Integracja Nothing Chats z iMessage nie jest taka bezpieczna?

Chociaż współzałożyciel firmy Nothing twierdzi, że jego usługa czatu łącząca iMessage będzie szyfrowana od początku do końca, kod źródłowy wydaje się ujawniać coś zupełnie przeciwnego.

Tim Cook: Sorry Carl

Twórca Nothing Phone (2) Carl Pei ogłosił 14 listopada 2023 roku Nothing Chats — jest to usługa umożliwiająca użytkownikom Androida wysyłanie wiadomości iMessage w niebieskich dymkach przypominających tych z iPhone’a – pod warunkiem, że zalogują się na zdalny serwer za pomocą swojego Apple ID. Aby to można zrobić i miec dostęp do Nothing Chats, użytkownicy muszą posiadać Nothing Phone (2). Technologia podobna do iMessage pochodzi od Sunbird, firmy technologicznej z siedzibą w Nowym Jorku i jest zintegrowana z aplikacją do obsługi wiadomości od Nothing.

Carl Pei opublikował także wymowne wideo z ironicznym tekstem „Sorry Tim” — jednak, chyba jest za co przepraszać i tym razem to chyba Tim Cook powinien powiedzieć prezesowi Nothing: „Sorry Carl, ale chyba wiadomości iMessage w Nothing Chats nie są do końca szyfrowane?”.

W piątek założyciel Texts.com napisał na Twitterze, że jego zespół „szybko rzucił okiem” na kod aplikacji Nothing Chats i stwierdził, że jest on niebezpieczny. „Nawet nie używa protokołu HTTPS, dane uwierzytelniające są przesyłane zwykłym tekstem przez HTTP” – powiedział Kishan Bagaria.

Przeczytaj też najnowsze informacje na temat Nothing Chats: Nothing Chats to katastrofa w zakresie prywatności — już go nie ma Google Play (aktualizacja 18 listopada 2023 r. godz. 21:00)

Ujawnianie danych przy użyciu niepewnych protokołów

Podstawowym problemem jest brak protokołu HTTPS (Hypertext Transfer Protocol Secure) w protokołach komunikacyjnych tej usługi. HTTPS, podstawowy standard bezpieczeństwa współczesnej komunikacji internetowej, szyfruje dane pomiędzy urządzeniem użytkownika a serwerem.

Nothing Chats

Brak tego szyfrowania oznacza, że poufne informacje, w tym dane logowania, są przesyłane przez internet przy użyciu zwykłego tekstu HTTP. Stosowanie tej metody jest niebezpieczne, gdyż pozwala na stosunkowo łatwe przechwycenie danych przez osoby trzecie, zwłaszcza w sieciach niezabezpieczonych.

Dochodzenie wykazało, że Nothing Chats niby korzysta z backendu obsługiwanego przez BlueBubbles, usługę przesyłania wiadomości znaną z braku kompleksowego szyfrowania. Kompleksowe szyfrowanie to kluczowa funkcja bezpiecznej komunikacji, zapewniająca, że tylko komunikujący się użytkownicy będą mogli odczytać wysyłane wiadomości. Ale jeśli chodzi o drugą część jego tweeta, wiele lat temu, gdy budowano serwery, współzałożyciel Sunbirda nazwał je Blue Bubbles. Sunbird/Nothing Chats nie korzysta jednak z żadnej innej technologii – nazwa jest całkowicie zbiegiem okoliczności.

Brak takiego szyfrowania oznacza, że usługodawca może potencjalnie uzyskać dostęp do wiadomości lub mogą one zostać przechwycony/podejrzane przez podmioty zewnętrzne, co stanowi poważne zagrożenie dla prywatności.

Carl Pei i Nothing Chats: „I'm really sorry Tim :(”

Nothing jeszcze nie odpowiedziało na te zarzuty — ale może jest przygotowywane nowe wideo pt. „I’m sorry, really sorry Tim”?

Przypomnijmy, że twierdzenia Nugarii wydają się bezpośrednio zaprzeczać oświadczeniom wygłoszonym przez Nothing w okresie poprzedzającym udostępnienie Nothing Chats. Wcześniej firma stwierdziła, że „wszystkie wiadomości w czacie są w pełni szyfrowane, co oznacza, że ani my, ani Sunbird nie mamy dostępu do wiadomości, które wysyłasz i odbierasz”. Jeśli chodzi w szczególności o wiadomości, a zwłaszcza o Apple ID, jest napisane: „Architektura Sunbirda zapewnia system dostarczania wiadomości od jednego użytkownika do drugiego bez przechowywania jej na jakimkolwiek etapie jej podróży”. Współzałożyciel firmy Nothing Akis Evangelidis nawet powiedział, że „Wiadomości są szyfrowane od początku do końca”. To, jak to w końcu jest? Rozwiązanie jest bezpieczne, czy nie?

Aby być uczciwym, ani FAQ firmy Nothing Chat, ani tweet jej współzałożyciela nie odnoszą się konkretnie do szyfrowania danych uwierzytelniających, na czym skupia się tweet Bagarii. W oświadczeniu dla 9to5Google Nothing wyjaśniło, że zwykły tekst widziany przez Bagarię to tokenizowana wersja danych uwierzytelniających Apple ID: Po podaniu identyfikatora Apple ID, istniejącego lub nowo utworzonego, jest on następnie tokenizowany w zaszyfrowanej bazie danych, a dane Apple ID ulegają zniszczeniu.

Bezpieczne rozwiązania do przesyłania wiadomości

Według Nothing głównym powodem powstania aplikacji do przesyłania wiadomości było zachęcenie użytkowników słuchawek dousznych iPhone’a do zainteresowania się ich smartfonem. Firma ustaliła, że bariery w przesyłaniu wiadomości odstraszają użytkowników iPhone’a od zmiany platformy, szczególnie piętno związane z byciem jedyną osobą na czacie grupowym i wyświetlaniem wiadomości w zielonych dymkach na Androidzie zamiast typowych niebieskich Apple’a.

„Zastanawialiśmy się, jak możemy coś z tym zrobić?” powiedział Carl Pei z Nothing. „Zaczęliśmy przyglądać się różnym zespołom pracującym nad tym problemem… i skontaktowaliśmy się z zespołem Sunbird”.

W ślad za większymi firmami, takimi jak Google i Samsung, Nothing wspomniało również o braku wsparcia Apple’a dla RCS w iMessage, twierdząc ponadto, że niechęć Apple do przyjęcia RCS zagraża prywatności użytkowników.

A tu niespodzianka, bo zaledwie 2 dni poźniej – 16 listopada 2023 roku firma Apple ogłosiła, że doda uniwersalny profil RCS do iMessage, prawdopodobnie pod systemem iOS 18 w 2024 roku. Chociaż profil ten nie zawiera wersji kompleksowego szyfrowania opracowanej przez Google’a, Apple współpracuje z organizacją branżową GSMA w sprawie ewentualnego włączenia ogólnobranżowego standardu szyfrowania.

➔ Obserwuj nas w Google News, aby być na bieżąco!

źródło: Apple Insider | Android Police