- Freedom Chat नाम के MAGA (अमेरिकी रूढ़िवादी खेमे) थीम वाले मैसेंजर ऐप में एक गंभीर कमजोरी मिली, जो यूज़र्स के फ़ोन नंबर और PIN कोड उजागर करती थी
- यह ऐप Converso नाम के पुराने प्रोजेक्ट का उत्तराधिकारी है, जिसमें पहले भी encryption implementation की गड़बड़ी और data exposure की समस्याएँ रही थीं
- विश्लेषण से पता चला कि channel फीचर के जरिए सभी सदस्यों के PIN कोड दूसरे यूज़र्स तक भेजे जा रहे थे, और contact sync API के जरिए फ़ोन नंबर-UID matching संभव थी
- शोधकर्ता ने पुष्टि की कि rate limiting बिल्कुल नहीं थी, इसलिए एक ही दिन में Freedom Chat के सभी यूज़र्स के फ़ोन नंबर इकट्ठा किए जा सकते थे
- इस घटना को ऐसे उदाहरण के रूप में देखा गया, जहाँ “security पर ज़ोर देने” वाला ऐप बुनियादी privacy protection तक देने में विफल रहा
Converso से Freedom Chat तक का बदलाव
- 2023 में लॉन्च हुए Converso ने “serverless decentralized structure” और “latest E2EE” का दावा किया था, लेकिन शोधकर्ता crnković के विश्लेषण से ये सभी दावे झूठे साबित हुए
- वास्तव में यह central server और third-party encryption service (Seald) का इस्तेमाल करता था, और encryption keys सार्वजनिक जानकारी से निकाली जा सकती थीं
- सभी messages public Firebase bucket में upload किए जा रहे थे, जिन्हें कोई भी देख सकता था
- इसके बाद CEO Tanner Haas ने ऐप वापस ले लिया और “रूढ़िवादी खेमे की privacy concerns” का हवाला देकर इसे Freedom Chat के रूप में rebrand किया
- उन्होंने “आलोचना स्वीकार करो और सुधार करो” जैसी सीख का ज़िक्र किया, लेकिन security problems फिर दोहराई गईं
Freedom Chat की संरचना और फीचर
- ऐप फ़ोन नंबर आधारित signup और 2FA code verification का इस्तेमाल करता है, जबकि PIN सेट करना वैकल्पिक है
- इसके मुख्य फीचर 1:1 chat और Channels हैं, जिनकी संरचना Telegram जैसी है
- ऐप screenshot blocking feature को “security feature” के रूप में प्रचारित करता था, लेकिन इसका वास्तविक सुरक्षा से कोई संबंध नहीं था
PIN कोड लीक
/channel API request के नतीजे में channel के 1,519 सदस्यों के user object में PIN field शामिल थी
- हर यूज़र के UID, Seald key, creation date आदि के साथ 6-अंकों का PIN कोड plain text में उजागर था
- नया account बनाकर जांचने पर पता चला कि खुद का PIN भी response data में जस का तस शामिल था
- यानी, default channel में मौजूद सभी यूज़र्स के PIN दूसरे यूज़र्स के सामने उजागर होने वाली संरचना थी
फ़ोन नंबर matching कमजोरी
/user/numbers API, WhatsApp की तरह contact के मौजूद होने या न होने की पुष्टि करती है
- request में शामिल नंबरों में अगर कोई Freedom Chat यूज़र हो, तो यह UID और Seald key लौटाती है
- शोधकर्ता ने पाया कि इस API पर rate limiting बिल्कुल नहीं थी, इसलिए सभी अमेरिकी फ़ोन नंबर क्रमवार टेस्ट किए जा सकते थे
- नतीजतन फ़ोन नंबर-UID matching संभव थी, और पहले से उजागर UID-PIN data के साथ जोड़ने पर फ़ोन नंबर-PIN mapping पूरी हो जाती थी
पूरे यूज़र डेटा लीक का प्रयोग
- शोधकर्ता ने Python script लिखकर उत्तरी अमेरिका के सभी फ़ोन नंबर (7-अंकों के संयोजन × area code) पर automated requests भेजीं
- हर request में 40,000 नंबर भेजे गए, और औसत response time लगभग 1.5 सेकंड था
- 27 घंटे तक सभी requests सफलतापूर्वक प्रोसेस हुईं, जिससे Freedom Chat के सभी यूज़र्स के फ़ोन नंबर इकट्ठा कर लिए गए
- server ने rate limiting या blocking के बिना response दिया, यानी डेटा पूरी तरह देखे जा सकने की स्थिति में था
प्रतिक्रिया और आगे की कार्रवाई
- 2025-11-23: कमजोरी का पता चला
- 2025-12-04: TechCrunch के पत्रकार Zack Whittaker ने Freedom Chat को कमजोरी की जानकारी दी
- 2025-12-05: Freedom Chat ने कहा, “PIN messages restore करने के लिए नहीं है, और audit process पहले से चल रही है”
- 2025-12-09: समस्या ठीक होने की सूचना दी गई
- 2025-12-11: यह रिपोर्ट और TechCrunch का लेख एक साथ प्रकाशित हुए
मुख्य सबक
- Freedom Chat ने “सुपर सिक्योर” होने का दावा किया, लेकिन बुनियादी authentication, rate limiting और data protection design का अभाव था
- नतीजतन सभी यूज़र्स के फ़ोन नंबर और PIN उजागर हो गए, और security features व्यावहारिक रूप से निष्प्रभावी साबित हुए
- इसे security marketing और वास्तविक implementation के बीच खाई दिखाने वाले एक प्रमुख उदाहरण के रूप में देखा जा रहा है
अभी कोई टिप्पणी नहीं है.