Freedom Chat, presentata come una piattaforma di messaggistica privata e sicura, ha recentemente dovuto affrontare una significativa falla nella sua sicurezza: una vulnerabilità consentiva a un ricercatore di enumerare i numeri di telefono registrati e un’altra ne esponeva i PIN agli altri utenti presenti in un canale pubblico.
Scoperta e segnalazione delle vulnerabilità
Il ricercatore Eric Daigle ha individuato due problemi distinti: il primo permetteva di inviare milioni di tentativi di numeri telefonici per verificare quali fossero registrati nel sistema, sfruttando l’assenza di efficaci limiti lato server; il secondo, utilizzando uno strumento open‑source di ispezione del traffico di rete, ha mostrato che i PIN impostati dagli utenti venivano restituiti nella risposta del sistema, visibili a chiunque fosse connesso al canale pubblico di default a cui ogni utente viene iscritto alla registrazione.
Impatto sul modello di sicurezza di Freedom Chat
L’app, lanciata a giugno e posizionata come alternativa più riservata rispetto ai grandi nomi del settore, affermava che i numeri di telefono rimangono privati e che la sicurezza era garantita da meccanismi evoluti. Tuttavia, le falle dimostrano come anche un sistema con cifratura end‑to‑end e serverasili momentanei possa essere compromesso su front server, nonostante l’intento di limitare la persistenza dei dati sul backend.
Risposta rapida: patch, reset dei PIN e rafforzamento
Il fondatore Tanner Haas, contattato da TechCrunch, ha confermato che l’azienda ha rilasciato un aggiornamento che resetta tutti i PIN utente, rimuove esposizioni accidentali di numeri telefonici e migliora la rate‑limiting per impedire automatismi di enumerazione.
Daigle aveva divulgato le sue scoperte la settimana precedente, ma senza un programma pubblico di segnalazione (bug bounty), l’interazione si è svolta direttamente con il team.
Contesto del rischio: enumeration e cifratura fragile
Il problema di enumerazione dei numeri non è nuovo: analoghe tecniche erano già state descritte da un team dell’Università di Vienna che aveva analizzato milioni di numeri contro i server di WhatsApp. La vulnerabilità dei PIN, invece, è peculiare di architetture che prevedono canali pubblici con risposta non sanificata. Sebbene i messaggi non siano mai a rischio — grazie alla crittografia — i PIN possono consentire accesso in caso di furto del dispositivo, vanificando parte della protezione sul device.
Le lezioni per il settore delle messaging app
Questa vicenda illustra due assi di riflessione: da un lato, anche startup con forte attenzione alla privacy possono soffrire falle server-side che compromettano dati critici; dall’altro, senza processi strutturati di segnalazione, il rischio persiste e viene mitigato solo per tempestività del ricercatore. È auspicabile che accordi di divulgazione responsabile o bug bounty diventino prassi anche per realtà emergenti.
Inoltre, il caso evidenzia che data minimization, cifratura avanzata e politiche di protezione sono imprescindibili, ma devono essere integrate a difese server-side robuste (es. rate-limiting, sanitizzazione delle risposte, API sicure).
La rimozione dell’esposizione del numero, il reset forzato dei PIN e l’introduzione di limiti rappresentano risposte adeguate e tempestive. Tuttavia, l’efficacia dipenderà dalla capacità di verificare che gli utenti aggiornino l’app e comprendano l’importanza di queste modifiche.
Implicazioni per gli utenti
Chi usa Freedom Chat dovrebbe aggiornare immediatamente l’app, impostare un nuovo PIN e lavorare con cautela: la vulnerabilità ha dimostrato che autenticazioni offline possono essere un punto di ingresso critico. In futuro, sarebbe utile implementare una forma di autenticazione secondaria o multi‑fattore.
Questo episodio ribadisce un principio essenziale: la sicurezza reale non sta solo nei protocolli crittografici, ma anche nell’implementazione, gestione e reazione alle vulnerabilità.
La privacy è un percorso, non una bandiera. Freedom Chat ha corretto il tiro con rapidità, ma resta il monito per ogni app che promuove sicurezza: le garanzie devono essere tecniche, operative e organizzative, oggi e nel futuro.
