Messenger-App mit Anspruch auf „Super-Sicherheit“ leakt die Telefonnummern aller Nutzer

 (ericdaigle.ca)
1 Punkte von GN⁺ 2025-12-16 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Bei Freedom Chat, einer Messenger-App mit MAGA-Thema (US-konservatives Lager), wurde eine schwerwiegende Schwachstelle entdeckt, durch die Telefonnummern und PIN-Codes der Nutzer offengelegt wurden
  • Die App ist der Nachfolger eines früheren Projekts namens Converso, bei dem bereits in der Vergangenheit Fehler bei der Implementierung der Verschlüsselung und Probleme mit Datenlecks aufgetreten waren
  • Die Analyse zeigte, dass über die Kanal-Funktion die PIN-Codes aller Mitglieder an andere Nutzer übertragen wurden und über die Kontakt-Synchronisierungs-API eine Zuordnung von Telefonnummern zu UIDs möglich war
  • Der Forscher bestätigte, dass es überhaupt kein Rate Limiting gab und daher innerhalb eines Tages die Telefonnummern aller Freedom-Chat-Nutzer gesammelt werden konnten
  • Der Vorfall wird als Beispiel dafür angeführt, dass eine App, die „Sicherheit“ betont, letztlich nicht einmal beim grundlegenden Schutz personenbezogener Daten bestand

Der Wechsel von Converso zu Freedom Chat

  • Converso, veröffentlicht 2023, warb mit einer „serverlosen dezentralen Struktur“ und „modernem E2EE“, doch die Analyse des Forschers crnković zeigte, dass alle diese Behauptungen falsch waren
    • Tatsächlich wurden zentrale Server und ein externer Verschlüsselungsdienst (Seald) verwendet, und die Verschlüsselungsschlüssel ließen sich aus öffentlichen Informationen ableiten
    • Alle Nachrichten wurden in einen öffentlichen Firebase-Bucket hochgeladen und konnten von jedem eingesehen werden
  • Danach zog CEO Tanner Haas die App zurück und rebrandete sie als Freedom Chat mit Verweis auf „Datenschutzbedenken im konservativen Lager“
    • Er sprach davon, man müsse „Kritik annehmen und sich verbessern“, doch die Sicherheitsprobleme wiederholten sich

Struktur und Funktionen von Freedom Chat

  • Die App verwendet eine Registrierung auf Basis der Telefonnummer und eine 2FA-Code-Verifizierung; das Setzen einer PIN ist optional
  • Die Hauptfunktionen sind 1:1-Chats und Channels, mit einer Telegram-ähnlichen Struktur
  • Die App bewarb eine Sperre von Screenshots als „Sicherheitsfunktion“, was jedoch nichts mit tatsächlicher Sicherheit zu tun hatte

Leck der PIN-Codes

  • Im Ergebnis von API-Anfragen an /channel war in den user objects von 1.519 Kanalmitgliedern jeweils ein PIN-Feld enthalten
    • Zusammen mit UID, Seald-Schlüssel, Erstellungsdatum usw. wurde der sechsstellige PIN-Code im Klartext offengelegt
  • Nach dem Anlegen eines neuen Kontos zeigte sich zudem, dass die eigene PIN unverändert in den Antwortdaten enthalten war
  • Das bedeutet, dass die PIN aller Nutzer, die im Standard-Channel verblieben waren, anderen Nutzern offengelegt wurde

Schwachstelle bei der Zuordnung von Telefonnummern

  • Die API /user/numbers prüft wie bei WhatsApp, ob Kontakte existieren
    • Gehört eine in der Anfrage enthaltene Nummer zu einem Freedom-Chat-Nutzer, werden UID und Seald-Schlüssel zurückgegeben
  • Der Forscher stellte fest, dass diese API überhaupt kein Rate Limiting hatte und somit alle US-Telefonnummern der Reihe nach getestet werden konnten
    • Dadurch war eine Zuordnung von Telefonnummern zu UIDs möglich; kombiniert mit den zuvor offengelegten UID-PIN-Daten ließ sich daraus eine vollständige Zuordnung von Telefonnummern zu PINs erstellen

Experiment zum vollständigen Abfluss der Nutzerdaten

  • Der Forscher schrieb ein Python-Skript, das alle nordamerikanischen Telefonnummern (7-stellige Kombinationen × Vorwahl) automatisiert abfragte
    • Pro Anfrage wurden 40.000 Nummern gesendet, die durchschnittliche Antwortzeit lag bei etwa 1,5 Sekunden
    • Innerhalb von 27 Stunden wurden alle Anfragen erfolgreich verarbeitet, sodass die Telefonnummern aller Freedom-Chat-Nutzer vollständig gesammelt werden konnten
  • Der Server antwortete ohne Rate Limiting oder Sperrmaßnahmen und befand sich damit faktisch in einem Zustand vollständiger offener Dateneinsicht

Reaktion und weitere Maßnahmen

  • 2025-11-23: Schwachstelle entdeckt
  • 2025-12-04: Der TechCrunch-Reporter Zack Whittaker informierte Freedom Chat über die Schwachstelle
  • 2025-12-05: Freedom Chat erklärte, die PIN diene nicht zur Wiederherstellung von Nachrichten, und man befinde sich bereits in einem Audit-Prozess
  • 2025-12-09: Mitteilung, dass das Problem behoben wurde
  • 2025-12-11: Gleichzeitige Veröffentlichung dieses Berichts und des TechCrunch-Artikels

Zentrale Lehre

  • Freedom Chat warb mit „Super-Sicherheit“, doch grundlegende Konzepte für Authentifizierung, Rate Limiting und Datenschutz fehlten
  • Infolgedessen wurden die Telefonnummern und PINs aller Nutzer offengelegt, wodurch die Sicherheitsfunktionen faktisch wirkungslos waren
  • Der Fall gilt als typisches Beispiel für die Kluft zwischen Security-Marketing und tatsächlicher Implementierung

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.