- Freedom Chatは、2つの重大なセキュリティ欠陥によりユーザーの電話番号とPINコードを露出させた
- 設定ミスのサーバーにより攻撃者が電話番号を総当たりでき、別のバグでデフォルトの公開チャンネル内の全員にPINが漏えいした
- 報道で問題が拡大した後、同社は問題を修正し、全ユーザーのPINを強制的にリセットした
専門家によると、メッセージングアプリ「Freedom Chat」には2つの重大なセキュリティ脆弱性があり、悪意ある人物がユーザーの電話番号やPINコードを露出させられる状態だったと報告されています。
セキュリティ研究者のEric Daigleは、Freedom Chatが、35億人のユーザーの電話番号を露出させた際のWhatsAppと同じ設定ミスの影響を受けていたことを明らかにしました。
このアプリのサーバーは、誰でもユーザーの電話番号を無制限に推測して試し、一致するかどうかを確認できる状態になっていました。
PINのリセット
2つ目のバグは、人々のPINコードを漏えいさせるものでした。Daigleによれば、オープンソースのネットワークトラフィック検査ツールを使ってアプリ内を流れるデータを分析したところ、アプリは、同じ公開チャンネルにいるすべてのユーザーのPINコードを応答として返していたことが判明しました。たとえアプリのユーザー側ではそのコードが見えないとしてもです。
Daigleは、デフォルトのFreedom Chatチャンネルに登録している人は、PINが他の全員に向けてブロードキャストされていたと主張しています。残念なことに、サインアップした人は全員このチャンネルに自動的に登録されるため、誰かが端末を入手してしまえば、簡単にアプリのロックを解除できた可能性があります。
さらに悪いことに、複数のサービスで同じPINコードを使い回していると仮定すると、クレジットカード、暗号資産ウォレット、SNSアカウントなどを含む他のアプリやツールにもリスクが及ぶ可能性があります。
幸いにも、ユーザー数が数十億に上るWhatsAppとは異なり、Freedom Chatは新しくリリースされたアプリで、ユーザー数はおよそ2,000人です。
DaigleはFreedom Chatに連絡を試みましたが、バグを報告する公式な手段がないため、同社の注意を引くことができなかったといいます。しかし、TechCrunchは創業者のTanner Haasに直接連絡することに成功し、Haasはその後、同社が新バージョンをリリースし、全員のPINをリセットしたことを確認しました。
同社はアプリストアの更新ページで、「重要なリセット:最近のバックエンド更新により、システム応答内でユーザーのPINが意図せず露出しました」と述べています。
「メッセージが危険にさらされることは一切なく、Freedom Chatはリンクされたデバイスをサポートしていないため、会話がアクセス可能になることもありませんでした。しかし、アカウントの安全を確保するため、全ユーザーのPINをリセットしました。プライバシーは引き続き最優先事項です。」
