Nothing Chats φαίνεται ακόμη λιγότερο ασφαλές από όσο νομίζαμε

Όταν το Nothing ανακοίνωσε το Nothing Chats, η εταιρεία ισχυρίστηκε ότι η νέα της πλατφόρμα ανταλλαγής μηνυμάτων

Phone

2 ήταν κρυπτογραφημένη από άκρο σε άκρο. Αν και το Nothing επιμένει ότι η εφαρμογή του είναι ιδιωτική και ασφαλής, τα νέα ευρήματα υποδηλώνουν ότι είναι λιγότερο ασφαλής από ό,τι πιστεύαμε αρχικά.

Το Nothing Chats βασίζεται στην αρχιτεκτονική της εφαρμογής

Sunbird

αλλά έχει σχεδιαστεί από το Nothing. Προορίζεται να δώσει στο Phone 2 συμβατότητα με την εφαρμογή

iMessage

του iPhone. Για να γίνει αυτό, οι χρήστες πρέπει να συνδεθούν στην εφαρμογή με ένα Apple ID, το οποίο στη συνέχεια εκχωρεί τον λογαριασμό σας σε μια εικονική παρουσία ενός από τα

Mac Mini

της Sunbird. Αυτό ξεγελάει ένα iPhone ώστε να νομίζει ότι επικοινωνεί με άλλη συσκευή Apple (δοκιμάσαμε μόνοι μας την υπηρεσία Nothing Chat).

Αυτό δημιούργησε ανησυχίες ότι οι χρήστες θα έπρεπε να εμπιστεύονται ένα τρίτο μέρος για να διατηρήσουν τα δεδομένα Apple ID και τον κωδικό πρόσβασής τους ασφαλή. Ωστόσο, ένας εκπρόσωπος του Nothing διευκρίνισε ότι αφού συνδεθείτε στην εφαρμογή την πρώτη φορά, “τα διαπιστευτήρια τηρούνται σε μια κρυπτογραφημένη βάση δεδομένων” και “δεν μπορούν να προσπελαστούν από το Sunbird ή οποιονδήποτε άλλο, ακόμα κι αν είχε πρόσβαση στον ίδιο τον φυσικό διακομιστή”.

Τώρα που η εφαρμογή είναι δημόσια διαθέσιμη για λήψη, οι χρήστες ανακαλύπτουν άλλα ζητήματα ασφαλείας. Ο Kishan Bagaria, ιδρυτής του Texts.com, ζήτησε από την ομάδα του να ερευνήσει την εφαρμογή και διαπίστωσε ότι η εφαρμογή στέλνει πληροφορίες μέσω πρωτοκόλλου μεταφοράς υπερκειμένου (HTTP) αντί για ασφαλές πρωτόκολλο μεταφοράς υπερκειμένου (HTTPS).

Η ομάδα Texts ανακάλυψε επίσης τον όρο “bluebubbles”, υποδηλώνοντας ότι η Sunbird υποστηρίζει την εφαρμογή της στην τεχνολογία που αναπτύχθηκε από την BlueBubbles, μια αντίπαλη υπηρεσία που επιτρέπει επίσης την πρόσβαση στο iMessage μέσω Android.

Ωστόσο, μετά την ανακάλυψη αυτή, η Nothing εξέδωσε αυτή τη δήλωση


9to5Google


:

Ενώ το πρωτόκολλο είναι HTTP, όλα τα δεδομένα είναι κρυπτογραφημένα και το κλειδί που χρησιμοποιείται για την κρυπτογράφηση αυτών των δεδομένων παρέχεται μέσω HTTPS, ώστε τα διαπιστευτήρια της Apple ή τα μηνύματα που αποστέλλονται μέσω αυτού του αιτήματος HTTP να είναι ασφαλή και να μην είναι ανοιχτά στο κοινό. Όλα τα ευαίσθητα δεδομένα χρήστη, όπως τα διαπιστευτήρια και τα μηνύματα Apple ID είναι κρυπτογραφημένα ανά πάσα στιγμή. Το HTTP χρησιμοποιείται μόνο ως μέρος του εφάπαξ αρχικού αιτήματος από την εφαρμογή που ειδοποιεί το back-end για την επερχόμενη επανάληψη σύνδεσης iMessage που θα ακολουθήσει μέσω ενός αυτόνομου καναλιού επικοινωνίας.

Όσον αφορά το άλλο μέρος του tweet του, πριν από χρόνια όταν χτίζονταν οι διακομιστές, ο συνιδρυτής της Sunbird τους ονόμασε Blue Bubbles. Το Sunbird/Chats δεν χρησιμοποιεί μια παρουσία της τεχνολογίας κανενός άλλου – η ονομασία είναι απολύτως σύμπτωση.

Επιπλέον

, θέλω να προσθέσω ότι από την αρχή, ότι η Sunbird έχει επικεντρωθεί στην ασφάλεια και η πιστοποίηση ISO27001 (Αριθμός πιστοποιητικού: IA-2023-09-21-01), μια διεθνώς αναγνωρισμένη προδιαγραφή για ένα σύστημα διαχείρισης ασφάλειας πληροφοριών, είναι αντανάκλαση της δέσμευσής της για το απόρρητο των χρηστών.

Στο τέλος της ημέρας, θα πρέπει να αποφασίσετε μόνοι σας αν εμπιστεύεστε το Sunbird και το Nothing υπό το πρίσμα αυτών των αποκαλύψεων. Εξάλλου, τώρα που η Apple ανακοίνωσε ότι θα υποστηρίξει το RCS το 2024, αυτές οι εφαρμογές είναι ούτως ή άλλως σε δανεικό χρόνο.