Компанія Converso вирішила вилучити додаток для обміну повідомленнями з магазинів Google (Android) та Apple (iOS). Причина в тому, що один незалежний блогер виявив у ньому небезпечну вразливість, яку хакери можуть використати для отримання контролю над пристроями.
Додаток був випущений у вересні минулого року, а вразливість виявив користувач Crnković, незалежний блогер, що спеціалізується на аналізі протоколів, які використовуються для шифрування даних та антивірусних систем. Він зробив це відкриття, аналізуючи версію програми Converso, що працює на пристроях Android. Його дослідження виявило посилання на алгоритми шифрування AES (Advanced Encryption Standard) та RSA (Rivest-Shamir-Adleman). Саме ці механізми лежать в основі обіцяного Converso безпечного зв'язку. Блогер також відзначив вбудований комплект розробки програмного забезпечення (SDK) від Seald, відомого постачальника шифрування та аутентифікації з відкритим ключем.
Ще одним тривожним аспектом висновків Црнковича стала база даних, розміщена в Google Cloud, з якою додаток Converso обмінюється даними, і яка не була захищена жодною антивірусною системою. Ця база даних, що викликає занепокоєння, була доступною для широкого загалу і містила цілу низку конфіденційної інформації: зашифрований зміст повідомлень, приватні ключі шифрування, метадані повідомлень і навіть телефонні номери користувачів. Компанія Converso вжила швидких заходів для пом'якшення наслідків цього приватного розслідування. На додаток до вилучення свого додатку з магазинів Google і Apple, компанія очистила свій веб-сайт від будь-яких заяв про те, що вона пропонує наскрізне шифрування.
"Належним чином реалізоване наскрізне шифрування гарантує, що відправник і одержувач можуть бачити зміст повідомлення. Крім того, за такого сценарію, сам постачальник послуг не повинен мати можливості розшифрувати його. Однак наявність приватних ключів шифрування в розкритій базі даних може дозволити будь-якій особі, яка має доступ до цих ключів, потенційно розшифрувати зашифровані повідомлення, порушуючи конфіденційність користувачів" – каже Маріуш Політович з Marken Systemy Antywirusowe, польського дистриб'ютора програмного забезпечення Bitdefender.
Converso стверджує, що вразливість у правилах безпеки Firebase була виправлена, і запрошує користувачів протестувати програму. Компанія також повідомляє, що інша вразливість у попередньо визначених ключах дешифрування вже реалізована, і компанія лише чекає на отримання нових облікових даних, щоб поточні користувачі могли пройти повторну аутентифікацію.
