Nowa usługa przesyłania wiadomości, która twierdzi, że stawia prywatność na pierwszym miejscu, wycofała żądania kompleksowego szyfrowania ze swojej strony internetowej i aplikacji zarówno ze sklepów z oprogramowaniem Apple, jak i Google po wezwaniu online.
Converso – aplikacja komunikacyjna wprowadzona na rynek we wrześniu 2022 r. – przedstawia się jako „aplikacja do przesyłania wiadomości nowej generacji, która zapewnia całkowitą prywatność rozmów”. Według strony internetowej dewelopera obejmuje to „prawnie zastrzeżony najnowocześniejsza technologia szyfrowania typu end-to-end, „brak przechowywania wiadomości na serwerach” orazzdecydowanie Zakaz wykorzystywania danych użytkownika. ”Twierdził, że może wytrzymać zagrożenia bezpieczeństwa takie jak Signal i WhatsApp.
Bloger Crnkovi, który interesuje się protokołami szyfrowania, usłyszał o Converso z reklamy w podcaście i postanowił sprawdzić, czy oprogramowanie spełniło oczekiwania.
W tym celu załadował apk Powiedział, że znalazł kod Converso odwołujący się do algorytmów szyfrowania AES i RSA oraz SDK Sealda do szyfrowania i uwierzytelniania za pomocą klucza publicznego.
Co najważniejsze i niepokojące, Crnković odkrył, że aplikacja komunikuje się z bazą danych hostowaną przez Google Cloud, którą jej twórcy pozostawili publicznie otwartą. Powiedziano nam, że ta baza danych Firestore zawiera zaszyfrowaną treść wiadomości, metadane o wiadomościach ludzi, ich klucze szyfrujące, numery telefonów i inne. Zdaniem badacza zasadniczo każdy mógłby pobrać te informacje i zdekodować wiadomość od nieznajomego przekazaną przez aplikację.
Crankowicz podsumował:
„Anatomy of Converso było dla mnie w dużej mierze ćwiczeniem polegającym na nauce na bieżąco, ponieważ nie mam wcześniejszego doświadczenia z inżynierią wsteczną aplikacji mobilnych” — powiedział Crankovich. dziennik. „Byłem zszokowany każdym błędem o wiele gorszym”.
Wydawnictwo Crnkovic artykuł O tych ustaleniach 10 maja i dziennik Skontaktowałem się z Converso 12 maja w celu uzyskania odpowiedzi. Do 13 maja większość sformułowań na stronie – w tym „zastrzeżone” twierdzenia E2EE – albo zniknęła, albo została nieco stonowana.
Tanner Haas, dyrektor generalny i założyciel Converso, w długim e-mailu do dziennikPowiedział, że jego startup „bardzo poważnie traktuje kwestie prywatności, a kiedy zostaliśmy poinformowani o lukach w zabezpieczeniach, natychmiast pracowaliśmy nad ich jak najszybszym załataniem”.
„Wszelkie informacje o użytkownikach, numerach telefonów i danych są chronione i atakujący nie mają do nich dostępu” – powiedział Haas. Cóż, mamy taką nadzieję teraz. Odmówił odpowiedzi na pytanie dotyczące modułu śledzącego Google Analytics w aplikacji, którego obecność w aplikacji prywatności jest mile widziana przez niektórych w świecie informacji i komunikacji.
Zapytany o protokoły szyfrowania używane przez Converso, Haas polecił dziennik Do Zapieczętowane miejsce.
Zapytaliśmy również firmę Haas, czy Converso używa Seald jako jedynego urzędu certyfikacji do mapowania tożsamości na klucze publiczne, jak zauważył Crnković na swoim blogu.
„Chociaż Seald jest używany jako zewnętrzny urząd certyfikacji, istnieją dodatkowe kroki uwierzytelniania mające na celu uniemożliwienie komukolwiek czytania chronionych wiadomości innych użytkowników” – napisał Haas w e-mailu. Obejmuje to uniemożliwianie użytkownikom dostępu do tekstów zaszyfrowanych, które nie są dla nich przeznaczone.
Usługa przesyłania wiadomości „faktycznie przebudowała przepływ uwierzytelniania aplikacji, zanim ujawniono jakiekolwiek potencjalne problemy. Wszelkie tajemnice, które wyciekły po stronie klienta, pochodzą ze starszej wersji aplikacji i nikt w najnowszych aktualizacjach nie używa tożsamości z poprzedniej wersji”.
Haas zachęcał Crnkovicia do odzyskania Converso za 60 dni z „tym samym entuzjazmem”, co oryginalny blog. Powtórzył również, że „nigdy nie mieliśmy i nigdy nie będziemy mieć komercyjnego wykorzystania danych użytkowników”.
Ponadto aplikacja została „wstrzymana” w App Store i Google Play „na czas usunięcia i poprawy wszelkich pozostałych luk w zabezpieczeniach”.
Niech rozpocznie się odliczanie. ®