نقصهای امنیتی در یک پیامرسان شماره تلفن کاربران را فاش کرد
به گزارش خبرگزاری مهر به نقل از تک کرانچ، یکی از این نقص ها به پژوهشگران امنیتی امکان می داد شماره تلفن کاربران ثبت شده را حدس بزنند، و دیگری کدهای PIN تعیین شده توسط کاربران را برای دیگران در اپ آشکار می کرد.
Freedom Chat که در ماه ژوئن منتشر شد، خود را یک پیام رسان امن معرفی و در وب سایتش ادعا می کرد شماره تلفن کاربران محرمانه باقی می ماند. اما اریک دیگل پژوهشگر امنیتی می گوید شماره تلفن ها و کدهای PIN کاربران که برای قفل کردن اپلیکیشن استفاده می شوند به سادگی قابل دسترسی بودند.
دیگل هفته گذشته این آسیب پذیری ها را کشف کرد و جزئیات آن را به این نشریه اطلاع رسانی کرد زیرا Freedom Chat راه عمومی برای گزارش نقص های امنیتی، مانند برنامه افشای آسیب پذیری، ندارد. سپس تک کرانچ این چالش ها را به تنر هاس بنیان گذار Freedom Chat ایمیل کرد.
پس از آن هاس تأیید کرد اپلیکیشن مذکور اکنون کدهای PIN کاربران را بازنشانی و نسخه جدیدی منتشر کرده است. او افزود شرکت در حال حذف مواردی است که شماره تلفن کاربران گهگاه قابل مشاهده بود و همچنین محدودیت نرخ درخواست ها را در سرورها افزایش داده تا از حملات حدس انبوه جلوگیری کند.
دیگل که یافته های خود را در یک پست وبلاگی منتشر کرده، در این می گوید: امکان حدس شماره تلفن نزدیک به دو هزار کاربر وجود داشت که از زمان راه اندازی Freedom Chat ثبت نام کرده بودند. به گفته او، سرورهای Freedom Chat اجازه می دادند هر کسی میلیون ها حدس شماره تلفن ارسال کند تا مشخص شود آیا شماره ای در سرور ذخیره شده است یا خیر.
این روش دقیقا مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. پژوهشگران این دانشگاه داده های مربوط به حدود ۳٫۵ میلیارد حساب کاربری واتس اپ را با تطبیق میلیاردها شماره تلفن با سرورهای واتس اپ استخراج کردند.
دیگل همچنین دریافت که Freedom Chat کدهای PIN کاربران را افشا می کند. او با استفاده از یک ابزار متن باز برای بررسی ترافیک شبکه، شاهد آن بود که اپلیکیشن در پاسخ به درخواست ها، کدهای PIN همه کاربران دیگر در همان کانال عمومی را ارسال می کرد حتی اگر این کدها در خود اپلیکیشن قابل مشاهده نبودند.
Freedom Chat دومین اپلیکیشن پیام رسان هاس است؛ پیش تر اپلیکیشن Converso پس از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را آشکار می کرد، از فروشگاه های اپلیکیشن حذف شد.
اپلیکیشن پیام رسان Freedom Chat دومین محصول تنر هاس است. پیش تر، نخستین اپلیکیشن او با نام Converso پس از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را در معرض دید قرار می داد، از فروشگاه های اپ حذف شد.
Freedom Chat که در ماه ژوئن منتشر شد، خود را یک پیام رسان امن معرفی و در وب سایتش ادعا می کرد شماره تلفن کاربران محرمانه باقی می ماند. اما اریک دیگل پژوهشگر امنیتی می گوید شماره تلفن ها و کدهای PIN کاربران که برای قفل کردن اپلیکیشن استفاده می شوند به سادگی قابل دسترسی بودند.
دیگل هفته گذشته این آسیب پذیری ها را کشف کرد و جزئیات آن را به این نشریه اطلاع رسانی کرد زیرا Freedom Chat راه عمومی برای گزارش نقص های امنیتی، مانند برنامه افشای آسیب پذیری، ندارد. سپس تک کرانچ این چالش ها را به تنر هاس بنیان گذار Freedom Chat ایمیل کرد.
پس از آن هاس تأیید کرد اپلیکیشن مذکور اکنون کدهای PIN کاربران را بازنشانی و نسخه جدیدی منتشر کرده است. او افزود شرکت در حال حذف مواردی است که شماره تلفن کاربران گهگاه قابل مشاهده بود و همچنین محدودیت نرخ درخواست ها را در سرورها افزایش داده تا از حملات حدس انبوه جلوگیری کند.
دیگل که یافته های خود را در یک پست وبلاگی منتشر کرده، در این می گوید: امکان حدس شماره تلفن نزدیک به دو هزار کاربر وجود داشت که از زمان راه اندازی Freedom Chat ثبت نام کرده بودند. به گفته او، سرورهای Freedom Chat اجازه می دادند هر کسی میلیون ها حدس شماره تلفن ارسال کند تا مشخص شود آیا شماره ای در سرور ذخیره شده است یا خیر.
این روش دقیقا مشابه تکنیکی است که ماه گذشته توسط دانشگاه وین شرح داده شد. پژوهشگران این دانشگاه داده های مربوط به حدود ۳٫۵ میلیارد حساب کاربری واتس اپ را با تطبیق میلیاردها شماره تلفن با سرورهای واتس اپ استخراج کردند.
دیگل همچنین دریافت که Freedom Chat کدهای PIN کاربران را افشا می کند. او با استفاده از یک ابزار متن باز برای بررسی ترافیک شبکه، شاهد آن بود که اپلیکیشن در پاسخ به درخواست ها، کدهای PIN همه کاربران دیگر در همان کانال عمومی را ارسال می کرد حتی اگر این کدها در خود اپلیکیشن قابل مشاهده نبودند.
Freedom Chat دومین اپلیکیشن پیام رسان هاس است؛ پیش تر اپلیکیشن Converso پس از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را آشکار می کرد، از فروشگاه های اپلیکیشن حذف شد.
اپلیکیشن پیام رسان Freedom Chat دومین محصول تنر هاس است. پیش تر، نخستین اپلیکیشن او با نام Converso پس از افشای نقص های امنیتی که پیام ها و محتوای خصوصی کاربران را در معرض دید قرار می داد، از فروشگاه های اپ حذف شد.
AI Chatbot
💬 Hi! Want to know more about “نقص های امنیتی در یک پیام رسان شماره تلفن کاربران را فاش کرد”? I’m here to guide you.