メッセージングアプリ「フリーダムチャット」で、ユーザーの電話番号とPINコードが流出するセキュリティ欠陥が発見され、修正されたと発表しました。
フリーダムチャットは6月にリリースされ、ユーザーの電話番号が非公開であることをウェブサイトで主張しています。しかし、セキュリティ研究者のエリック・デイグル氏は、ユーザーの電話番号とアプリのロックに使用されるPINコードが脆弱性を利用して簡単に取得できるとTechCrunchに語りました。
デイグル氏は先週、この脆弱性を発見し、フリーダムチャットには脆弱性報告プログラムがないため、TechCrunchに詳細を共有しました。TechCrunchは、フリーダムチャットの創設者であるタナー・ハース氏にメールでこの問題を通知しました。
ハース氏はTechCrunchに対し、アプリのユーザーPINをリセットし、新バージョンをリリースしたと確認しました。また、ユーザーの電話番号が時折表示される事例を削除し、大量の推測を防ぐためにサーバーのレート制限を強化したとしています。
デイグル氏はブログ投稿で、フリーダムチャットにサインアップした約2,000人のユーザーの電話番号を列挙できたと述べています。この技術は、先月ウィーン大学がWhatsAppのサーバーを利用して数十億の電話番号を照合した研究と同様のものだということです。
また、デイグル氏はフリーダムチャットがユーザーのPINコードを漏洩していることも発見しました。オープンソースのネットワークトラフィック検査ツールを使用して、アプリ内のデータを分析したところ、同じ公開チャンネル内の他のユーザーのPINコードがシステムレスポンスで表示されることが分かりました。
デイグル氏によれば、デフォルトのフリーダムチャットチャンネルにいるユーザーは、PINコードが他のユーザーに送信されていたということです。この情報を知ることで、他人の盗難デバイスからアプリを開くことが可能になるとしています。
日曜日に公開されたアプリストアの更新で、フリーダムチャットは次のように述べています。「重要なリセット:最近のバックエンドの更新でユーザーのPINがシステムレスポンスで誤って公開されました。メッセージが危険にさらされることはなく、フリーダムチャットはリンクデバイスをサポートしていないため、会話がアクセスされることはありませんでしたが、アカウントの安全を確保するためにすべてのユーザーのPINをリセットしました。プライバシーは私たちの最優先事項です。」
フリーダムチャットは、ユーザーのプライベートメッセージやコンテンツが漏洩したセキュリティ欠陥が明らかになった後、アプリストアから削除された「コンベルソ」に続く形となりました。