セキュアなはずのチャットアプリに脆弱性
セキュアなメッセージングアプリと銘打っていた「Freedom Chat」に、登録ユーザーの電話番号が推測可能になる脆弱性と、ユーザーが設定したPINコードが他のユーザーに露呈する脆弱性という二つの重大なセキュリティ欠陥が修正されたことが報じられました。同アプリは今年6月にリリースされ、そのウェブサイトではユーザーの電話番号はプライベートに保たれると謳っていました。
研究者が指摘した二つの重大な脆弱性
セキュリティ研究者のEric Daigle氏はTechCrunchに対し、アプリのロックに使用されるユーザーの電話番号とPINコードが、これらの脆弱性を悪用することで容易に入手可能であったと語っています。Daigle氏は先週これらの脆弱性を発見し、TechCrunchに詳細を共有しました。これはFreedom Chatが脆弱性開示プログラムのような公開された報告手段を提供していなかったためです。TechCrunchがFreedom Chatの創設者Tanner Haas氏にこの件をメールで通知した後、Haas氏はアプリが既にユーザーPINをリセットし、新バージョンをリリースしたことを確認しました。また、ユーザーの電話番号が一時的に表示されるケースを削除し、大量推測攻撃を防ぐためにサーバーのレート制限を強化したと述べています。
大量推測によりユーザーの電話番号が特定可能に
Daigle氏が自身のブログで公開した調査結果によると、Freedom Chatがリリースされて以来、約2,000人のユーザーの電話番号を列挙することが可能でした。Daigle氏は、Freedom Chatのサーバーが、数百万もの電話番号を推測して送信することで、ユーザーの電話番号が登録されているかどうかを判別できる状態であったと指摘しています。この手法は、先月ウィーン大学の研究者が、数十億の電話番号とWhatsAppのサーバーを照合することで約35億のユーザーアカウントのデータをスクレイピングした方法と同一であるとDaigle氏は述べています。
チャットルームからPINコードがブロードキャスト
Daigle氏はさらに、Freedom ChatがユーザーのPINコードを漏洩させていたことも発見しました。オープンソースのネットワークトラフィック検査ツールを用いてアプリのデータ送受信を分析した結果、アプリが同じパブリックチャンネル内の他の全ユーザーのPINコードを応答することを発見しました。これは、アプリ内ではPINコードがユーザーに表示されていなかったにもかかわらず発生していました。Daigle氏によると、最初にサインアップした際に自動的に購読されるデフォルトのFreedom ChatチャンネルにいるすべてのユーザーのPINが、チャンネル内の全員にブロードキャストされていたとのことです。Daigle氏は、PINコードが知られることで、盗難されたデバイスからアプリを開くことが可能になると警鐘を鳴らしています。
緊急対応と今後のセキュリティ強化
日曜日に公開されたアプリストアのアップデートでは、Freedom Chatは次のように説明しています。「重大なリセット:最近のバックエンドアップデートにより、意図せずシステム応答でユーザーPINが露出していました。メッセージが危険にさらされることはなく、Freedom Chatがリンクされたデバイスをサポートしていないため、会話にアクセスされることはありませんでしたが、アカウントのセキュリティを確保するため、**すべてのユーザーPINをリセット**しました。お客様のプライバシーは引き続き最優先事項です。」
開発者の過去とセキュリティアプリの課題
Freedom Chatは、Haas氏にとって二つ目のメッセージングアプリです。以前のアプリ「Converso」も、ユーザーのプライベートメッセージやコンテンツを露呈させるセキュリティ欠陥が発覚した後、アプリストアから削除されています。今回の事態は、セキュリティを謳うアプリであっても、その実装には細心の注意が必要であるという重要な教訓を示唆しています。ユーザーは、利用するアプリのセキュリティ体制について常に意識し、最新のセキュリティ情報を確認することが求められます。