O Freedom Chat, app de mensagens lançado em junho com a promessa de manter números de telefone ocultos e conversas protegidas, precisou correr para resolver duas vulnerabilidades sérias. As falhas permitiam tanto a descoberta de números de usuários quanto o vazamento dos PINs usados para bloquear o aplicativo.
As descobertas foram feitas pelo pesquisador de segurança Eric Daigle, que percebeu que era possível testar milhões de combinações e identificar quem estava registrado na plataforma. Segundo ele, quase 2 mil números de telefone foram enumerados dessa forma. O método é similar ao usado em uma pesquisa recente da Universidade de Viena, que mostrou como bilhões de contas do WhatsApp podem ser identificadas a partir de seus servidores.
Daigle também encontrou um problema ainda mais crítico: o app enviava, inadvertidamente, os PINs de todos os usuários presentes em um mesmo canal público. Embora os códigos não aparecessem na interface, eles trafegavam pela rede e podiam ser capturados por qualquer pessoa usando ferramentas de inspeção. Como todos os novos usuários são adicionados automaticamente a esse canal padrão, praticamente todos estavam expostos.
Como o Freedom Chat não possuía um canal oficial para reportar falhas, Daigle compartilhou o caso com o TechCrunch, que então alertou o fundador do aplicativo, Tanner Haas. Após o contato, Haas confirmou que os PINs foram redefinidos e que uma nova versão corrigida já está disponível. Ele também afirmou que a empresa removeu situações em que números de telefone apareciam ocasionalmente e reforçou os limites de requisições nos servidores para evitar ataques de adivinhação em massa.
Na atualização publicada no domingo, o aplicativo reconheceu o problema e garantiu que nenhuma mensagem foi comprometida, reforçando que não há suporte a dispositivos vinculados — o que impede acesso remoto ao conteúdo do usuário mesmo com o PIN.
Vale lembrar que este é o segundo app de mensagens criado por Haas. O anterior, chamado Converso, foi removido das lojas após falhas de segurança que expunham conteúdos privados dos usuários. Esses episódios destacam como apps de comunicação que prometem privacidade absoluta precisam lidar com desafios complexos de arquitetura e segurança, especialmente nos primeiros meses de vida.
