Ảnh minh họa. Republic

Ứng dụng nhắn tin Freedom Chat, ra mắt tháng 6 năm nay, tự giới thiệu là nền tảng liên lạc “an toàn và riêng tư”, tập trung vào mã hóa và hạn chế thu thập dữ liệu người dùng được nhiều người dùng Bắc Mỹ quan tâm. Sản phẩm được phát triển bởi doanh nhân công nghệ người Mỹ Tanner Haas, đã từng xây dựng một ứng dụng nhắn tin khác có tên Converso. Tuy nhiên, dự án trước đó bị gỡ khỏi các kho ứng dụng sau khi lộ nhiều lỗ hổng nghiêm trọng liên quan đến tin nhắn và nội dung riêng tư.

Chuyên gia bảo mật Eric Daigle đã phát hiện sự cố bảo mật vào tuần trước và chia sẻ với trang TechCrunch, trong bối cảnh Freedom Chat không có chương trình tiếp nhận báo cáo lỗ hổng. Sau khi nhận được cảnh báo từ TechCrunch, nhà sáng lập Tanner Haas xác nhận ứng dụng đã được cập nhật và toàn bộ mã PIN người dùng đã được đặt lại.

Haas cho biết công ty cũng đang xóa bỏ các trường hợp số điện thoại người dùng “vô tình hiển thị”, đồng thời bổ sung giới hạn tần suất truy vấn trên máy chủ để ngăn việc thử đoán hàng loạt.

Theo Daigle, máy chủ Freedom Chat cho phép bất kỳ ai gửi hàng triệu yêu cầu để kiểm tra xem một số điện thoại có tồn tại trong hệ thống hay không trong hệ thống. Bằng kỹ thuật này, ông có thể liệt kê số điện thoại của gần 2.000 người dùng kể từ khi dịch vụ ra mắt. Đây cũng là phương thức tương tự mà nhóm nghiên cứu Đại học Vienna mô tả trong báo cáo tháng trước, khi họ đối chiếu hàng tỷ số điện thoại với máy chủ WhatsApp để thu thập dữ liệu của khoảng 3,5 tỷ tài khoản.

Daigle cũng phát hiện Freedom Chat làm lộ mã PIN của người dùng. Khi phân tích lưu lượng mạng của ứng dụng, ông nhận thấy máy chủ phản hồi bằng mã PIN của tất cả tài khoản cùng tham gia một kênh trò chuyện công khai dù mã này không hiển thị trong giao diện ứng dụng.

Điều này đồng nghĩa bất kỳ ai ở trong kênh mặc định, nơi mọi người được tự động thêm vào khi đăng ký đều có thể nhận được mã PIN của người khác. Với mã PIN, tin tặc có thể mở ứng dụng trên thiết bị bị đánh cắp của nạn nhân.

Trong thông báo cập nhật ứng dụng được công bố ngày 7/12, Freedom Chat cho biết: “Một lỗi nghiêm trọng đã khiến mã PIN bị lộ trong phản hồi hệ thống. Không có tin nhắn nào gặp rủi ro và Freedom Chat không hỗ trợ đăng nhập đa thiết bị, dữ liệu trò chuyện vẫn an toàn. Tuy nhiên, chúng tôi đã đặt lại toàn bộ mã PIN để bảo vệ tài khoản người dùng.”

Freedom Chat là ứng dụng nhắn tin thứ hai của Haas. Sản phẩm đầu tiên, Converso, từng bị gỡ khỏi các kho ứng dụng sau khi bị phát hiện rò rỉ tin nhắn và nội dung riêng tư của người dùng.

So với các nền tảng nhắn tin đã được kiểm chứng như Signal, WhatsApp hay Telegram, Freedom Chat vẫn còn rất mới và chưa trải qua các đợt kiểm thử bảo mật độc lập ở quy mô lớn. Signal nổi tiếng với giao thức mã hóa mạnh và quy trình minh bạch; WhatsApp có hạ tầng quy mô toàn cầu và cơ chế bảo vệ người dùng khá chặt chẽ; còn Telegram phát triển hệ sinh thái đa tính năng nhưng vẫn bị tranh luận về cách họ tự xây dựng giao thức mã hóa riêng.

Trong giai đoạn hiện tại, Freedom Chat khó có thể cạnh tranh với những nền tảng lớn. Để trở thành một ứng dụng phổ biến, nền tảng này sẽ cần thời gian để được cộng đồng kiểm thử độc lập, xây dựng cơ chế công bố lỗ hổng minh bạch và chứng minh năng lực bảo vệ dữ liệu trên quy mô toàn cầu. Vượt qua những thách thức này, Freedom Chat mới có thể tìm được chỗ đứng trong nhóm ứng dụng nhắn tin hướng tới quyền riêng tư.

An Lâm (Theo TechCrunch)