Το Nothing Chats, μια εφαρμογή iMessage για Android, είναι ένας εφιάλτης απορρήτου
Η Sunbird υπόσχεται υποστήριξη
iMessage
στο Android εδώ και περίπου ένα χρόνο, αλλά η εταιρεία πάντα φαινόταν μάλλον πρόχειρη. Τώρα, καθώς ξεκίνησε το Nothing Chats, που βασίζεται στο Sunbird, ο εφιάλτης της ιδιωτικής ζωής γίνεται πραγματικότητα – όχι μόνο η εφαρμογή
δεν
κρυπτογραφημένα από άκρο σε άκρο όπως υποσχέθηκε, αλλά τα αρχεία εικόνας από άλλους χρήστες είναι
αρκετά
εύκολη πρόσβαση σε απλό κείμενο.
Η υπόσχεση του Sunbird και, με τη σειρά του, του Nothing Chats είναι να παρέχουν υποστήριξη iMessage στο Android. Αυτό γίνεται όταν οι χρήστες συνδέονται στο Apple ID τους μέσω της εφαρμογής που δρομολογεί τη σύνδεση μέσω μιας φάρμας διακομιστών Mac. Δεν είναι μια μοναδική μέθοδος, αλλά η μεγάλη διαφορά εδώ είναι ότι η Sunbird έχει κάνει πολλά από τον ισχυρισμό ότι η κρυπτογράφηση από άκρο σε άκρο διατηρείται σε ισχύ σε όλη τη διαδικασία.
Στο Sunbird’s
δικτυακός τόπος
λέει ευθέως:
Οι διακομιστές Sunbird δεν αποθηκεύουν δεδομένα χρήστη που προωθούν ένα ασφαλές, ασφαλές και ιδιωτικό περιβάλλον ανταλλαγής μηνυμάτων. Με κρυπτογραφημένα, εμπιστευτικά μηνύματα από άκρο σε άκρο, το Sunbird είναι πλήρως ασφαλές και απολύτως ιδιωτικό.
Προσθέτοντας κρυπτογράφηση μεταξύ Android και iMessage όπου δεν υπάρχει αυτή τη στιγμή, το Sunbird είναι το πρώτο στο είδος του που προσφέρει μια ενοποιημένη και ασφαλή εμπειρία ανταλλαγής μηνυμάτων στους χρήστες Android.
Τίποτα
δεν το επαναλαμβάνει αυτό σε α
σελίδα προορισμού
για το Nothing Chats, λέγοντας:
…Το Nothing Chats είναι χτισμένο στην πλατφόρμα του Sunbird και όλα τα μηνύματα Chats είναι κρυπτογραφημένα από άκρο σε άκρο, πράγμα που σημαίνει ότι ούτε εμείς ούτε η Sunbird μπορούμε να έχουμε πρόσβαση στα μηνύματα που στέλνετε και λαμβάνετε.
Αλλά, αυτό απλά δεν είναι αλήθεια.
Τα τρομακτικά νέα ευρήματα αποκαλύπτουν ότι το Sunbird και το Nothing Chat δεν είναι, στην πραγματικότητα, πλήρως κρυπτογραφημένα από άκρο σε άκρο, καθώς τα δεδομένα χρήστη είναι προσβάσιμα σε απλό κείμενο.
Δημοσιεύτηκε το «Wukko» στο Twitter/X
ευρήματα ότι το Nothing Chats στέλνει όλα τα συνημμένα πολυμέσων, συμπεριλαμβανομένων των εικόνων χρήστη, στο Sentry με συνδέσμους προς αυτά τα συνημμένα ορατά σε απλό κείμενο. Επιπλέον, όλα τα δεδομένα αποστέλλονται και αποθηκεύονται μέσω του Firebase και είναι επίσης εντελώς μη κρυπτογραφημένα.
9to5Google
μπορεί ανεξάρτητα να επιβεβαιώσει τα ευρήματα του Wukko.
Στην έρευνά μας του Dylan Roussel, διαπιστώσαμε ότι μόλις ένας χρήστης πραγματοποιήσει έλεγχο ταυτότητας με τα JSON Web Tokens (JWT) που δεν είναι ασφαλή κατά τη μεταφορά, μπορεί να έχει πρόσβαση στη βάση δεδομένων Firebase του Nothing Chat και να δει μηνύματα και αρχεία από άλλους χρήστες που αποστέλλονται
σε πραγματικό χρόνο
και σε απλό κείμενο. Ιδιαίτερα τονίζει ότι οι κάρτες vCard είναι προσβάσιμες, καθώς αυτές περιλαμβάνουν άμεσα ονόματα χρηστών, αριθμούς τηλεφώνου, διευθύνσεις email και μερικές φορές ακόμη περισσότερα προσωπικά δεδομένα.
