【量子位 2025年12月12日讯】主打“安全通信”的即时通讯应用Freedom Chat曝出严重安全漏洞。12月11日,据TechCrunch报道,该应用存在两大漏洞:攻击者可批量猜测用户手机号,且同一公共频道内用户的应用解锁PIN码会被泄露。目前,开发者已发布更新修复漏洞,并重置所有用户PIN码,同时加强服务器限流机制防范恶意攻击,但此次事件仍引发用户对隐私安全的担忧——这已是该开发者旗下第二款因安全问题陷入争议的通讯应用。
两大高危漏洞:手机号可批量猜测,PIN码公屏“裸奔”
安全研究员埃里克·戴格尔(Eric Daigle)于上周发现这些漏洞,他透露,漏洞的利用门槛极低,普通用户借助简单工具即可获取他人隐私信息:
-
手机号泄露漏洞:Freedom Chat的服务器未设置有效的防护机制,允许攻击者向服务器发送海量手机号猜测请求,通过服务器响应判断该号码是否已注册。戴格尔利用这一漏洞,成功枚举了该应用自6月上线以来近2000名注册用户的手机号。这一攻击方式与维也纳大学上月披露的WhatsApp数据抓取技术一致,当时研究人员通过该方法匹配到35亿个WhatsApp注册账号。
-
PIN码泄露漏洞:用户设置的应用解锁PIN码(用于锁定应用防止未授权访问),会通过网络流量明文传输。戴格尔使用开源网络流量检测工具发现,在用户默认加入的公共频道中,所有成员的PIN码会被包含在系统响应中,即便在应用界面上不可见,其他频道成员仍可通过技术手段截取。一旦获取PIN码,攻击者可在用户手机被盗后直接解锁应用,获取聊天权限。
值得注意的是,Freedom Chat官网明确宣称“用户手机号将保持私密”,但实际漏洞完全违背了这一承诺。戴格尔表示,由于该应用未设立公开漏洞披露渠道(如漏洞响应计划),他只能通过TechCrunch联系开发者反馈问题。
紧急修复:重置所有PIN码,加强服务器防护
TechCrunch通过邮件联系到Freedom Chat创始人坦纳·哈斯(Tanner Haas)后,开发者迅速采取补救措施:
-
发布应用更新,修复手机号枚举与PIN码泄露的技术漏洞;
-
强制重置所有用户的PIN码,用户需重新设置解锁密码;
-
提升服务器限流等级,限制短时间内的手机号验证请求数量,防范批量猜测攻击;
-
清理可能导致手机号偶尔可见的代码逻辑。
在应用商店的更新说明中,Freedom Chat官方回应称:“近期后端更新意外导致用户PIN码在系统响应中暴露,幸运的是消息内容从未面临风险,且应用不支持关联设备,对话记录未被访问。我们已重置所有PIN码以确保账户安全,隐私始终是我们的首要任务。”
历史重演:开发者第二款应用陷安全危机
此次漏洞并非个例,创始人哈斯此前开发的通讯应用Converso,就因曝出“泄露用户私人消息与内容”的安全缺陷,最终被应用商店下架。不到一年时间内,两款产品接连出现严重安全问题,引发外界对其开发团队技术能力与安全意识的质疑。
安全专家指出,通讯应用的核心竞争力在于隐私保护,而Freedom Chat的漏洞属于“基础安全失误”:手机号枚举可通过添加验证码、设备绑定等简单方式防范,PIN码泄露则是未对敏感数据进行加密传输导致。“对于主打‘安全’的应用而言,这类低级漏洞的出现难以被原谅,用户在选择时需谨慎评估开发者的安全资质。”
目前,Freedom Chat已在各大应用商店上线修复版本,用户需尽快更新并重置PIN码。专家建议,使用该应用的用户可进一步检查隐私设置,避免在公共频道分享敏感信息;若担心隐私泄露,可暂时切换至其他安全性经市场验证的通讯工具。此次事件也再次提醒开发者,隐私保护不应仅停留在宣传口号,需将安全设计贯穿产品开发全流程,同时建立便捷的漏洞反馈渠道,及时响应安全风险。
