La popolare app di videochiamata e messaggistica JusTalk sostiene di essere sicura e criptata. Ma una falla nella sicurezza ha dimostrato che l’applicazione non è né sicura né criptata, dopo che è stata trovata online un’enorme cache di messaggi privati non criptati degli utenti.

L’app di messaggistica è ampiamente utilizzata in Asia e ha un pubblico internazionale in forte espansione, con 20 milioni di utenti in tutto il mondo. Google Play elenca JusTalk Kids, la versione compatibile con i bambini della sua app di messaggistica, ha superato il milione di download su Android.

JusTalk afferma che entrambe le sue app sono crittografate end-to-end – dove solo le persone coinvolte nella conversazione possono leggere i messaggi – e si vanta sul suo sito web che “solo tu e la persona con cui comunichi potete vederli, leggerli o ascoltarli: Nemmeno il team di JusTalk potrà accedere ai vostri dati!”.

Ma un’analisi dell’enorme cache di dati interni, vista da TechCrunch, dimostra che queste affermazioni non sono vere. I dati comprendono milioni di messaggi degli utenti di JusTalk, con la data e l’ora precise di invio e i numeri di telefono del mittente e del destinatario. I dati contengono anche le registrazioni delle chiamate effettuate utilizzando l’applicazione.

Ricercatore di sicurezza Anurag Sen ha trovato i dati questa settimana e ha chiesto aiuto a TechCrunch per segnalarli all’azienda. Juphoon, la società di cloud con sede in Cina che sta dietro all’app di messaggistica, ha dichiarato di aver scorporato il servizio nel 2016 e di essere ora di proprietà e gestita da Ningbo Jus, un’azienda che sembra condividere lo stesso ufficio indicato sul sito web di Juphoon. Ma nonostante i molteplici tentativi di contattare il fondatore di JusTalk, Leo Lv, e altri dirigenti, le nostre e-mail non hanno ricevuto risposta e la società non ha mostrato alcun tentativo di rimediare alla perdita. Un messaggio di testo inviato al telefono di Lv è stato contrassegnato come consegnato ma non letto.

Poiché ogni messaggio registrato nei dati conteneva tutti i numeri di telefono della stessa chat, è stato possibile seguire intere conversazioni, anche di bambini che usavano l’applicazione JusTalk Kids per chattare con i loro genitori.

I dati interni includevano anche le posizioni granulari di migliaia di utenti raccolte dai telefoni degli utenti, con grandi gruppi di utenti negli Stati Uniti, nel Regno Unito, in India, Arabia Saudita, Thailandia e Cina continentale.

Secondo Sen, i dati contenevano anche registrazioni di una terza applicazione, JusTalk 2° numero di telefono, che consente agli utenti di generare numeri di telefono virtuali ed effimeri da utilizzare invece di comunicare il proprio numero di cellulare privato. Un esame di alcuni di questi record rivela sia il numero di cellulare dell’utente che tutti i numeri di telefono effimeri generati.

Non stiamo rivelando dove o come si possano ottenere i dati, ma stiamo valutando la possibilità di renderli pubblici dopo aver trovato prove che Sen non è stato l’unico a scoprire i dati.

Questa è l’ultima di una serie di fuoriuscite di dati in Cina. All’inizio del mese un enorme database di circa 1 miliardo di residenti cinesi è stato trafugato da un database della polizia di Shanghai memorizzato nel cloud di Alibaba e alcune parti dei dati sono state pubblicate online. Pechino non ha ancora commentato pubblicamente la fuga di notizie, ma i riferimenti alla violazione sui social media sono stati ampiamente censurati.



Source link