Eltávolították a Play Áruházból a Nothing Androidos iMessage-et kínáló Chats alkalmazását, hivatalosan hibák miatt, az elemzők szerint biztonsági kockázatok vannak a háttérben.
A Texts.com szerzője, Rida F’kih és a @batuhan valamint @1ConanEdogowa felhasználónevű Twitterezők elemezték a programot, majd arra jutottak, hogy a Sunbird hazudott a végpontok közötti titkosításról.
A Nothing Chats használatához az Apple ID fiókunkkal be kell jelentkeznünk a Sunbird rendszerébe, ami Mac miniken futtatott virtuális gépekből áll. Az üzenetek először a Sunbird-höz érkeznek meg (szerintük titkosított módon), majd a virtuális Mac minik továbbítják azokat az Apple szerverei felé.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Az említett elemzők kiderítették, hogy az azonosításhoz használatos JSON Web Tokenek titkosítatlanul vándoroltak egy másik Sunbird szerverre, ami azért probléma, mert egy támadó könnyedén elcsípheti ezeket, hiszen még HTTPS-t sem használtak.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
Még kellemetlenebb, hogy az üzeneteket titkosítatlan formában tárolták a Sunbird szerverein, így a támadó előbb elolvashatta az üzenetet, mint a felhasználó.
A Texts.com be is mutatta a támadást, ami a JWT token megszerzését követően odáig vezetett, hogy egy 23 soros kóddal a felhasználó minden adatát és beszélgetését képesek voltak letölteni a Firebase adatbázisból.
A felfedezéseket megosztották GitHubon is, így bárki kipróbálhatja a saját fiókján, hogy egy támadó mihez férhet hozzá.
@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/media are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) November 18, 2023
Az adatvédelmi problémák egyértelműen a Sunbird hibájából keletkeztek, ugyanakkor az együttműködés miatt a Nothingre sem vet túl jó fényt ez a fiaskó, különösképpen, hogy úgy kommunikálták a súlyos biztonsági problémákat, mintha csak néhány hibajavítást eszközölnének.
Egyelőre még nem tudjuk, hogy mi lesz a Nothing Chats sorsa. Ahogy korábban is írtunk, eleve érdemes fenntartásokkal kezelni, hogyha hozzáférést adunk egy harmadik félnek olyan fontos fiókunkhoz, mint az Apple ID, ráadásul nem csak a fiókhoz, hanem a rengeteg személyes adatot tartalmazó üzeneteinkhez, képeinkhez, videóinkhoz is.
Közben kiderült, hogy beadta a derekát az Apple az RCS támogatás kapcsán, jövőre érkezik a funkció, melynek köszönhetően végre nem SMS-ben fognak kommunikálni az Androidos eszközökkel az iPhone-ok.
