Το Nothing Chats, ο κλώνος του iMessage που κυκλοφόρησε η εταιρεία νωρίτερα αυτή την εβδομάδα, αποσύρθηκε από το Google Play Store! Το επίσημο σκεπτικό είναι «αρκετά σφάλματα» που η εταιρεία χρειάζεται χρόνο για να διορθώσει πριν το λανσάρει ξανά μετά από αόριστο χρονικό διάστημα. Ωστόσο, υπάρχουν αρκετά στοιχεία που υποστηρίζουν την ιδέα ότι η εφαρμογή αποσύρθηκε όχι λόγω «σφαλμάτων», όπως το θέτει η Nothing, αλλά μάλλον λόγω κάποιων κραυγαλέων ζητημάτων ασφαλείας.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Σύμφωνα με μια ενδελεχή τεχνική ανάλυση από τη συγγραφέα του Texts.com Rida F’kih και τους χρήστες του Twitter @batuhan και @1ConanEdogowa, η εταιρεία παροχής υπηρεσιών της Nothing, Sunbird, συνελήφθη να λέει ψέματα για την κρυπτογραφημένη φύση των μηνυμάτων που δρομολογούνται μέσω των διακομιστών της! Όπως αποκαλύφθηκε η εγγραφή για τη χρήση του Nothing Chats απαιτούσε login στους servers της Sunbird χρησιμοποιώντας το Apple ID σας, οι οποίοι τρέχουν σε Mac mini σε virtual machine. Τα μηνύματα που αποστέλλονται στους servers είναι κρυπτογραφημένα, όπως ισχυρίζεται η Sunbird. Ωστόσο, όπως ανακάλυψαν οι προαναφερθέντες συγγραφείς, τα JSON Web Tokens ή JWT που δημιουργεί η υπηρεσία αποστέλλονται ξανά μη κρυπτογραφημένα σε άλλο server της Sunbird χωρίς SSL, επιτρέποντάς τους να υποκλαπούν από έναν εισβολέα.
@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/media are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) November 18, 2023
Επιπλέον, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους servers της Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών. Ο συγγραφέας παρείχε επίσης έναν ιστότοπο όπου ένας χρήστης με επαρκή γνώση του κώδικα θα μπορεί να υποκλέψει τα δικά του μηνύματα όταν στέλνει μηνύματα μεταξύ δύο συσκευών, η μία από τις οποίες εκτελεί την εφαρμογή Nothing Chats.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
Για να είμαστε σαφείς, το ζήτημα της ιδιωτικής ζωής είναι ευθέως λάθος της Sunbird. Ωστόσο, επιλέγοντας να συνεργαστεί με την εταιρεία, η Nothing έχει επίσης εμπλακεί στο θέμα. Επιπλέον, η αντιμετώπιση αυτής της μάλλον σοβαρής κατάστασης ως «bugs» ήταν εξαιρετικά ανέντιμη. Θα δούμε σε ποια κατάσταση θα εμφανιστεί ξανά η υπηρεσία όταν η Nothing αποφασίσει να επαναφέρει την εφαρμογή στο Google Play Store.
Κάποιες από τις αναρτήσεις μας μπορεί να περιέχουν συνδέσμους συνεργατών. Το Gizchina Greece μπορεί να λαμβάνει ένα μικρό ποσοστό, εάν κάνετε κλικ σε έναν σύνδεσμο και αγοράσετε κάποιο προιόν. Αν θέλετε περισσότερες λεπτομέρειες, εδώ μπορείτε να μάθετε πώς χρησιμοποιούμε τους συνδέσμους συνεργατών. Σας ευχαριστούμε για την υποστήριξη!
-----------
Ακολουθήστε το Gizchina Greece στο Google News για να μαθαίνετε πρώτοι και άμεσα, όλα τα τεχνολογικά νέα! Αν ψάχνετε HOT προσφορές, κάντε εγγραφή στο κανάλι μας στο Telegram!
