Aplikacja Nothing Chats zintegrowana z iMessage zniknęła ze Sklepu Play po kilku raportach o jej braku zachowania podstawowych zasad bezpieczeństwa i prywatności.
Aplikacja Nothing Chats, rywal aplikacji takich jak Beeper i AirMessage, promowany był śmiało przez Carla Pei jako bezpieczna platforma wysyłania wiadomości do użytkowników iMessage. Jednak niecałe 24 godziny po uruchomieniu usługi dociekliwi użytkownicy wykazali, że Nothing Chats rejestruje każdą wiadomość w postaci zwykłego tekstu i przechowuje niezaszyfrowane dane, w tym wiadomości tekstowe, obrazy, filmy i inne, co stanowi poważne zagrożenie dla prywatności i bezpieczeństwa. W konsekwencji firma usunęła aplikację ze Sklepu Play w odpowiedzi na te skargi, powołując się na „kilka błędów”, które wymagają naprawy.
Firma Nothing wycofała wersję beta aplikacji Nothing Chats ze sklepu Google Play, twierdząc, że „opóźnia uruchomienie do odwołania”, a jednocześnie naprawia „kilka błędów”. Aplikacja obiecała, że użytkownicy Nothing Phone (2) będą mogli komunikować się za pomocą iMessage, ale wymagało to umożliwienia firmie Sunbird, która udostępnia tę platformę, logowanie się do kont użytkowników iCloud na własnych serwerach Mac Mini, co… nie jest bezpieczne…
Usunięcie nastąpiło po tym, jak użytkownicy szeroko udostępnili doniesienia z Texts.com, pokazując, że wiadomości wysyłane za pomocą systemu Sunbird nie są w rzeczywistości całkowicie szyfrowane i że nie jest trudno je złamać. Aplikacja została uruchomiona w wersji beta wczoraj, po ogłoszeniu jej na początku tego tygodnia.
Serwis 9to5Google wskazał na wątek autora witryny Dylana Roussela, który odkrył, że część rozwiązania Sunbird polega na odszyfrowywaniu i przesyłaniu wiadomości za pomocą protokołu HTTP do serwera synchronizującego chmurę Firebase i przechowywaniu ich tam w postaci niezaszyfrowanego zwykłego tekstu. Roussel napisał, że sama firma ma dostęp do wiadomości, ponieważ rejestruje je jako błędy za pomocą usługi debugowania Sentry.
Firma Sunbird stwierdziła wczoraj, że protokół HTTP jest „używany wyłącznie w ramach jednorazowego żądania początkowego wysyłanego przez aplikację powiadamiającego zaplecze o zbliżającym się połączeniu iMessage”.
To była odpowiedź na to, że ktoś wskazał na blog Texts.com badający lukę. Texts.com napisał, że „osoba atakująca bazę danych czasu rzeczywistego Firebase zawsze będzie mogła uzyskać dostęp do wiadomości przed ich przeczytaniem lub w momencie ich przeczytania przez użytkownika”. Na blogu wskazano również, że firma mogła przeglądać wiadomości w panelu kontrolnym Sentry, co bezpośrednio zaprzecza twierdzeniu zawartemu w FAQ Nothing, jakoby nikt w Sunbird nie miał dostępu do wysyłanych i odbieranych wiadomości.
➔ Obserwuj nas w Google News, aby być na bieżąco!
źródło: Nothing | The Verge