Η πρόσφατη κυκλοφορία της νέας
εφαρμογή
ς ανταλλαγής μηνυμάτων της Nothing, Nothing Chats, η οποία σχεδιάστηκε για να φέρει μια έκδοση του iMessage της Apple στο Android, έπεσε σαν μολύβδινο μπαλόνι. Μόλις μια μέρα μετά τη ζωντανή προβολή στο Google Play Store, το Nothing απέσυρε την εφαρμογή λόγω σοβαρών ανησυχιών για την ασφάλεια. Τώρα, δύο ακόμη ευπάθειες υποτίθεται ότι ήρθαν στο φως.
Όπως εντόπισε
Android Authority
ο προγραμματιστής Android και ο αντίστροφος μηχανικός Dylan Roussel, ο οποίος προηγουμένως αποκάλυψε ζητήματα ασφαλείας με το Nothing Chats και την πλατφόρμα Sunbird πάνω στην οποία βασίζεται, μοιράστηκε πρόσφατα στο
Χ
δύο επιπλέον τρωτά σημεία που επικεντρώνονται στην υποδομή του Nothing.
Η πρώτη χρονολογείται από τον Σεπτέμβριο και ανακαλύφθηκε στην εφαρμογή CMF
Watch
, η οποία φέρεται να αναπτύχθηκε σε συνεργασία με τη Nothing και μια εταιρεία που ονομάζεται Jingxun. Σύμφωνα με τον Roussel, ενώ η εφαρμογή
κρυπτο
γραφούσε με επιτυχία τόσο τις πληροφορίες email όσο και τον κωδικό πρόσβασης, η μέθοδος κρυπτογράφησης που χρησιμοποιούσε δεν ήταν ασφαλής. Οποιοσδήποτε έχει πρόσβαση στα ίδια κλειδιά αποκρυπτογράφησης θα έχει όλα τα εργαλεία για να αποκρυπτογραφήσει τις πληροφορίες, κάτι που ανατρέπει τον σκοπό της κρυπτογράφησης στην αρχή.
Ο Roussel είπε ότι το Nothing/Jingxun έχει αντιμετωπίσει από τότε αυτό το θέμα ευπάθειας, αλλά η επιδιόρθωση προφανώς λειτουργεί μόνο για κωδικούς πρόσβασης. Θα μπορούσατε ακόμα να αποκρυπτογραφήσετε τη διεύθυνση email που χρησιμοποιείται ως όνομα χρήστη κάποιου.
Ας μιλήσουμε για το Τίποτα… πάλι. Πριν από το Sunbird/Nothing chaos, τους ανέφερα μια άλλη ευπάθεια τον Σεπτέμβριο… και μια άλλη τον Αύγουστο. Ας μιλήσουμε για αυτή του Σεπτεμβρίου. Πρόκειται για την εφαρμογή CMF Watch.
1 Δεκεμβρίου 2023
Όσον αφορά τη δεύτερη ευπάθεια, ακριβείς λεπτομέρειες δεν έχουν δημοσιοποιηθεί, αλλά φέρεται να σχετίζεται με τα εσωτερικά δεδομένα του Nothing. Η εταιρεία ενημερώθηκε για αυτό τον Αύγουστο, και το θέμα παραμένει ανεπίλυτο.
Σε μια δήλωση στο Android Authority, ένας εκπρόσωπος του Nothing είπε ότι η εταιρεία εργάζεται επί του παρόντος για την επίλυση των προβλημάτων:
“Η CMF λαμβάνει πολύ σοβαρά υπόψη τα ζητήματα απορρήτου και η ομάδα διερευνά ζητήματα ασφάλειας σχετικά με την εφαρμογή Watch. Διορθώσαμε τις αρχικές ανησυχίες σχετικά με τα διαπιστευτήρια νωρίτερα μέσα στο έτος και επί του παρόντος εργαζόμαστε για να επιλύσουμε τα ζητήματα που εγείρονται. Μόλις ολοκληρωθεί αυτή η επόμενη επιδιόρθωση, θα προχωρήσουμε μια
ενημέρωση
OTA σε όλους τους χρήστες του CMF Watch Pro.”
Ο εκπρόσωπος πρόσθεσε ότι οι αναφορές ασφαλείας είναι πλέον πιο εύκολο να υποβληθούν
Σελίδα αναφοράς ευπάθειας ασφαλείας της CMF
.
Ο Roussel προηγουμένως αποκάλυψε πώς λειτουργεί το Sunbird, η πλατφόρμα Nothing Chats, που λειτουργεί αποκρυπτογραφώντας και μεταδίδοντας μηνύματα μέσω HTTP σε έναν διακομιστή συγχρονισμού cloud του Firebase και αποθηκεύοντάς τα σε μη κρυπτογραφημένο απλό κείμενο. Έτσι, τα μηνύματα Sunbird είναι δημόσια ορατά μέσω της βάσης δεδομένων του Firebase σε πραγματικό χρόνο και δεν είναι κρυπτογραφημένα. Σημείωσε επίσης ότι το Sunbird έχει επίσης πρόσβαση σε αυτά τα μηνύματα, καθώς καταγράφονται ως σφάλματα από την υπηρεσία εντοπισμού σφαλμάτων Sentry.
Η επίσημη σελίδα Nothing Chats επιβεβαιώνει ότι το
Η εφαρμογή beta αποσύρθηκε από το Play Store
και η εταιρεία λέει τώρα ότι θα «καθυστερήσει την κυκλοφορία μέχρι νεωτέρας» εν αναμονή της επιδιόρθωσης «αρκετών σφαλμάτων».
Ένα από τα μεγαλύτερα σημεία πώλησης του iMessage είναι ότι προσφέρει από προεπιλογή κρυπτογράφηση από άκρο σε άκρο. Η Apple ανέφερε την πρόσθετη ασφάλεια ως έναν από τους λόγους για τους οποίους θα υιοθετήσει το πρότυπο ανταλλαγής μηνυμάτων RCS το επόμενο έτος. Και στις δύο περιπτώσεις τα μηνύματά σας είναι ασφαλή και απρόσιτα από τρίτα μέρη — συμπεριλαμβανομένης της Apple. Αντίθετα, το Nothing υποσχέθηκε κρυπτογράφηση από άκρο σε άκρο, μόνο για να αποθηκεύει τα κείμενα δημόσια σε απλό κείμενο. Είναι αρκετά τσαχπίνικο — και αν είναι ένα Τίποτα δεν μπορεί να ανακάμψει μένει να φανεί.
Περισσότερα από το Tom’s Guide
VIA:
TomsGuide.com