L’application de messagerie Freedom Chat a corrigé deux failles de sécurité : une qui permettait à un chercheur en sécurité de deviner les numéros de téléphone des utilisateurs enregistrés, et une autre qui exposait les codes PIN définis par l’utilisateur à d’autres utilisateurs de l’application.
Freedom Chat, lancé en juin, se présente comme une application de messagerie sécurisée et affirme sur son site Web que les numéros de téléphone des utilisateurs restent privés.
Mais le chercheur en sécurité Eric Daigle a déclaré à TechCrunch que les numéros de téléphone et les codes PIN des utilisateurs, utilisés pour verrouiller l’application, pourraient être facilement obtenus en exploitant les vulnérabilités.
Daigle a trouvé les vulnérabilités la semaine dernière et a partagé leurs détails avec TechCrunch, car Freedom Chat ne fournit pas de moyen public de signaler les vulnérabilités de sécurité, comme un programme de divulgation des vulnérabilités. TechCrunch a ensuite alerté le fondateur de Freedom Chat, Tanner Haas, des failles de sécurité par e-mail.
Haas a confirmé à TechCrunch que l’application avait désormais réinitialisé les codes PIN des utilisateurs et publié une nouvelle version. Haas a ajouté que la société supprimait les cas où les numéros de téléphone des utilisateurs étaient occasionnellement visibles et avait augmenté la limitation du débit sur ses serveurs pour empêcher les tentatives de devinettes massives.
Daigle, qui a publié ses conclusions dans un article de blog, a déclaré à TechCrunch qu’il était possible d’énumérer les numéros de téléphone de près de 2 000 utilisateurs qui s’étaient inscrits pour utiliser Freedom Chat depuis son lancement. Daigle a déclaré que les serveurs de Freedom Chat permettaient à quiconque de l’inonder de millions de suppositions de numéros de téléphone pour déterminer si le numéro de téléphone d’un utilisateur était stocké sur les serveurs.
Selon Daigle, cette technique est identique à celle décrite par l’Université de Vienne dans une étude du mois dernier, où des universitaires ont récupéré des données sur quelque 3,5 milliards de comptes d’utilisateurs qui se sont inscrits à WhatsApp en faisant correspondre des milliards de numéros de téléphone avec les serveurs de WhatsApp.
Daigle a également découvert que Freedom Chat divulguait les codes PIN des utilisateurs. En utilisant un outil d’inspection du trafic réseau open source pour analyser les données entrant et sortant de l’application, Daigle a constaté que l’application répondrait avec les codes PIN de tous les autres utilisateurs du même canal public, même si les codes PIN n’étaient pas visibles pour les utilisateurs au sein de l’application elle-même.
Selon Daigle, toute personne participant à la chaîne Freedom Chat par défaut, à laquelle les utilisateurs sont automatiquement abonnés lors de leur première inscription, a vu son code PIN diffusé à tous les autres membres de la chaîne. Daigle a déclaré à TechCrunch que la connaissance du code PIN d’une personne pourrait permettre à quelqu’un d’ouvrir l’application à partir de l’appareil volé d’un utilisateur.
Dans une mise à jour de l’App Store publiée dimanche, Freedom Chat a noté : « Une réinitialisation critique : une récente mise à jour du backend a exposé par inadvertance les codes PIN des utilisateurs dans une réponse du système. Aucun message n’a jamais été en danger, et comme Freedom Chat ne prend pas en charge les appareils liés, vos conversations n’ont jamais été accessibles ; cependant, nous avons réinitialisé tous les codes PIN des utilisateurs pour garantir la sécurité de votre compte. Votre confidentialité reste notre priorité absolue. «
Freedom Chat est la deuxième application de messagerie de Haas, après Converso, qui a été retirée des magasins d’applications suite à la divulgation de failles de sécurité exposant les messages et le contenu privés des utilisateurs.
