- Freedom Chat mengungkap nomor telepon pengguna dan kode PIN karena dua kelemahan keamanan utama
- Server yang salah dikonfigurasi memungkinkan penyerang melakukan brute force nomor telepon, sementara bug kedua membocorkan PIN ke semua orang di saluran publik default
- Setelah eskalasi media, perusahaan memperbaiki masalah tersebut dan secara paksa mengatur ulang semua PIN pengguna
Aplikasi perpesanan Freedom Chat dilaporkan membawa dua kerentanan keamanan utama yang memungkinkan pelaku jahat mengungkap nomor telepon pengguna dan kode PIN, demikian laporan para ahli.
Peneliti keamanan Eric Daigle mengungkapkan bahwa Freedom Chat mengalami kesalahan konfigurasi yang sama seperti WhatsApp saat mengungkap nomor telepon 3,5 miliar pengguna.
Server aplikasi memungkinkan siapa saja untuk mencoba dan menebak nomor telepon pengguna tanpa batas waktu, untuk melihat apakah mereka akan mendapatkan nomor yang cocok.
Menyetel ulang PIN
Bug kedua membocorkan kode PIN orang. Daigle mengatakan dia menggunakan alat inspeksi lalu lintas jaringan sumber terbuka untuk menganalisis data yang bergerak melalui aplikasi, dan menemukan bahwa aplikasi akan merespons dengan kode PIN setiap pengguna di saluran publik yang sama, bahkan jika pengguna aplikasi tidak dapat melihat kode tersebut.
Daigle mengklaim bahwa siapa pun yang berlangganan saluran Freedom Chat default akan menyebarkan PIN mereka ke orang lain. Sayangnya, setiap orang yang mendaftar secara otomatis berlangganan saluran ini, artinya jika seseorang memegang perangkatnya, mereka dapat dengan mudah membuka kunci aplikasi.
Lebih buruk lagi, jika kita berasumsi orang-orang menggunakan kode PIN yang sama di berbagai layanan, hal ini juga dapat membahayakan aplikasi dan alat lain, termasuk kartu kredit, dompet kripto, dan akun media sosial.
Untungnya, tidak seperti itu Ada apayang jumlah penggunanya mencapai miliaran, Freedom Chat adalah aplikasi baru yang dirilis dan memiliki sekitar 2.000 pengguna.
Daigle mencoba menghubungi Freedom Chat tetapi karena tidak ada cara resmi untuk melaporkan bug, dia tidak dapat menarik perhatian perusahaan. Namun TechCrunch.dll berhasil dengan menghubungi langsung pendiri Tanner Haas – yang kemudian mengonfirmasi bahwa perusahaan tersebut merilis versi baru dan menyetel ulang PIN semua orang.
“Reset kritis: Pembaruan backend terkini secara tidak sengaja mengekspos PIN pengguna dalam respons sistem,” kata perusahaan itu di halaman pembaruan toko aplikasinya.
“Tidak ada pesan yang berisiko, dan karena Freedom Chat tidak mendukung perangkat yang ditautkan, percakapan Anda tidak pernah dapat diakses; namun, kami telah menyetel ulang semua PIN pengguna untuk memastikan akun Anda tetap aman. Privasi Anda tetap menjadi prioritas utama kami.”
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
