Компания Converso решила изъять приложение для обмена сообщениями из магазинов Google (Android) и Apple (iOS). Причина в том, что один независимый блогер обнаружил в нем опасную уязвимость, которую хакеры могут использовать для получения контроля над устройствами.
Приложение было выпущено в сентябре прошлого года, а уязвимость обнаружил пользователь Crnković, независимый блогер, специализирующийся на анализе протоколов, используемых для шифрования данных и антивирусных систем. Он сделал это открытие, анализируя версию приложения Converso, работающего на устройствах Android. Его исследование выявило ссылки на алгоритмы шифрования AES (Advanced Encryption Standard) и RSA (Rivest-Shamir-Adleman). Именно эти механизмы лежат в основе обещанной Converso безопасной связи. Блогер также отметил встроенный комплект разработки программного обеспечения (SDK) от Seald, известного поставщика шифрования и аутентификации с открытым ключом.
Еще одним тревожным аспектом выводов Црнковича стала база данных, размещенная в Google Cloud, с которой приложение Converso обменивается данными, и которая не была защищена ни одной антивирусной системой. Эта база данных, вызывающая беспокойство, была доступна для широкой общественности и содержала целый ряд конфиденциальной информации: зашифрованное содержание сообщений, приватные ключи шифрования, метаданные сообщений и даже телефонные номера пользователей. Компания Converso приняла быстрые меры для смягчения последствий этого частного расследования. В дополнение к изъятию своего приложения из магазинов Google и Apple, компания очистила свой веб-сайт от любых заявлений о том, что она предлагает сквозное шифрование.
"Надлежащим образом реализованное сквозное шифрование гарантирует, что отправитель и получатель могут видеть содержание сообщения. Кроме того, при таком сценарии, сам поставщик услуг не должен иметь возможности расшифровать его. Однако наличие частных ключей шифрования в раскрытой базе данных может позволить любому лицу, имеющему доступ к этим ключам, потенциально расшифровать зашифрованные сообщения, нарушая конфиденциальность пользователей" – говорит Мариуш Политович из Marken Systemy Antywirusowe, польского дистрибьютора программного обеспечения Bitdefender.
Converso утверждает, что уязвимость в правилах безопасности Firebase была исправлена, и приглашает пользователей протестировать программу. Компания также сообщает, что другая уязвимость в предварительно определенных ключах дешифровки уже реализована, и компания только ждет получения новых учетных данных, чтобы текущие пользователи могли пройти повторную аутентификацию.
