Die beliebte Videoanruf- und Messaging-App JusTalk behauptet, sowohl sicher als auch verschlüsselt zu sein. Aber eine Sicherheitslücke hat bewiesen, dass die App weder sicher noch verschlüsselt ist, nachdem ein riesiger Cache mit unverschlüsselten privaten Nachrichten von Benutzern online gefunden wurde.
Die Messaging-App ist in ganz Asien weit verbreitet und hat mit 20 Millionen Nutzern weltweit ein boomendes internationales Publikum. Google-Play-Listen JusTalk-Kinderdas als kinderfreundliche und kompatible Version seiner Messaging-App bezeichnet wird und mehr als 1 Million Android-Downloads aufweist.
JusTalk sagt, dass beide Apps Ende-zu-Ende verschlüsselt sind – wobei nur die Personen in der Konversation ihre Nachrichten lesen können – und rühmt sich auf seiner Website, dass „nur Sie und die Person, mit der Sie kommunizieren, sie sehen, lesen oder anhören können: Sogar das JusTalk-Team wird nicht auf Ihre Daten zugreifen!“
Aber eine Überprüfung des riesigen Caches interner Daten, die Tech gesehen hat, beweist, dass diese Behauptungen nicht wahr sind. Die Daten umfassen Millionen von JusTalk-Benutzernachrichten, zusammen mit dem genauen Datum und der Uhrzeit, zu der sie gesendet wurden, und den Telefonnummern sowohl des Absenders als auch des Empfängers. Die Daten enthielten auch Aufzeichnungen von Anrufen, die über die App getätigt wurden.
Sicherheitsforscher Anurag Sen fand die Daten diese Woche und bat Tech um Hilfe bei der Meldung an das Unternehmen. Juphoon, das in China ansässige Cloud-Unternehmen hinter der Messaging-App, gab an, den Dienst 2016 ausgegliedert zu haben und gehört nun Ningbo Jus, einem Unternehmen, das dies zu tun scheint, und wird von ihm betrieben Teilen dasselbe Büro wie auf der Website von Juphoon aufgeführt. Aber trotz mehrfacher Bemühungen, den Gründer von JusTalk, Leo Lv, und andere Führungskräfte zu erreichen, wurden unsere E-Mails nicht bestätigt oder zurückgeschickt, und das Unternehmen hat keinen Versuch unternommen, die Verschüttung zu beheben. Eine SMS an Lvs Telefon wurde als zugestellt markiert, aber nicht gelesen.
Da jede in den Daten aufgezeichnete Nachricht jede Telefonnummer im selben Chat enthielt, war es möglich, ganze Gespräche zu verfolgen, einschließlich von Kindern, die die JusTalk Kids-App zum Chatten mit ihren Eltern verwendeten.
Die internen Daten umfassten auch die granularen Standorte von Tausenden von Benutzern, die von den Telefonen der Benutzer gesammelt wurden, mit großen Benutzerclustern in den Vereinigten Staaten, Großbritannien, Indien, Saudi-Arabien, Thailand und dem chinesischen Festland.
Laut Sen enthielten die Daten auch Aufzeichnungen einer dritten App, Zweite JusTalk-Telefonnummer, das es Benutzern ermöglicht, virtuelle, kurzlebige Telefonnummern zu generieren, die sie verwenden können, anstatt ihre private Handynummer preiszugeben. Eine Durchsicht einiger dieser Aufzeichnungen enthüllt sowohl die Handynummer des Benutzers als auch jede kurzlebige Telefonnummer, die sie generiert haben.
Wir geben nicht bekannt, wo oder wie die Daten erhältlich sind, sprechen uns jedoch für eine öffentliche Offenlegung aus, nachdem wir Beweise dafür gefunden haben, dass Sen mit der Entdeckung der Daten nicht allein war.
Dies ist das Neueste aus einer Reihe von Datenlecks in China. Anfang dieses Monats wurde eine riesige Datenbank mit etwa 1 Milliarde chinesischen Einwohnern aus einer in Alibabas Cloud gespeicherten Datenbank der Polizei in Shanghai abgeschöpft und Teile der Daten online veröffentlicht. Peking hat sich noch nicht öffentlich zu dem Leck geäußert, aber Verweise auf den Verstoß in den sozialen Medien wurden weitgehend zensiert.