Η Nothing απέσυρε την beta έκδοση της εφαρμογής Nothing Chats από το Google Play Store, δηλώνοντας ότι “αναβάλλει τo λανσάρισμα μέχρι νεωτέρας” ενώ διορθώνει “αρκετά σφάλματα”. Η εφαρμογή υποσχόταν να επιτρέψει στους χρήστες του Nothing Phone 2 να στέλνουν μηνύματα μέσω iMessage, αλλά απαιτούσε από την Sunbird, η οποία παρέχει την πλατφόρμα, να συνδέεται στους λογαριασμούς iCloud των χρηστών μέσω των δικών της διακομιστών Mac Mini, κάτι που φαίνεται πως δε λειτούργησε.
We’ve removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Η απόφαση να αποσυρθεί η εφαρμογή ήρθε αφού χρήστες μοιράστηκαν ευρέως ένα άρθρο από το Texts.com που έδειχνε ότι τα μηνύματα που στέλνονται μέσω του συστήματος της Sunbird δεν είναι πραγματικά κρυπτογραφημένα από άκρο σε άκρο. Αυτό σημαίνει ότι είναι ευάλωτα σε επιθέσεις από επιτήδειους και άρα μη ασφαλή.
Το 9to5Google αναφέρθηκε σε ένα Τhread από τον συγγραφέα του ιστότοπου, Dylan Roussel, ο οποίος διαπίστωσε ότι μέρος της διαδικασίας που ακολουθεί η Sunbird περιλαμβάνει την αποκρυπτογράφηση και τη μετάδοση μηνυμάτων μέσω HTTP σε έναν διακομιστή συγχρονισμού cloud Firebase και την αποθήκευσή τους εκεί σε μη κρυπτογραφημένο απλό κείμενο. Ο Roussel δημοσίευσε ότι η ίδια η εταιρεία έχει πρόσβαση στα μηνύματα επειδή τα καταγράφει ως σφάλματα χρησιμοποιώντας το Sentry, μια υπηρεσία debugging. Αυτό αντικρούει το FAQ της Nothing ότι κανείς στη Sunbird δεν μπορεί να έχει πρόσβαση σε μηνύματα που στέλνονται ή λαμβάνονται.
Sunbird has access to every message sent and received through the app. They do this by abusing @getsentry, which is used to monitor errors.
But Sunbird logs messages, pretending they are errors.
Here are part of the requests (img 1, 3) and their entire “message” (img 2, 4) pic.twitter.com/pzwwQVWfOb
— Dylan Roussel (@evowizz) November 18, 2023
Η Sunbird ισχυρίστηκε ότι το HTTP “χρησιμοποιείται μόνο ως μέρος του αρχικού μοναδικού αιτήματος από την εφαρμογή που ειδοποιεί το back-end για την επικείμενη σύνδεση iMessage.”
Το Texts.com έγραψε ότι “ένας εισβολέας που έχει εγγραφεί στην πραγματική βάση δεδομένων Firebase θα μπορεί πάντα να έχει πρόσβαση στα μηνύματα πριν ή τη στιγμή που διαβάζονται από τον χρήστη.”
Τα μηνύματα που αποστέλλονται στους διακομιστές είναι κρυπτογραφημένα, ισχυρίζεται η Sunbird. Ωστόσο, αποκαλύφθηκε πως τα JSON Web Tokens ή JWT που δημιουργεί η υπηρεσία αποστέλλονται ξανά μη κρυπτογραφημένα σε άλλο διακομιστή Sunbird χωρίς SSL, επιτρέποντάς τους να υποκλαπούν από έναν εισβολέα.
Επιπλέον, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους διακομιστές Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών.
texts team took a quick look at the tech behind nothing chats and found out it’s extremely insecure
it’s not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn’t support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/media are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) November 18, 2023
ΣΥΖΗΤΗΣΗ