Tech

Le démarrage de l’application de cryptage rétracte les revendications de confidentialité et les retire des magasins après enquête • Le registre

Un nouveau service de messagerie qui prétend donner la priorité à la confidentialité a retiré les revendications de chiffrement de bout en bout de son site Web et de son application des magasins de logiciels Apple et Google après avoir été appelé en ligne.

Converso – une application de communication lancée en septembre 2022 – se présente comme une «application de messagerie de nouvelle génération qui garde vos conversations complètement privées». Ceci, selon le site Web du développeur, comprend « propriétaire technologie de cryptage de bout en bout à la pointe de la technologie, « pas de stockage des messages sur les serveurs » etcertainement Aucune utilisation des données de l’utilisateur. » Il a affirmé qu’il pouvait résister à Signal et WhatsApp sur les risques de sécurité.

Un blogueur de Crnkovi qui s’intéresse aux protocoles de cryptage a entendu parler de Converso à partir d’une publicité sur un podcast et a décidé de venir voir si le logiciel était à la hauteur du battage médiatique.

À cette fin, il a téléchargé apk Il a déclaré avoir trouvé le code de Converso faisant référence aux algorithmes de cryptage AES et RSA, ainsi qu’au SDK de Seald pour le cryptage et l’authentification par clé publique.

De manière cruciale et troublante, Crnković a découvert que l’application communique avec une base de données hébergée sur Google Cloud que ses développeurs ont laissée ouverte au public. On nous dit que cette base de données Firestore comprend le contenu des messages cryptés, des métadonnées sur les messages des personnes, leurs clés de cryptage, leurs numéros de téléphone, etc. Fondamentalement, il serait possible pour n’importe qui de récupérer ces informations et de décoder le message d’un étranger transmis via l’application, selon le chercheur.

Crankovich a conclu :

« L’anatomie de Converso était en grande partie un exercice d’apprentissage au fur et à mesure pour moi, car je n’ai aucune expérience préalable de l’ingénierie inverse des applications mobiles », a déclaré Crankovich. enregistrer. « J’ai été choqué par chaque erreur bien pire. »

Édition Crnkovic article A propos de ces découvertes le 10 mai, et enregistrer J’ai contacté Converso le 12 mai pour une réponse. Le 13 mai, une grande partie du libellé du site, y compris les revendications « propriétaires » d’E2EE, avait soit disparu, soit été légèrement atténuée.

Tanner Haas, PDG et fondateur de Converso, dans un long e-mail à enregistrerIl a déclaré que sa startup « prenait les problèmes de confidentialité très au sérieux, et lorsque nous avons été informés des vulnérabilités, nous avons immédiatement travaillé pour les corriger le plus rapidement possible ».

« Toutes les informations sur les utilisateurs, les numéros de téléphone et les données sont protégées et inaccessibles aux attaquants », a déclaré Haas. Eh bien, nous l’espérons maintenant. Et il a refusé de répondre à une question sur le tracker Google Analytics dans l’application, dont la présence dans l’application de confidentialité est mal vue par certains dans le monde de l’information et des communications.

Interrogé sur le ou les protocoles de cryptage utilisés par Converso, Haas a dirigé enregistrer pour Site scellé.

Nous avons également demandé à Haas si Converso utilise Seald comme seule autorité de certification de l’application pour mapper les identités aux clés publiques, comme Crnković l’a noté sur son blog.

« Bien que Seald soit utilisé comme autorité de certification tierce, il existe des étapes d’authentification supplémentaires conçues pour empêcher quiconque de lire les messages protégés d’autres utilisateurs », a écrit Haas dans l’e-mail. Cela inclut d’empêcher les utilisateurs d’accéder à des textes chiffrés qui ne leur sont pas destinés.

Le service de messagerie avait « en fait reconstruit le flux d’authentification de l’application avant que tout problème potentiel ne soit révélé. Tous les secrets divulgués côté client proviennent d’une ancienne version de l’application, et personne sur les dernières mises à jour n’utilise les identités de la version précédente. »

Haas a encouragé Crnković à reprendre Converso dans 60 jours avec « le même enthousiasme » que le blog d’origine. Il a également réitéré que « nous n’avons jamais eu et n’aurons jamais d’utilisation commerciale des données des utilisateurs ».

De plus, l’application a été « suspendue » de l’App Store et de Google Play « pendant que nous corrigeons et améliorons les vulnérabilités de sécurité restantes ».

Que le compte à rebours commence. ®

Cunégonde Lestrange

"Gourou de Twitter. Écrivain en herbe. Fauteur de troubles typique. Entrepreneur. Étudiant hipster."

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer
Fermer