Nothing Chats: Αποσύρεται από το Google Play λόγω σοβαρών ανησυχιών για την ασφάλεια

Nothing Chats, Nothing Chats: Αποσύρεται από το Google Play λόγω σοβαρών ανησυχιών για την ασφάλεια

Η Nothing απέσυρε την beta έκδοση της εφαρμογής Nothing Chats από το Google Play Store, δηλώνοντας ότι “αναβάλλει τo λανσάρισμα μέχρι νεωτέρας” ενώ διορθώνει “αρκετά σφάλματα”. Η εφαρμογή υποσχόταν να επιτρέψει στους χρήστες του Nothing Phone 2 να στέλνουν μηνύματα μέσω iMessage, αλλά απαιτούσε από την Sunbird, η οποία παρέχει την πλατφόρμα, να συνδέεται στους λογαριασμούς iCloud των χρηστών μέσω των δικών της διακομιστών Mac Mini, κάτι που φαίνεται πως δε λειτούργησε.

Η απόφαση να αποσυρθεί η εφαρμογή ήρθε αφού χρήστες μοιράστηκαν ευρέως ένα άρθρο από το Texts.com που έδειχνε ότι τα μηνύματα που στέλνονται μέσω του συστήματος της Sunbird δεν είναι πραγματικά κρυπτογραφημένα από άκρο σε άκρο. Αυτό σημαίνει ότι είναι ευάλωτα σε επιθέσεις από επιτήδειους και άρα μη ασφαλή.

Το 9to5Google αναφέρθηκε σε ένα Τhread από τον συγγραφέα του ιστότοπου, Dylan Roussel, ο οποίος διαπίστωσε ότι μέρος της διαδικασίας που ακολουθεί η Sunbird περιλαμβάνει την αποκρυπτογράφηση και τη μετάδοση μηνυμάτων μέσω HTTP σε έναν διακομιστή συγχρονισμού cloud Firebase και την αποθήκευσή τους εκεί σε μη κρυπτογραφημένο απλό κείμενο. Ο Roussel δημοσίευσε ότι η ίδια η εταιρεία έχει πρόσβαση στα μηνύματα επειδή τα καταγράφει ως σφάλματα χρησιμοποιώντας το Sentry, μια υπηρεσία debugging. Αυτό αντικρούει το FAQ της Nothing ότι κανείς στη Sunbird δεν μπορεί να έχει πρόσβαση σε μηνύματα που στέλνονται ή λαμβάνονται.


Η Sunbird ισχυρίστηκε ότι το HTTP “χρησιμοποιείται μόνο ως μέρος του αρχικού μοναδικού αιτήματος από την εφαρμογή που ειδοποιεί το back-end για την επικείμενη σύνδεση iMessage.”

Το Texts.com έγραψε ότι “ένας εισβολέας που έχει εγγραφεί στην πραγματική βάση δεδομένων Firebase θα μπορεί πάντα να έχει πρόσβαση στα μηνύματα πριν ή τη στιγμή που διαβάζονται από τον χρήστη.”

Τα μηνύματα που αποστέλλονται στους διακομιστές είναι κρυπτογραφημένα, ισχυρίζεται η Sunbird. Ωστόσο, αποκαλύφθηκε πως τα JSON Web Tokens ή JWT που δημιουργεί η υπηρεσία αποστέλλονται ξανά μη κρυπτογραφημένα σε άλλο διακομιστή Sunbird χωρίς SSL, επιτρέποντάς τους να υποκλαπούν από έναν εισβολέα.

Επιπλέον, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους διακομιστές Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών.

Ο Αντώνης Γιαγδζόγλου είναι δημοσιογράφος με πολλές συνεργασίες με online μέσα. Αρθρογραφεί για νέες τεχνολογίες και τεχνολογίες που βελτιώνουν τη ζωή μας ενώ συνεργάζεται με διαφημιστικές εταιρείες και διαχειρίζεται social media επιχειρήσεων.

Ακολουθήστε το Techblog.gr στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας. Αν χρησιμοποιείτε RSS προσθέστε το Techblog στη λίστα σας https://techblog.gr/feed/.

ΣΥΖΗΤΗΣΗ

Παρακολουθήστε τα σχόλια
Να ειδοποιηθώ όταν
guest

0 Σχόλια
Inline Feedbacks
View all comments

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Smartphones featured MediaTek vivo

vivo X100 Pro: Πώς ανταποκρίνεται ο Mediatek Dimensity 9300 στο τεστ θερμικής απόδοσης

To vivo X100 Pro έφτασε στα χέρια των πρώτων reviewer και μπορούμε να πάρουμε μια ιδέα για τη θερμική απόδοση του Mediatek Dimensity 9300.

Smartphones featured Redmi Xiaomi

Xiaomi Redmi K70 & K70 Pro: Hands-on εικόνες αποκαλύπτουν λεπτομέρειες πριν την κυκλοφορία

H Xiaomi είναι έτοιμη να λανσάρει τη νέα σειρά της Redmi K70 την Τετάρτη, 29 Νοεμβρίου, με τρία smartphones.

Smartphones featured

Ρεκόρ Γκίνες στην τεχνολογία: Αυτή είναι η μεγαλύτερη συλλογή κινητών τηλεφώνων στον κόσμο

Ο Andrei Bilbie Argentis που ζει στο Cluj-Napoca της Ρουμανίας είναι ο άνθρωπος με τη μεγαλύτερη συλλογή κινητών τηλεφώνων στον κόσμο.

Smartphones featured OnePlus

OnePlus 12: Οι πρώτες επίσημες εικόνες του smartphone

To OnePlus 12 είναι προγραμματισμένο να κυκλοφορήσει στις 4 Δεκεμβρίου και η εταιρεία μόλις μοιράστηκε τις πρώτες επίσημες φωτογραφίες του.