Aplikasi messenger yang mengklaim “super secure” membocorkan nomor telepon semua pengguna

 (ericdaigle.ca)
1 poin oleh GN⁺ 2025-12-16 | Belum ada komentar. | Bagikan ke WhatsApp
  • Ditemukan kerentanan serius pada aplikasi messenger bertema MAGA (kelompok konservatif AS) bernama Freedom Chat yang mengekspos nomor telepon dan kode PIN penggunanya
  • Aplikasi ini merupakan penerus proyek sebelumnya bernama Converso, yang juga pernah memiliki masalah kesalahan implementasi enkripsi dan kebocoran data
  • Hasil analisis menunjukkan bahwa melalui fitur channel, kode PIN semua anggota dikirim ke pengguna lain, dan melalui API sinkronisasi kontak dimungkinkan pencocokan nomor telepon-UID
  • Peneliti memastikan bahwa sama sekali tidak ada rate limiting, sehingga dalam sehari nomor telepon semua pengguna Freedom Chat dapat dikumpulkan
  • Insiden ini disebut sebagai contoh aplikasi yang “menekankan keamanan” tetapi justru gagal melindungi privasi dasar

Peralihan dari Converso ke Freedom Chat

  • Converso yang dirilis pada 2023 mengklaim memiliki “arsitektur terdesentralisasi tanpa server” dan “E2EE terbaru”, tetapi analisis peneliti crnković mengungkap bahwa semua klaim tersebut palsu
    • Pada kenyataannya, aplikasi menggunakan server terpusat dan layanan enkripsi pihak ketiga (Seald), serta kunci enkripsi dapat diturunkan dari informasi publik
    • Semua pesan diunggah ke bucket Firebase publik sehingga siapa pun dapat membacanya
  • Setelah itu, CEO Tanner Haas menarik aplikasi tersebut dan me-rebranding-nya menjadi Freedom Chat dengan alasan “kekhawatiran privasi dari kubu konservatif”
    • Ia menyebut pelajaran untuk “menerima kritik dan memperbaiki”, tetapi masalah keamanan kembali terulang

Struktur dan fitur Freedom Chat

  • Aplikasi menggunakan pendaftaran berbasis nomor telepon dan verifikasi kode 2FA, sedangkan pengaturan PIN bersifat opsional
  • Fitur utamanya adalah chat 1:1 dan channel (Channels), dengan struktur yang mirip Telegram
  • Aplikasi mempromosikan fitur pemblokiran screenshot sebagai “fitur keamanan”, padahal tidak berkaitan dengan keamanan yang sebenarnya

Kebocoran kode PIN

  • Hasil permintaan API /channel menunjukkan bahwa pada objek pengguna (user object) milik 1.519 anggota channel terdapat field PIN
    • Bersama UID tiap pengguna, kunci Seald, tanggal pembuatan, dan lainnya, kode PIN 6 digit terekspos dalam bentuk plaintext
  • Setelah membuat akun baru dan memeriksanya, terlihat bahwa PIN milik sendiri ikut disertakan apa adanya dalam data respons
  • Artinya, PIN semua pengguna yang masih berada di channel default terekspos ke pengguna lain

Kerentanan pencocokan nomor telepon

  • API /user/numbers memeriksa apakah suatu kontak ada dengan cara yang sama seperti WhatsApp
    • Jika nomor yang disertakan dalam permintaan adalah pengguna Freedom Chat, API mengembalikan UID dan kunci Seald
  • Peneliti memastikan bahwa API ini sama sekali tidak memiliki rate limiting, sehingga semua nomor telepon AS dapat diuji satu per satu
    • Akibatnya, pencocokan nomor telepon-UID menjadi mungkin, dan jika digabungkan dengan data UID-PIN yang lebih dulu terekspos, maka pemetaan nomor telepon-PIN pun lengkap

Eksperimen kebocoran data seluruh pengguna

  • Peneliti menulis skrip Python untuk mengirim permintaan otomatis ke semua nomor telepon Amerika Utara (kombinasi 7 digit × kode area)
    • Setiap permintaan mengirim 40.000 nomor, dengan waktu respons rata-rata sekitar 1,5 detik
    • Selama 27 jam, semua permintaan berhasil diproses sehingga seluruh nomor telepon pengguna Freedom Chat berhasil dikumpulkan
  • Server terus merespons tanpa rate limiting maupun pemblokiran, sehingga data berada dalam kondisi sepenuhnya dapat diakses

Respons dan tindak lanjut

  • 2025-11-23: Kerentanan ditemukan
  • 2025-12-04: Jurnalis TechCrunch Zack Whittaker mengungkap kerentanan tersebut kepada Freedom Chat
  • 2025-12-05: Pihak Freedom Chat menjelaskan bahwa “PIN bukan untuk pemulihan pesan, dan proses audit sudah berjalan”
  • 2025-12-09: Pemberitahuan bahwa perbaikan telah selesai
  • 2025-12-11: Laporan ini dan artikel TechCrunch dipublikasikan secara bersamaan

Pelajaran utama

  • Freedom Chat mengusung slogan “super secure”, tetapi tidak memiliki desain autentikasi, rate limiting, dan perlindungan data yang mendasar
  • Akibatnya, nomor telepon dan PIN semua pengguna terekspos, sehingga fitur keamanannya praktis tidak berfungsi
  • Kasus ini dinilai sebagai contoh representatif dari kesenjangan antara pemasaran keamanan dan implementasi nyata

Bacaan terkait

Belum ada komentar.

Belum ada komentar.