Приложение для обмена сообщениями JusTalk сбрасывает миллионы незашифрованных сообщений

Популярное приложение для видеозвонков и обмена сообщениями JusTalk утверждает, что оно безопасно и зашифровано. Но нарушение безопасности показало, что приложение не было ни безопасным, ни зашифрованным после того, как в Интернете был обнаружен огромный кеш незашифрованных личных сообщений пользователей.

Это приложение для обмена сообщениями широко используется в Азии, и число его подписчиков во всем мире растет: 20 миллионов пользователей по всему миру. В Google Play указано, что JusTalk Kids, заявленная как совместимая с детьми версия приложения для обмена сообщениями, имеет более миллиона загрузок для Android.

JusTalk заявляет, что оба ее приложения полностью зашифрованы, то есть только участники разговора могут читать его сообщения, а на своем веб-сайте хвастается тем, что "только вы и человек, с которым вы общаетесь, можете видеть, читать или слушайте их: даже команда JusTalk не получит доступ к вашим данным!"

Однако изучение огромного внутреннего кеша данных, обнаруженное TechCrunch, доказывает, что эти утверждения не соответствуют действительности. Данные включают миллионы сообщений от пользователей JusTalk, а также точную дату и время их отправки, а также номера телефонов отправителя и получателя. Данные также содержали записи звонков, сделанных с помощью приложения.

Исследователь по безопасности Анураг Сен нашел эти данные на этой неделе и попросил TechCrunch помочь сообщить их компании. Juphoon, китайская облачная компания, стоящая за приложением для обмена сообщениями, заявила, что создала сервис в 2016 году и в настоящее время принадлежит и управляется Ningbo Jus, компанией, которая, похоже, использует тот же рабочий стол, что и тот, что указан на веб-сайте Juphoon. Но, несмотря на неоднократные попытки связаться с основателем JusTalk Лео Львом и другими руководителями, наши электронные письма не были подтверждены или возвращены, и компания не предприняла никаких попыток устранить утечку. Текстовое сообщение, отправленное на телефон Льва, было отмечено как доставленное, но не прочитанное.

Поскольку каждое сообщение, сохраненное в данных, содержало все телефонные номера в одном и том же чате, можно было отслеживать целые разговоры, включая общение детей с родителями в приложении JusTalk Kids.

Внутренние данные также включали точное местонахождение тысяч пользователей, собранных с телефонов пользователей, с большими группами пользователей в США, Великобритании, Индии, Саудовской Аравии, Таиланде и материковом Китае.

По словам Сена, данные также содержали записи третьего приложения, JusTalk 2nd Phone Number, которое позволяет пользователям генерировать виртуальные, эфемерные телефонные номера вместо того, чтобы выдавать свой личный номер мобильного телефона. Изучение некоторых из этих записей позволяет выявить как номер мобильного телефона пользователя, так и любые эфемерные телефонные номера, которые он сгенерировал.

Мы не раскрываем, где и как могут быть получены данные, но мы склоняемся к публичному раскрытию после того, как обнаружили доказательства того, что Сен был не единственным, кто обнаружил эти данные.

Это последняя утечка данных в Китае. Ранее в этом месяце из базы данных шанхайской полиции, хранящейся в облаке Alibaba, была украдена огромная база данных, насчитывающая около 1 миллиарда жителей Китая, и части данных были опубликованы. Пекин пока публично не прокомментировал утечку, но упоминания об утечке в социальных сетях подверглись широкой цензуре.