Nothing Chats: Αποσύρεται από το Google Play λόγω σοβαρών ανησυχιών για την ασφάλεια

0
5

Η Nothing απέσυρε την beta έκδοση της εφαρμογής Nothing Chats από το Google Play Store, δηλώνοντας ότι “αναβάλλει τo λανσάρισμα μέχρι νεωτέρας” ενώ διορθώνει “αρκετά σφάλματα”. Η εφαρμογή υποσχόταν να επιτρέψει στους χρήστες του Nothing Phone 2 να στέλνουν μηνύματα μέσω iMessage, αλλά απαιτούσε από την Sunbird, η οποία παρέχει την πλατφόρμα, να συνδέεται στους λογαριασμούς iCloud των χρηστών μέσω των δικών της διακομιστών Mac Mini, κάτι που φαίνεται πως δε λειτούργησε.

Η απόφαση να αποσυρθεί η εφαρμογή ήρθε αφού χρήστες μοιράστηκαν ευρέως ένα άρθρο από το Texts.com που έδειχνε ότι τα μηνύματα που στέλνονται μέσω του συστήματος της Sunbird δεν είναι πραγματικά κρυπτογραφημένα από άκρο σε άκρο. Αυτό σημαίνει ότι είναι ευάλωτα σε επιθέσεις από επιτήδειους και άρα μη ασφαλή.

Το 9to5Google αναφέρθηκε σε ένα Τhread από τον συγγραφέα του ιστότοπου, Dylan Roussel, ο οποίος διαπίστωσε ότι μέρος της διαδικασίας που ακολουθεί η Sunbird περιλαμβάνει την αποκρυπτογράφηση και τη μετάδοση μηνυμάτων μέσω HTTP σε έναν διακομιστή συγχρονισμού cloud Firebase και την αποθήκευσή τους εκεί σε μη κρυπτογραφημένο απλό κείμενο. Ο Roussel δημοσίευσε ότι η ίδια η εταιρεία έχει πρόσβαση στα μηνύματα επειδή τα καταγράφει ως σφάλματα χρησιμοποιώντας το Sentry, μια υπηρεσία debugging. Αυτό αντικρούει το FAQ της Nothing ότι κανείς στη Sunbird δεν μπορεί να έχει πρόσβαση σε μηνύματα που στέλνονται ή λαμβάνονται.

Η Sunbird ισχυρίστηκε ότι το HTTP “χρησιμοποιείται μόνο ως μέρος του αρχικού μοναδικού αιτήματος από την εφαρμογή που ειδοποιεί το back-end για την επικείμενη σύνδεση iMessage.”

Το Texts.com έγραψε ότι “ένας εισβολέας που έχει εγγραφεί στην πραγματική βάση δεδομένων Firebase θα μπορεί πάντα να έχει πρόσβαση στα μηνύματα πριν ή τη στιγμή που διαβάζονται από τον χρήστη.”

Τα μηνύματα που αποστέλλονται στους διακομιστές είναι κρυπτογραφημένα, ισχυρίζεται η Sunbird. Ωστόσο, αποκαλύφθηκε πως τα JSON Web Tokens ή JWT που δημιουργεί η υπηρεσία αποστέλλονται ξανά μη κρυπτογραφημένα σε άλλο διακομιστή Sunbird χωρίς SSL, επιτρέποντάς τους να υποκλαπούν από έναν εισβολέα.

Επιπλέον, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους διακομιστές Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών.

Πηγή