La privacidad abandonó el chat: el mensajero seguro Freedom expuso los números de teléfono personales de sus usuarios.
Ese incómodo momento en el que hay que publicar fallos de seguridad en los medios porque el servicio técnico ni siquiera dispone de correo electrónico.
La aplicación Freedom Chat, presentada como una plataforma protegida para el intercambio de mensajes, se vio comprometida debido a dos vulnerabilidades graves. A pesar de las afirmaciones sobre la privacidad de los datos, incluyendo el ocultamiento de los números de teléfono, los especialistas detectaron fallos que permitían acceder a esos números, así como a los códigos PIN de los usuarios.
Según el investigador Eric Daigle, las vulnerabilidades se detectaron la semana pasada. Él informó sobre el hallazgo a TechCrunch, ya que Freedom Chat no dispone de un mecanismo abierto para notificaciones sobre problemas de seguridad. Tras eso, la redacción se puso en contacto con el fundador de la aplicación, Tanner Haas, quien confirmó el incidente y comunicó las medidas adoptadas.
Uno de los fallos permitía verificar de forma masiva números de teléfono para determinar cuáles estaban registrados en el sistema. Esta técnica es similar a la que describieron anteriormente especialistas de la Universidad de Viena en un estudio sobre WhatsApp. Entonces se verificaron miles de millones de combinaciones de números, lo que provocó la recopilación de datos sobre miles de millones de cuentas.
Además, otra vulnerabilidad en Freedom Chat provocaba la filtración de códigos PIN que los usuarios establecían para proteger el acceso a la aplicación. Con una herramienta de análisis del tráfico de red era posible observar que los códigos PIN de otros usuarios que se encontraban en el mismo canal público que el usuario se devolvían en las respuestas del servidor. Aunque los códigos no se mostraban en la interfaz, cualquier participante del canal podía acceder a ellos.
Según la estimación de Daigle, de ese modo se podían recopilar los códigos PIN de casi dos mil usuarios registrados, lo que, en caso de robo del dispositivo, permitiría eludir la protección de la aplicación.
La empresa ya lanzó una actualización, reforzó la limitación en la cantidad de solicitudes al servidor y reinició automáticamente todos los códigos PIN para prevenir un posible uso no autorizado. Además, los desarrolladores solucionaron los casos en los que los números de teléfono se volvían visibles para otros participantes del servicio.
Anteriormente, Tanner Haas ya había sido objeto de críticas por la aplicación Converso, que tuvo que retirarse de las tiendas tras descubrirse problemas de seguridad que afectaban los mensajes privados de los usuarios.
Las huellas digitales son tu debilidad, y los hackers lo saben