Aplikácia na videohovory a odosielanie správ, JusTalk, dlhodobo propaguje, že je bezpečná aj šifrovaná. Podľa portálu TechCrunch sa však ukázalo, že aplikácia nie je ani bezpečná a ani šifrovaná. Vo vyrovnávacej pamäti v online úložisku služby bolo nájdených množstvo nešifrovaných súkromných správ používateľov.
Správy pochádzali aj z verzie aplikácie pre deti
Aplikácia na odosielanie správ je používaná hlavne v Ázii a globálne ju využíva až 20 miliónov aktívnych používateľov. Obchod Google Play uvádza, že jej verzia JusTalk Kids, ktorá je prezentovaná ako aplikácia na odosielanie správ vhodná pre deti, má dokonca viac ako 1 milión stiahnutí. Developer tvrdí, že obe jeho aplikácie majú end-to-end šifrovanie a iba ľudia v konverzácii môžu čítať ich správy.
Na svojej webovej stránke sa doslova chváli, že „Iba vy a osoba, s ktorou komunikujete, môže vidieť, čítať alebo počúvať konverzáciu. Dokonca ani tím JusTalk nebude mať prístup k vašim údajom!“ Ale preskúmanie obrovskej vyrovnávacej pamäte interných údajov v online úložisku, ktoré videl portál TechCrunch, dokazuje, že tieto tvrdenia nie sú pravdivé.
Údaje zahŕňajú milióny správ používateľov JusTalk spolu s presným dátumom a časom ich odoslania a telefónnymi číslami odosielateľa aj príjemcu. Údaje obsahovali aj záznamy hovorov uskutočnených pomocou aplikácie. Vďaka tomu bolo možné sledovať celé konverzácie, a to aj od detí, ktoré používali aplikáciu JusTalk Kids na rozhovor so svojimi rodičmi.
Interné údaje zahŕňali aj podrobné údaje o tisíckach používateľov zhromaždených z telefónov používateľov rôznych krajín. Napríklad v Spojených štátoch, Spojenom kráľovstve, Indii, Saudskej Arábii, Thajsko a pevninská Čína. Údaje obsahovali aj záznamy z tretej aplikácie, JusTalk 2nd Phone Number, ktorá používateľom umožňuje generovať virtuálne telefónne čísla.
JusTalk na otázky zatiaľ neodpovedá
Bezpečnostný výskumník Anurag Sen našiel tieto údaje tento týždeň a požiadal TechCrunch o pomoc s ich nahlásením problémy spoločnosti, ktorá za ňou stojí. Juphoon, cloudová spoločnosť so sídlom v Číne, ktorá stojí za aplikáciou, uviedla, že túto službu spustila v roku 2016. Teraz ju podľa jej svoj slov vlastní a prevádzkuje spoločnosť Ningbo Jus.
Tá podľa všetkého zdieľa rovnakú kanceláriu, ako je uvedená na webovej stránke Juphoon. Napriek viacnásobnému úsiliu spojiť sa so zakladateľom JusTalk Leom Lvom a ďalšími pracovníkmi, nikto na otázky portálu neodpovedal. Textová správa na Lvov telefón bola označená ako doručená, ale neprečítaná. Portál sa preto rozhodol zverejniť zistenia verejne.
Nie je to však prvý z únikov údajov z čínskej služby v tomto období. Začiatkom tohto mesiaca bola z databázy šanghajskej polície uloženej v cloude spoločnosti Alibaba odčerpaná obrovská databáza približne 1 miliardy čínskych obyvateľov. Časť údajov bola zverejnená online. Peking sa zatiaľ k úniku verejne nevyjadril, ale správy o porušení súkromia obyvateľov boli čínskou vládou široko cenzurované.