Το αναφέρει
πάνω από 630.000 αρχεία πολυμέσων είναι αποθηκευμένα αυτήν τη στιγμή
από το Sunbird μέσω Firebase, συμπεριλαμβανομένων εικόνων, βίντεο, PDF, ήχου και πολλά άλλα.
Ο Dylan εξηγεί περαιτέρω τα ευρήματά του στο
ένα νήμα στο Twitter/X
.
Οι άνθρωποι στο
Texts.com
έχουν επίσης αναλύσει λεπτομερώς αυτή τη διαδικασία.
Σε μια ανάρτηση ιστολογίου, επισημαίνεται ότι χρειάζεται πολύ μικρό κομμάτι κώδικα για να αυτοματοποιηθεί η διαδικασία λήψης αυτών των πληροφοριών. Μια επίδειξη ενός iMessage που αποστέλλεται, μόνο για να δείξει η βάση δεδομένων ότι εμφανίστηκε επίσης “κρυπτογραφημένο από άκρο σε άκρο” κείμενο σε απλό κείμενο, όπως φαίνεται παρακάτω. Δημιουργήθηκε επίσης μια απόδειξη της ιδέας και
δημοσιεύτηκε στο Github
για να δείξει πώς λειτουργούν όλα.
Εικόνα
:
Texts.blog
Ναι.
Ανακαλύψαμε για πρώτη φορά αυτόν τον, ελλείψει καλύτερου όρου, εφιάλτη απορρήτου αργά στις 17 Νοεμβρίου και αμέσως ειδοποιήσαμε το Nothing (μέσω δημοσίων σχέσεων, καθώς η εταιρεία δεν έχει σημείο επαφής για προβλήματα ασφαλείας) λόγω της πολύ ευαίσθητης φύσης αυτής της ευπάθειας – χρήστης τα δεδομένα είναι κυριολεκτικά στη γραμμή εδώ και εντελώς ανασφαλή. Ένας εκπρόσωπος του Nothing απάντησε γρήγορα στο email μας (και δεν ήταν απλώς μια γενική, κονσέρβα απάντηση), αλλά λόγω του χρόνου των ευρημάτων, δεν μπόρεσε να προσφέρει μια δήλωση ή μια λεπτομερή επιδιόρθωση.
Ωστόσο, στο διάστημα από τότε που απλώσαμε το χέρι, φαίνεται Nothing and Sunbird
ενδέχεται
έχουν αποκλείσει τις λήψεις της εφαρμογής στο Play Store. Το Nothing Chats δεν εμφανίζεται στην αναζήτηση του Play Store και κατά την πλοήγηση
την καταχώριση απευθείας
σε πολλές μονάδες Nothing Phone (2), η εφαρμογή αναφέρθηκε ως “μη διαθέσιμη στη χώρα σας” όπως απεικονίζεται παραπάνω και δεν ήταν δυνατή η λήψη, κάτι που φαίνεται να άλλαξε τις τελευταίες ώρες καθώς η εφαρμογή ήταν διαθέσιμη στους χρήστες χθες μετά το μεσημέρι ET.
Όσον αφορά τα ζητήματα απορρήτου, αυτό είναι τόσο κακό όσο γίνεται.
Όχι μόνο είναι προσβάσιμα τα αρχεία εικόνας, αλλά
τα παντα
είναι εκεί έξω και είναι συγκλονιστικά εύκολο να το βρεις. Είναι πραγματικά αφάνταστα τρομακτικό για τα προσωπικά σας δεδομένα και ξεπερνά κατά πολύ την ανησυχία που είχαν όλοι για κάποιον που μόλις είχε πρόσβαση στο Apple ID σας.
Ενώ αυτό είναι τελικά στο Sunbird καθώς κατασκεύασε την
υποδομή
και την εφαρμογή Nothing Chats, η έλλειψη δέουσας επιμέλειας του Nothing εδώ είναι ανησυχητική. Εάν μια ευπάθεια όπως αυτή μπορούσε να βρεθεί σε λιγότερο από 24 ώρες από πολλούς χρήστες, πώς δεν το έχασε τίποτα κατά τους μήνες που πιθανότατα δημιουργούσε αυτή η συν
εργασία
; Και, από εκεί και πέρα, θα ανακαλυφθεί κάτι ακόμα χειρότερο με τον καιρό;
Είναι αυτονόητο σε αυτό το σημείο, αλλά εσείς
απολύτως
δεν πρέπει να κατεβάσετε Nothing Chats ή Sunbird.
Ντύλαν Ρουσέλ
συνέβαλε σε αυτό το άρθρο
.
VIA:
9to5google.com