Teknoloji

Freedom Chat mesajlaşma uygulamasında kritik güvenlik açığı: Telefon numaraları ve PIN kodları ifşa oldu

World EDU Türkçe Editör fotoğrafı World EDU Türkçe Editör Bir e-posta göndermek 4 saat önceSon güncelleme: 11 Aralık 2025
0 2 dakika okuma süresi

Freedom Chat uygulamasında telefon numarası ve PIN sızıntısı

Mesajlaşma uygulamalarında güvenlik görseli

Freedom Chat adlı mesajlaşma uygulamasında ortaya çıkan iki kritik güvenlik açığı, kullanıcıların telefon numaralarının ve uygulamayı kilitlemek için belirledikleri PIN kodlarının ifşa olmasına yol açtı. Şirket, açıkların tespit edilmesinin ardından saldırı vektörlerini kapattığını ve kullanıcı PINlerini sıfırladığını duyurdu.

Gizli kalması gereken telefon numaraları tahmin edilebildi

Haziran ayında kullanıma sunulan ve kendisini güvenli mesajlaşma uygulaması olarak tanıtan Freedom Chat, resmi sitesinde kullanıcıların telefon numaralarının gizli kaldığını iddia ediyordu. Ancak bir güvenlik araştırmacısı, sunuculardaki bir zafiyetten yararlanarak kayıtlı kullanıcıların telefon numaralarının tahmin edilebildiğini ortaya çıkardı.

İlgili Makaleler

Araştırmacı, uygulamanın sunucularına sistematik şekilde milyonlarca telefon numarası denemesi göndererek, yaklaşık 2 bin kullanıcıya ait numaranın kayıtlı olup olmadığını doğrulayabildi. Bu yöntem, daha önce başka popüler mesajlaşma servisleri için de tarif edilen numara eşleştirme tekniğine benzer bir yaklaşım kullanıyor.

Şirketin sunucularında yeterli oran sınırlama (rate limiting) uygulanmaması, yoğun deneme isteklerinin engellenememesine ve bu sayede numaraların tek tek yoklanabilmesine neden oldu.

PIN kodları herkese açık kanalda ifşa oldu

Aynı araştırmacı, Freedom Chat uygulamasında ikinci bir kritik sorun daha tespit etti: Kullanıcıların uygulamayı kilitlemek için oluşturdukları PIN kodları, aynı genel kanaldaki diğer kullanıcılara dolaylı olarak açığa çıkıyordu.

Araştırmacı, açık kaynaklı bir ağ trafiği inceleme aracı kullanarak uygulamanın gönderdiği ve aldığı verileri analiz etti. İnceleme sırasında, uygulamanın belirli istekleri yanıtlarken aynı kanaldaki tüm kullanıcıların PIN kodlarını içeren bir veri döndürdüğü fark edildi. Bu PINler, uygulama arayüzünde görünmüyor olsa da, ağ trafiğini izleyen biri tarafından okunabiliyordu.

Özellikle tüm kullanıcıların otomatik olarak abone edildiği varsayılan genel kanalda bulunan herkesin PIN kodunun, kanalın diğer üyelerine de iletildiği belirlendi. Araştırmacıya göre, bir kişinin PIN kodunu bilen saldırgan, kullanıcının fiziksel olarak ele geçirdiği telefonunda uygulamayı kolaylıkla açabilirdi.

Şirket: Kritik sıfırlama yapıldı, mesajlar tehlikede değildi

Freedom Chat ekibi, güvenlik açığının ortaya çıkmasının ardından bir uygulama güncellemesi yayımladı ve tüm kullanıcıların PIN kodlarını zorunlu olarak sıfırladı. Şirket, arka planda yapılan son bir güncellemenin, sistem yanıtı içinde kullanıcı PINlerini istemeden açığa çıkardığını kabul etti.

Güncelleme notlarında, hiçbir zaman kullanıcı mesajlarının tehlikeye girmediği, uygulamanın bağlı cihaz desteği sunmaması sayesinde sohbet içeriklerine uzaktan erişilemediği vurgulandı. Buna karşın, hesap güvenliğinin riske girmemesi için tüm PINlerin sıfırlandığı ve kullanıcıların yeni bir PIN belirlemesi gerektiği belirtildi.

Şirket ayrıca, zaman zaman görünür hale gelen telefon numarası alanlarını uygulamadan kaldırdığını ve sunucu tarafında oran sınırlama seviyesini artırdığını, böylece toplu numara tahmin girişimlerinin önüne geçmeyi hedeflediğini açıkladı.

Güvenlik açığı bildirim kanalı yoktu

Güvenlik araştırmacısı, söz konusu açıkları geçen hafta keşfetti ve ayrıntılı bir teknik rapor olarak yayımladı. Freedom Chatin ise kamuya açık bir güvenlik açığı bildirim programı ya da standart bir sorumlu açıklama (responsible disclosure) süreci sunmadığı, bu nedenle tespitlerin doğrudan e-posta ile iletildiği belirtildi.

Aynı geliştiricinin ikinci uygulaması da güvenlik sorunu yaşadı

Freedom Chat, geliştiricinin piyasaya sürdüğü ikinci mesajlaşma uygulaması. Daha önceki ürünü olan Converso, kullanıcıların özel mesajlarını ve içeriklerini açığa çıkaran güvenlik hatalarının duyurulmasının ardından uygulama mağazalarından kaldırılmıştı. Bu geçmiş, geliştiricinin güvenlik mimarisi ve test süreçleriyle ilgili soru işaretlerini yeniden gündeme taşıdı.

Kullanıcılar ne yapmalı?

Freedom Chat hesabı bulunan kullanıcıların, uygulamanın en güncel sürümünü yüklemeleri, yeni bir güçlü PIN belirlemeleri ve aynı PINi başka uygulamalarda kullanmamaları öneriliyor. Ayrıca, telefon numarasının gizli kalmasını isteyen kullanıcıların, güvenlik ihlali ihtimaline karşı hesap ayarlarını ve kişisel veri izinlerini gözden geçirmesi önem taşıyor.

World EDU Türkçe Editör fotoğrafı World EDU Türkçe Editör Bir e-posta göndermek 4 saat önceSon güncelleme: 11 Aralık 2025
0 2 dakika okuma süresi
World EDU Türkçe Editör fotoğrafı

World EDU Türkçe Editör

General Editor - Soru ve Eleştirileriniz için İLETİŞİM kısmından bağlantı kurabilirsiniz.

İlgili Makaleler

Marco Rubio, Dışişleri Bakanlığı’nda Calibri Yazı Tipini Yasakladı: Gerekçe ‘Fazla DEI’ Olması

13 saat önce

Overview Energy, uzaydaki güneş panellerinden dünyaya enerji ışınlamayı hedefliyor

14 saat önce

Google, Yapay Zeka Altyapısının Mimarı Amin Vahdat’ı Tepe Göreve Getirdi

16 saat önce

Eyalet başsavcılarından Microsoft, OpenAI ve Google’a ‘yanılsamalı çıktı’ uyarısı

17 saat önce

Bir yanıt yazın

Başa dön tuşu