Mi is beszámoltunk arról, hogy a Nothing megalkotott egy olyan csevegőalkalmazást, amely kompatibilis az Apple-féle iMessage applikációval, de alig indult útjára az újdonság, máris lekerült a Google Play Áruház kínálatából. A hivatalos indoklás szerint az alkalmazásban több olyan hiba van, amelyek kijavítására rá kell szánni egy kis plusz időt, de sokkal valószínűbb, hogy biztonsági aggályok miatt kellett eltávolítani a Nothing Chatet a letölthető appok közül.
Nem lehetetlen, hogy az alkalmazás tényleg nem tökéletes még, de több bizonyíték is arra utal, hogy sokkal inkább égbekiáltó biztonsági hiányosságok miatt kellett eltávolítani az új applikációt a Google Play Áruházból. X-en publikáló szakik fedezték fel, hogy a Sunbird – a Nothing Chat fejlesztője – nem igazán volt őszinte a szerverein keresztül továbbított üzenetek végponttól végpontig titkosítását illetően.
Korábban nyilvánosságra hozták, hogy az alkalmazás használatához a Sunbird szerverein kell bejelentkezni, mégpedig egy Apple ID segítségével, maguk a szerverek virtuális gépen futnak egy Mac mini számítógépen. A Sunbird ugye azt állította, hogy a szerverekre küldött üzenetek titkosítva vannak, azonban a már említett bennfentesek felfedezték, hogy a szolgáltatás által generált JSON Web Tokeneket titkosítás és SSL nélkül küldik át egy másik Sunbird szerverre, így aztán ezeket egy rosszindulatú kíváncsiskodó megtekintheti, elolvashatja.
Hogy az egész még rosszabb legyen, az üzenetet visszafejtik, majd Sunbird szervereken tárolják, vagyis egy támadó hamarabb elolvashatja őket, mint maga a felhasználó. A Texts.com mindezt úgy igazolta, hogy küldtek néhány üzenetet két eszköz között, majd elfogták ezeket a már említett tokeneket, ezután már hozzáférésük volt a Firebase valós idejű adatbázisához. Végül csupán 23 sornyi kód kellett ahhoz, hogy letöltsék az összes felhasználói információt, illetve a beszélgetéseket. Nem baj, hanem teljesen érted az itt leírtakat, az egészből az a lényeg, hogy a Nothing Chat minden, csak nem biztonságos.
Azok, akik rájöttek a csevegőalkalmazás hiányosságaira, létrehoztak egy weboldalt, ahol a kódolást kellőképpen ismerő felhasználó képes lesz megcsípni a saját üzeneteit, amikor két eszköz között kommunikál a Nothing alkalmazása révén. Forrásaink rámutatnak arra, hogy az igazi felelős az app fejlesztője és fenntartója, vagyis a Sunbird. Carl Pei cége azonban mégis a velük való együttműködés mellett döntött, így aztán most ők is jól belekeveredtek ebbe az egészbe. Ráadásul az is inkorrekt, hogy erre a súlyos szituációra holmi hibaként hivatkoztak a gyártó részéről.
Nem igazán egészséges dolog egy harmadik fél által üzemeltetett szolgáltatás szervereire bejelentkezni az almás azonosítónkkal, még akkor sem, ha ennél jóval komolyabb és valóban működő titkosítás oltalmazza azt.
A jó hír az, hogy ha soha többé sem tér vissza a Nothing Chat a Google Play Áruházba, akkor sincs nagy baj. Az Apple ugyanis bejelentette, hogy a jövőben támogatni fogják az RCS szabványt. Így aztán nem lesz szükség kerülőutakra, vagy a Nothing Chathez hasonló alkalmazásokra sem ahhoz, hogy rendesen működjön az üzenetküldés iOS és Android között.
Forrás: GSMArena
