流行的视频通话和消息应用程序 JusTalk 声称既安全又加密。但在网上发现大量用户未加密的私人消息后,安全漏洞证明该应用程序既不安全也不加密。
该消息传递应用程序在亚洲广泛使用,并在全球拥有 2000 万用户,拥有蓬勃发展的国际受众。 Google Play 将JusTalk Kids列为其消息应用程序的儿童友好和兼容版本,拥有超过 100 万次 Android 下载。
JusTalk 表示,它的两个应用程序都是端到端加密的——只有对话中的人才能阅读它的消息——并在其网站上吹嘘“只有你和你与之交流的人才能看到、阅读或收听它们:甚至JusTalk 团队不会访问您的数据!”
但对 TechCrunch 看到的大量内部数据的审查证明,这些说法是不正确的。这些数据包括数百万条 JusTalk 用户消息,以及它们发送的确切日期和时间,以及发送者和接收者的电话号码。数据还包含使用该应用程序拨打的电话记录。
安全研究员Anurag Sen本周发现了这些数据,并请求 TechCrunch 帮助将其报告给公司。消息应用程序背后的中国云公司菊风表示,它在 2016 年剥离了这项服务,现在由宁波 Jus 拥有和运营,这家公司似乎与菊风网站上列出的办公室共享同一办公室。但是,尽管我们多次努力联系 JusTalk 的创始人 Leo Lv 和其他高管,但我们的电子邮件没有得到确认或回复,公司也没有表现出任何补救泄漏的尝试。吕的手机短信被标记为已送达但未读。
由于数据中记录的每条消息都包含同一聊天中的每个电话号码,因此可以跟踪整个对话,包括使用 JusTalk Kids 应用程序与父母聊天的孩子。
内部数据还包括从用户手机收集的数千名用户的详细位置,在美国、英国、印度、沙特阿拉伯、泰国和中国大陆拥有大量用户。
根据 Sen 的说法,这些数据还包含来自第三个应用程序JusTalk 2nd Phone Number的记录,该应用程序允许用户生成虚拟的、临时的电话号码来使用,而不是提供他们的私人手机号码。对其中一些记录的审查揭示了用户的手机号码以及他们生成的每个临时电话号码。
我们没有披露数据的获取地点或方式,但在我们发现证据表明森并不是唯一发现数据的人后,我们正在权衡是否支持公开披露。
这是中国一连串数据泄露事件中的最新一起。本月早些时候,一个包含约 10 亿中国居民的庞大数据库从存储在阿里巴巴云中的上海警方数据库中被窃取,部分数据已在线发布。北京尚未就泄密事件公开发表评论,但社交媒体上对泄密事件的提及已被广泛审查。