Mégsem elég biztonságos a Nothing Chats?

iMessage

Android

Nothing Chat

A biztonsággal kapcsolatos aggodalmak nem sokkal a Nothing Chats bejelentése után merültek fel.

Semmi sem tisztázza, hogyan működik a Nothing Chats, hogy megnyugtassa a felhasználókat a biztonságos használatáról. Az új eredmények azt mutatják, hogy az alkalmazás kevésbé biztonságos, mint azt korábban gondolták.

Amikor a Nothing bejelentette a Nothing Chats-et, a vállalat azt állította, hogy az új Phone 2 üzenetküldő platform végpontok közötti titkosítást kapott. Bár a Nothing ragaszkodik ahhoz, hogy az alkalmazása privát és biztonságos, az új eredmények azt mutatják, hogy kevésbé biztonságos, mint azt eredetileg gondoltuk.

A Nothing Chats a Sunbird alkalmazás architektúrájára épül, de a Nothing tervezte. Célja, hogy a Phone 2 kompatibilis legyen az iPhone iMessage alkalmazásával. Ehhez a felhasználóknak be kell jelentkezniük az alkalmazásba egy Apple ID-vel, amely azután hozzárendeli fiókját a Sunbird egyik Mac Mini virtuális példányához. Ez arra készteti az iPhone-t, hogy azt gondolja, hogy egy másik Apple-eszközzel kommunikál.

Ez aggályokat vet fel azzal kapcsolatban, hogy a felhasználóknak harmadik félben kell megbízniuk Apple ID adataik és jelszavaik biztonsága érdekében. A Nothing szóvivője azonban felvilágosította, hogy az alkalmazásba való első bejelentkezés után „a hitelesítő adatok titkosított adatbázisban vannak rögzítve”, és „nem férhet hozzá a Sunbird vagy bárki más, még akkor sem, ha hozzáfér a fizikai szerverhez”.

Most, hogy az alkalmazás nyilvánosan letölthető, a felhasználók más biztonsági problémákat fedeztek fel. Kishan Bagaria, a Texts.com alapítója megkérte csapatát, hogy vizsgálja meg az alkalmazást, és megállapította, hogy az alkalmazás hipertext átviteli protokollon (HTTP) keresztül küld információkat a biztonságos hipertext átviteli protokollon (HTTPS) helyett.

texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure

it's not even using HTTPS, credentials are sent over plaintext HTTP

backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86

— Kishan Bagaria (@KishanBagaria) November 17, 2023

A Texts csapata felfedezte a „bluebubbles” kifejezést is, ami azt sugallja, hogy a Sunbird a BlueBubbles által kifejlesztett technológiára épül, amely egy rivális szolgáltatás, amely Androidon keresztül is lehetővé teszi az iMessage elérését.

A felfedezés után azonban a Nothgin ezt a nyilatkozatot adta ki a 9to5Google-nak:

  "Míg a protokoll HTTP, minden adat titkosítva van, és az adatok titkosításához használt kulcsot HTTPS-en keresztül biztosítják, így az Apple hitelesítő adatai vagy a HTTP-kérésen keresztül küldött üzenetek biztonságosak és nem nyilvánosak. Minden érzékeny felhasználói adat, például az Apple ID hitelesítő adatok és az üzenetek mindig titkosítva vannak. A HTTP-t csak az alkalmazástól érkező egyszeri kezdeti kérés részeként használják, amely értesíti a háttérben a közelgő iMessage-kapcsolati iterációt, amely egy önálló kommunikációs csatornán keresztül fog követni.

  Ami a tweetjének másik részét illeti, évekkel ezelőtt, amikor a szervereket építették, a Sunbird társalapítója Blue Bubbles-nak nevezte el őket. A Sunbird/Chats nem használja más technológiáját, az elnevezés szigorúan a véletlen műve.

  Ezenkívül szeretném hozzátenni, hogy a Sunbird kezdettől fogva a biztonságra összpontosított, és az ISO27001 tanúsítvány (tanúsítvány száma: IA-2023-09-21-01), amely egy nemzetközileg elismert információbiztonsági irányítási rendszer specifikációja, egy a felhasználói adatvédelem iránti elkötelezettségét tükrözi."

Azt mindenkinek magának kell eldönteie, hogy megbízik-e a Sunbirdben és a Nothingben ezeknek a kinyilatkoztatásoknak a fényében. Ráadásul most, hogy az Apple bejelentette, hogy 2024-ben támogatni fogja az RCS-t, ezek az alkalmazások egyébként is átmeneti időre szólnak.

 Kattintson ide a Telefonguru legfrissebb híreiért!

• Android Authority