Kolejna niebezpieczna aplikacja mobilna w sklepach Google i Apple
-
- Janusz Chustecki,
- 20.05.2023, godz. 10:24
Firma Converso podjęła decyzję o wycofaniu ze sklepów Google (system Android) i Apple (system iOS) aplikacji używanej do przesyłania wiadomości. Powodem jest to, że jeden z niezależnych blogerów wykrył w niej groźna lukę, którą hakerzy mogą wykorzystywać do przejmowania kontroli nad urządzeniami.
Premiera aplikacji miała miejsce we wrześniu zeszłego roku, a lukę wykrył użytkownik Crnković, niezależny bloger specjalizujący się w analizowaniu protokołów używanych do szyfrowania danych i systemów antywirusowych. Odkrycia dokonał podczas analizowania wersji aplikacji Converso uruchamianej na urządzeniach Android. Jego badanie ujawniło odniesienia zarówno do algorytmów szyfrowania AES (Advanced Encryption Standard), jak i RSA (Rivest-Shamir-Adleman). Są to mechanizmy, które stanowią podstawę obiecanej przez Converso bezpiecznej komunikacji. Bloger zauważył również wbudowany zestaw do tworzenia oprogramowania (SDK) firmy Seald, uznanego dostawcy szyfrowania i uwierzytelniania za pomocą klucza publicznego.
Niepokojącym aspektem ustaleń Crnkovicia była także niezabezpieczona przez żaden system antywirusowy baza danych hostowana przez chmurę Google Cloud, z którą aplikacja Converso wymienia dane. Ta baza danych, niepokojąco dostępna dla ogółu społeczeństwa, zawierała szereg poufnych informacji: zaszyfrowaną treść wiadomości, prywatne klucze szyfrujące, metadane wiadomości, a nawet numery telefonów użytkowników. Firma Converso podjęła szybkie kroki w celu złagodzenia skutków tego prywatnego śledztwa. Oprócz wycofania swojej aplikacji ze sklepów Google i Apple firma wyczyściła swoją witrynę internetową z wszelkich twierdzeń, że oferuje szyfrowanie typu end-to-end.
Zobacz również:
- Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
- Luka w zabezpieczeniach WordPress
„Prawidłowo zaimplementowane szyfrowanie typu end-to-end gwarantuje, że nadawca i odbiorca widzą treść wiadomości. Ponadto w tym scenariuszu sam usługodawca nie powinien być w stanie go odszyfrować. Jednak obecność prywatnych kluczy szyfrujących w ujawnionej bazie danych może umożliwić dowolnej osobie mającej dostęp do tych kluczy potencjalne odszyfrowanie zaszyfrowanych wiadomości, naruszając prywatność użytkowników” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Firma Converso twierdzi, że luka w zabezpieczeniach reguł Firebase została załatana i zaprasza użytkowników do przetestowania aplikacji. Informuje tez iż Inna luka w predefiniowanych kluczach deszyfrujących jest już zaimplementowana i firma czeka tylko na uzyskanie nowych poświadczeń, aby obecni użytkownicy zostali ponownie uwierzytelnieni.
Źródło: Marken Systemy Antywirusowe
