 2.000 kullanıcısı olan yeni çıkan bir uygulamadır.
Daigle, Freedom Chat’e ulaşmayı denedi ancak hataları bildirmenin resmi bir yolu olmadığından şirketin dikkatini çekemedi. Fakat TechCrunch Kurucu Tanner Haas’a doğrudan ulaşarak başarılı oldu; kendisi daha sonra şirketin yeni bir sürüm yayınladığını ve herkesin PIN’lerini sıfırladığını doğruladı.
Şirket, uygulama mağazası güncelleme sayfasında “Kritik bir sıfırlama: Son zamanlarda yapılan bir arka uç güncellemesi, sistem yanıtında yanlışlıkla kullanıcı PIN’lerini açığa çıkardı” dedi.
“Hiçbir mesaj risk altında değildi ve Freedom Chat bağlantılı cihazları desteklemediğinden görüşmelerinize hiçbir zaman erişilemedi; ancak hesabınızın güvende kalmasını sağlamak için tüm kullanıcı PIN’lerini sıfırladık. Gizliliğiniz en büyük önceliğimiz olmaya devam ediyor.”
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.