Brak czatów: usunięto z Google Play ze względu na poważne obawy dotyczące bezpieczeństwa

Η Nothing απέσυρε την beta έκδοση της εφαρμογής Nothing Chats από το Google play Store, δηλώνοντας ότι “αναβάλλει τo λανσάρισμα μέχρι νεωτέρας” ενώ διορθώνει “αρκετά σφάλματα”. Η εφαρμογή υποσχόταν να επιτρέψει στους χρήστες του Nothing Phone 2 να στέλνουν μηνύματα μέσω iMessage, αλλά απαιτούσε από την Sunbird, η οποία παρέχει την πλατφόρμα, να συνδέεται στους λογαριασμούς iCloud των χρηστών μέσω των δικών της διακομιστών Mac Mini, κάτι που φαίνεται πως δε λειτούργησε.

Usunęliśmy wersję beta aplikacji Nothing Chats ze Sklepu Play i opóźnimy jej uruchomienie do odwołania, aby współpracować z firmą Sunbird w celu naprawienia kilku błędów.

Przepraszamy za opóźnienie i postąpimy właściwie dla naszych użytkowników.

- Nic nic) Listopad 18, 2023

Η απόφαση να αποσυρθεί η εφαρμογή ήρθε αφού χρήστες μοιράστηκαν ευρέως ένα άρθρο από το Texts.com που έδειχνε ότι τα μηνύματα που στέλνονται μέσω του συστήματος της Sunbird δεν είναι πραγματικά κρυπτογραφημένα από άκρο σε άκρο. Αυτό σημαίνει ότι είναι ευάλωτα σε επιθέσεις από επιτήδειους και άρα μη ασφαλή.

Serwis 9to5Google wskazał na wątek autora witryny, Dylana Roussela, który odkrył, że część procesu Sunbirda obejmuje odszyfrowywanie i przesyłanie wiadomości przez HTTP do serwera synchronizacji chmury Firebase i przechowywanie ich tam w postaci niezaszyfrowanego zwykłego tekstu. Roussel napisał, że sama firma ma dostęp do wiadomości, ponieważ rejestruje je jako błędy za pomocą usługi debugowania Sentry. Jest to sprzeczne z FAQ Nothing, mówiącym, że nikt w Sunbird nie ma dostępu do wysłanych ani odebranych wiadomości.

Sunbird ma dostęp do każdej wiadomości wysłanej i otrzymanej za pośrednictwem aplikacji. Robią to poprzez molestowanie @getsentry, który służy do monitorowania błędów.

Jednak Sunbird rejestruje wiadomości, udając, że są to błędy.

Oto część próśb (img 1, 3) i całe ich „przesłanie” (img 2, 4) pic.twitter.com/pzwwQVWfOb

- Dylan Roussel (@evowizz) Listopad 18, 2023

Sunbird twierdził, że protokół HTTP „jest używany wyłącznie jako część początkowego, unikalnego żądania aplikacji, która powiadamia zaplecze o zbliżającym się połączeniu iMessage”.

Texts.com napisał, że „osoba atakująca zarejestrowana w rzeczywistej bazie danych Firebase zawsze będzie mogła uzyskać dostęp do wiadomości przed ich przeczytaniem przez użytkownika lub w jego trakcie”.

Wiadomości wysyłane na serwery są szyfrowane – twierdzi Sunbird. Okazało się jednak, że tokeny sieciowe JSON lub JWT generowane przez usługę są wysyłane z powrotem w postaci niezaszyfrowanej na inny serwer Sunbird bez protokołu SSL, co umożliwia ich przechwycenie przez osobę atakującą.

Dodatkowo, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους διακομιστές Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών.

texts team took a quick look at the tech behind nothing chats and znaleziono out it's extremely insecure

nie używa nawet protokołu HTTPS, dane uwierzytelniające są wysyłane zwykłym tekstem HTTP

backend uruchamia instancję BlueBubbles, która nie obsługuje jeszcze szyfrowania typu end-to-end pic.twitter.com/IcWyIbKE86

— Kishan Bagaria (@KishanBagaria) Listopad 17, 2023

@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/głoska bezdźwięczna are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE

— Kishan Bagaria (@KishanBagaria) Listopad 18, 2023