Şifreleme Uygulaması Başlangıç, Gizlilik İddialarını Geri Çekiyor, Araştırmanın Ardından Mağazalardan Çekiyor • Kayıt

Gizliliğe öncelik verdiğini iddia eden yeni bir mesajlaşma hizmeti, çevrimiçi olarak arandıktan sonra hem Apple hem de Google yazılım mağazalarından web sitesinden ve uygulamasından uçtan uca şifreleme iddialarını geri çekti.

Eylül 2022’de kullanıma sunulan bir iletişim uygulaması olan Converso, kendisini “sohbetlerinizi tamamen gizli tutan yeni nesil bir mesajlaşma uygulaması” olarak tanıtıyor. Bu, geliştiricinin web sitesine göre “tescilli son teknoloji uçtan uca şifreleme teknolojisi, “mesajların sunucularda saklanmaması” vekesinlikle Kullanıcı verilerinin kullanımı yok.” Güvenlik riskleri konusunda Signal ve WhatsApp gibilerine dayanabileceğini iddia etti.

Şifreleme protokollerine ilgi duyan Crnkovi’ye giden bir blogcu, Converso’yu bir podcast’teki bir reklamdan duydu ve yazılımın beklentileri karşılayıp karşılamadığını görmek için uğramaya karar verdi.

Bu amaçla yüklediği apk Converso’nun kod referansları olan AES ve RSA şifreleme algoritmalarını ve şifreleme ve genel anahtar kimlik doğrulaması için Seald’ın SDK’sını bulduğunu söyledi.

Crnković, önemli ve rahatsız edici bir şekilde, uygulamanın, geliştiricilerinin halka açık bıraktığı Google Cloud tarafından barındırılan bir veritabanıyla konuştuğunu fark etti. Bize bu Firestore veritabanının şifreli mesaj içeriği, insanların mesajları hakkında meta veriler, şifreleme anahtarları, telefon numaraları ve daha fazlasını içerdiği söylendi. Araştırmacıya göre, temel olarak, herhangi birinin bu bilgiyi getirmesi ve bir yabancının uygulama aracılığıyla iletilen mesajını çözmesi mümkün olacaktır.

Crankovich şu sonuca vardı:

Crankovich, “Converso’nun Anatomisi, benim için büyük ölçüde bir kullandıkça öğren alıştırmasıydı, çünkü mobil uygulamaların tersine mühendislik konusunda önceden deneyimim yok,” dedi. kayıt. “Çok daha kötü olan her hata karşısında şok oldum.”

Crnkoviç Yayıncılık madde 10 Mayıs’taki bu bulgular hakkında ve kayıt Bir yanıt için 12 Mayıs’ta Converso ile iletişime geçtim. 13 Mayıs’a kadar, E2EE’nin “müseccel” iddiaları da dahil olmak üzere sitedeki ifadelerin çoğu ya kayboldu ya da biraz yumuşatıldı.

Converso’nun CEO’su ve kurucusu Tanner Haas, şu adrese uzun bir e-posta gönderdi: kayıtGirişiminin “gizlilik sorunlarını çok ciddiye aldığını ve güvenlik açıklarından haberdar olduğumuzda, bunları mümkün olan en kısa sürede yamalamak için hemen çalıştık” dedi.

Haas, “Kullanıcılar, telefon numaraları ve veriler hakkındaki tüm bilgiler korunur ve saldırganlar tarafından erişilemez.” Dedi. Şimdi öyle umuyoruz. Gizlilik uygulamasındaki varlığı, bilgi ve iletişim dünyasındaki bazı kişiler tarafından hoş karşılanmayan, uygulamadaki Google Analytics takipçisi hakkında bir soruyu yanıtlamayı reddetti.

Converso tarafından kullanılan şifreleme protokol(ler)i sorulduğunda Haas, kayıt ile Mühür sitesi.

Crnković’in blogunda belirttiği gibi, Haas’a Converso’nun kimlikleri ortak anahtarlara eşlemek için tek CA olarak Seald’ı kullanıp kullanmadığını da sorduk.

Haas e-postada, “Seald üçüncü taraf bir sertifika yetkilisi olarak kullanılsa da, herhangi birinin diğer kullanıcıların korumalı mesajlarını okumasını önlemek için tasarlanmış ek kimlik doğrulama adımları vardır.” Bu, kullanıcıların kendileri için tasarlanmamış şifreli metinlere erişmesini engellemeyi içerir.

Mesajlaşma hizmeti, “herhangi bir potansiyel sorun ortaya çıkmadan önce uygulamanın kimlik doğrulama akışını gerçekten yeniden oluşturmuştu. İstemci tarafında sızdırılan tüm sırlar, uygulamanın eski bir sürümündendir ve en son güncellemelerdeki hiç kimse önceki sürümdeki kimlikleri kullanmıyor.”

Haas, Crnković’i orijinal blogdaki “aynı coşkuyla” Converso’yu 60 gün içinde geri almaya teşvik etti. Ayrıca, “kullanıcı verilerini ticari olarak hiçbir zaman kullanmadık ve asla kullanmayacağız” dedi.

Ayrıca, “kalan güvenlik açıklarını ele alıp iyileştirirken” uygulama App Store ve Google Play’den “duraklatıldı”.

Geri sayım başlasın. ®