Beyaz Saray'daki ve Capitol Hill'deki birçok personel tarafından kullanılan güvenli mesajlaşma hizmeti Confide, sonuçta çok güvenli olmadığı ortaya çıktı.

Kredi: Confide
(Resim kredisi: Confide)

Yani bugün (8 Mart) tarafından yayınlanan bir rapor IOActive, saygın bir Seattle güvenlik firması. IOActive araştırmacıları, Confide'ın saldırganların kullanıcı oturumlarını ele geçirmesine ve kullanıcıyı başarıyla tahmin etmesine izin verdiğini keşfetti. şifreler, kişi bilgilerini çalmak, konuşmaları gizlice dinlemek ve hatta mesajları veya mesaj eklerini hacklemek.

IOActive, Confide'ın güvenlik açıklarını "kritik" olarak nitelendirdi ve araştırmacılarının erişim sağladığını kaydetti kullanıcı adları, telefon numaraları, e-posta adresleri dahil olmak üzere 7.000 Confide kullanıcısının hesap kayıtlarına ve genel şifreleme anahtarları.

IOActive, Confide'ın geliştiricilerini bilgilendirdiğini ve bulduğu tüm kusurların, hizmetin Windows, Mac, Android ve iOS için en son yazılım güncellemelerinde düzeltilmiş olması gerektiğini söyledi. Confide kullanıyorsanız, yazılımı şimdi güncelleyin.

DAHA: En İyi Şifreli Mesajlaşma Uygulamaları

Güvende olduğu iddia edilen bir haberci için, Confide'da İsviçre peynirinden daha fazla delik varmış gibi geliyor. IOActive raporu uygulamanın mesajları düzgün bir şekilde doğrulamadığını, "bu durum, performans aktörlerine oturum bilgilerini sızdırırdı ortadaki adam saldırısı."

Hizmete izin verildi şifrelenmemiş alıcıya mesajların herkes tarafından okunabilir olacağı bildirilmeden gönderilecek mesajlar ve "uygulama yeterince engelleyemedi "Uzun ve karmaşık yerine kısa ve basit olabilen" kullanıcı hesabı şifrelerine yönelik kaba kuvvet saldırıları, bir şifreyi tahmin etme görevini Daha kolay.

IOActive ekibi ayrıca "uygulamanın bir saldırganın gerçek adlar, e-posta adresleri ve telefon numaraları dahil olmak üzere tüm Confide kullanıcı hesaplarını numaralandırmasına izin verdiğini" de buldu.

IOActive, araştırmacılarının bunu nasıl başardığını detaylandırmadı, ancak benzer hesap toplama bir saldırgan, geçerli bir kullanıcı kimliğine sahip bir veritabanına ping attığında ve bu kullanıcıyla ilgili özel, kişisel bilgiler aldığında meydana geldi. Buradaki durum buysa, kısa sürede çok sayıda hesap bilgisini toplamak için veritabanı sorgularını otomatikleştirmek mümkün olabilirdi.

IOActive, geçen ay Confide'a bu kusurlardan bahsetti ve sorunları gideren güncellenmiş sürümler geçen hafta piyasaya sürülmeye başladı.

  • Akıllı Telefon Şifreleme: Bilmeniz Gerekenler
  • Verilerinizi Şifreleyen 13 Ücretsiz Yazılım Parçası
  • WikiLeaks CIA Hack Sizin ve Cihazlarınız İçin Ne Anlama Geliyor?

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.