La popular aplicación de videollamadas y mensajes JusTalk afirma ser segura y encriptada. Pero una vulnerabilidad demostró que la aplicación no es segura ni está encriptada después de que se encontró en línea una gran cantidad de mensajes privados no encriptados de los usuarios.
La aplicación de mensajería se usa ampliamente en Asia y tiene una audiencia internacional en auge con 20 millones de usuarios en todo el mundo. Google Play enumera JusTalk Kids, que dice que es una versión compatible y apta para niños de su aplicación de mensajería, con más de 1 millón de descargas de Android.
JusTalk dice que ambas aplicaciones están encriptadas de extremo a extremo, solo las personas en la conversación pueden leer sus mensajes, y se jacta en su sitio web de que «solo usted y la persona con la que se está comunicando los ven, los leen o escuchan: ¡Incluso el equipo de JusTalk no accederá a sus datos!”
Pero una revisión de la gran cantidad de datos internos vistos por TechCrunch demuestra que estas afirmaciones no son ciertas. Los datos incluyen millones de mensajes de usuarios de JusTalk, junto con la fecha y hora exactas en que se enviaron y los números de teléfono tanto del remitente como del destinatario. Los datos también incluían grabaciones de llamadas realizadas a través de la aplicación.
investigador de seguridad anurag sen encontró los datos esta semana y pidió ayuda a TechCrunch para reportarlos a la compañía. Juphoon, la empresa en la nube con sede en China detrás de la aplicación de mensajería, dijo que escindió el servicio en 2016 y ahora es propiedad de Ningbo Jus, una empresa que parece tener la misma oficina que las listas del sitio web de Juphoon y es operada por Ningbo Jus. Pero a pesar de los múltiples esfuerzos para contactar al fundador de JusTalk, Leo Lv, y otros ejecutivos, nuestros correos electrónicos no han sido reconocidos ni rebotados, y la compañía no ha hecho ningún intento por limpiar el derrame. Un SMS al teléfono de Lv se marcó como entregado pero no leído.
Debido a que cada mensaje registrado en los datos incluía todos los números de teléfono en el mismo chat, fue posible rastrear conversaciones completas, incluidos los niños que usaban la aplicación JusTalk Kids para chatear con sus padres.
Los datos internos también incluyeron las ubicaciones granulares de miles de usuarios recopilados de los teléfonos de los usuarios, con grandes grupos de usuarios en los Estados Unidos, el Reino Unido, India, Arabia Saudita, Tailandia y China continental.
Según Sen, los datos también incluían registros de una aplicación de terceros, JusTalk 2nd Phone Number, que permite a los usuarios generar números de teléfono virtuales y efímeros para usar en lugar de revelar su número de teléfono celular privado. Una lectura de algunos de estos registros revela tanto el número de teléfono celular del usuario como cualquier número de teléfono efímero que haya generado.
No estamos divulgando dónde o cómo están disponibles los datos, pero estamos considerando la divulgación pública después de descubrir evidencia de que Sen no fue el único que descubrió los datos.
Esta es la última de una serie de filtraciones de datos en China. A principios de este mes, una base de datos masiva de alrededor de mil millones de residentes chinos fue desviada de una base de datos de la policía de Shanghai almacenada en la nube de Alibaba, y partes de los datos se publicaron en línea. Beijing aún no ha comentado públicamente sobre la filtración, pero las referencias a la filtración en las redes sociales han sido censuradas en gran medida.
