Популярное приложение для видеозвонков и обмена сообщениями JusTalk утверждает, что оно безопасно и зашифровано. Но брешь в системе безопасности показала, что этот мессенджер не является ни безопасным, ни зашифрованным. В сети был обнаружен огромный кеш незашифрованных личных сообщений пользователей.
Этот мессенджер широко используется в Азии и быстро развивается в мире, сейчас у него уже 20 миллионов пользователей. Google Play говорит, что JusTalk Kids, удобная для детей и совместимая версия приложения для обмена сообщениями, имеет более 1 миллиона загрузок для Android.
Создатели говорят, что все приложения зашифрованы сквозным шифрованием, и только участники разговора могут читать сообщения. На своем веб-сайте JusTalk утверждает, что «только вы и человек, с которым вы общаетесь, можете видеть, читать или слушать сообщения: даже команда JusTalk не получит доступ к вашим данным!».
Но обнаруженный огромный кэш внутренних данных доказывает, что эти утверждения не соответствуют действительности. Данные включают миллионы пользовательских сообщений JusTalk, а также точную дату и время их отправки, а также номера телефонов отправителя и получателя. В дампе также есть записи звонков, которые были сделаны с помощью приложения.
Исследователь безопасности Анураг Сен нашел эти данные на этой неделе. Juphoon, китайская облачная компания, стоящая за приложением для обмена сообщениями, заявила, что создала сервис в 2016 году и теперь он принадлежит и управляется Ningbo Jus, компанией, которая, по-видимому, находится в том же офисе, что и Juphoon. Но, несмотря на многочисленные попытки связаться с основателем JusTalk Лео Львом и другими руководителями, электронные письма не получили ответа и компания не предприняла никаких попыток устранить утечку.
Поскольку каждое сообщение в базе содержит номер телефона, можно отслеживать целые разговоры. В том числе от детей, которые использовали приложение JusTalk Kids для общения со своими родителями.
Внутренние данные также включают подробные сведения о местонахождении тысяч пользователей, собранные с их телефонов, множества людей в США, Великобритании, Индии, Саудовской Аравии, Таиланде и материковом Китае.
По словам Сена, данные также содержат записи из третьего приложения, JusTalk 2nd Phone Number. Оно позволяет пользователям генерировать виртуальные телефонные номера вместо того, чтобы выдавать свой личный номер мобильного телефона. Обзор некоторых из этих записей показывает как номер мобильного телефона пользователя, так и все эфемерные номера телефонов, которые он сгенерировал.