Ничто не является приложением iMessage для Android невероятно плохим

Дядя Влад
Заставка Nothing Chats в приложении.
Энди Боксалл / Цифровые тенденции

Ранее на этой неделе компания Nothing сделала неожиданный шаг и запустила приложение Nothing Chats для Nothing Phone 2 . Предпосылка? Позвольте любому, у кого есть Nothing Phone 2, отправлять и получать текстовые сообщения через iMessage. Nothing сотрудничала с Sunbird, чтобы заставить Nothing Chats работать, при этом Nothing, по сути, использовало собственную технологию обмена сообщениями Sunbird для переноса iMessage на Android.

Это была смелая идея… но она просуществовала недолго. Это потому, что Nothing Chats уже мертв (на данный момент) из-за шокирующего количества уязвимостей безопасности, которые были обнаружены почти сразу. Под уязвимостями безопасности мы не подразумеваем мелкие оплошности, которые можно было бы легко не заметить. Мы говорим о серьезных, разрушительных для игры недостатках дизайна, которые серьезно ставят под угрозу личную информацию любого, кто использовал Nothing Chats.

Проблема с Nothing Chats

Nothing Chats на Nothing Phone 2 по сравнению с iMessage на iPhone 15 Pro Max.
iMessage на iPhone 15 Pro Max (слева) и Nothing Chats на телефоне Nothing 2 Энди Боксалл / Digital Trends

Бета-версия Nothing Chats была запущена 17 ноября, и через несколько часов после того, как люди получили приложение, начали возникать тревожные проблемы с безопасностью. Одно из первых сообщений пришло от Кишана Багарии, основателя Texts.com. Багария и его команда обнаружили, что в сообщениях, отправленных через Nothing Chats, не использовались учетные данные безопасности HTTPS. Вместо этого сообщения отправлялись по гораздо менее безопасному стандарту HTTP в виде обычного текста.

Команда Texts быстро изучила технологию, лежащую в основе чатов, и обнаружила, что она крайне небезопасна.

он даже не использует HTTPS, учетные данные передаются по HTTP в открытом виде.

На бэкэнде запущен экземпляр BlueBubbles, который пока не поддерживает сквозное шифрование pic.twitter.com/IcWyIbKE86

— Кишан Багария (@KishanBagaria) 17 ноября 2023 г.

Но не только Багария обнаружил эти уязвимости. Вукко на X (ранее Twitter) также подтвердил, что все, отправленное через Nothing Chats, включая стандартные текстовые сообщения, изображения и другие мультимедийные вложения, было сделано с использованием простого текста и ясно видно любому, кто знал, где искать.

Более того, что еще более тревожно, Вукко обнаружил, что все данные сообщений, отправляемые и хранимые в Nothing Chats, передавались в незашифрованном виде и через легкодоступную платформу Firebase.

Приложение Nothing Chats (Skinned Sunbird) — это абсолютный кошмар конфиденциальности, который отправляет/хранит ВСЕ данные в незашифрованном виде на Firebase

и по какой-то причине он также отправляет ВСЕ сообщения и вложения часовому (опять же, в виде обычного текста) pic.twitter.com/CxBS7TZwCl

— вукко (@uwukko) 18 ноября 2023 г.

Эти отчеты были достаточно плохими, но дополнительные отчеты от 9to5Google еще раз подтвердили, насколько серьезными были эти уязвимости. Согласно собственным выводам 9to5:

«В ходе исследования Дилана Русселя мы обнаружили, что как только пользователь проходит аутентификацию с помощью веб-токенов JSON (JWT), которые небезопасны при передаче, он может получить доступ к базе данных Firebase Nothing Chat и видеть сообщения и файлы от других пользователей, отправленные в режиме реального времени и в простой текст."

Подключение к iMessage в приложении Nothing Chats.
Энди Боксалл / Цифровые тенденции

Далее в отчете упоминается, что vCards (также известные как карточки контактов) также были полностью доступны, включая имена людей, номера телефонов, адреса электронной почты и другую личную информацию. И как будто этого было недостаточно, 9to5Google также обнаружил более 630 000 медиафайлов, хранящихся на сервере Sunbird Firebase — компании, которая поддерживает приложение Nothing Chats.

Подводя итог, вот что мы видим:

  • Ничего Чаты не имеют сквозного шифрования
  • Сообщения от Nothing Chats отправляются в виде обычного текста.
  • Медиафайлы и другие вложения общедоступны.
  • Sunbird имеет доступ к сообщениям и вложениям, отправленным из Nothing Chats.

Другими словами, это все очень и очень плохо. Это особенно хуже, если учесть , как быстро Nothing опроверг эти первоначальные опасения по поводу безопасности, утверждая, что сообщения были сквозным шифрованием, хотя на самом деле это совсем не так.

Куда идет Ничто отсюда?

Информационная страница Sunbird в Nothing Chats.
Энди Боксалл / Цифровые тенденции

18 ноября, всего через день после запуска Nothing Chats, Nothing объявила на X, что официально удаляет приложение Nothing Chats из Play Store и «откладывает запуск до дальнейшего уведомления», чтобы компания могла «работать с Sunbird над исправлением нескольких ошибок». ».

Отказ от приложения и отсрочка запуска — это верный сигнал к концу Nothing, но невозможно переоценить, какой ущерб, вероятно, уже был нанесен всей этой катастрофой.

Мы удалили бета-версию Nothing Chats из Play Store и отложим запуск до дальнейшего уведомления, чтобы работать с Sunbird над исправлением нескольких ошибок.

Приносим извинения за задержку и поступим правильно со стороны наших пользователей.

— Ничего (@nothing) 18 ноября 2023 г.

В конце концов, в этих проблемах безопасности виновата компания Sunbird. Nothing Chats был создан на основе серверной части Sunbird, и Sunbird должна решить эти проблемы. Тем не менее, Nothing все же решила сотрудничать с Sunbird для создания и запуска Nothing Chats, и тот факт, что компания так и не обнаружила этих уязвимостей при создании Nothing Chats, вызывает беспокойство.

Если на вашем телефоне все еще установлено приложение Nothing Chats, мы настоятельно рекомендуем вам немедленно прекратить его использование. Та же рекомендация применима, если вы используете обычное приложение Sunbird. Наличие iMessage на телефоне Android — это очень удобно, но без риска серьезной компрометации вашей личной информации. Лучше просто подождать, пока Apple добавит RCS в iPhone в 2024 году .

Что касается будущего Nothing Chats, то сложно сказать, что будет дальше. Ничто не говорит о том, что запуск «задерживается», но чтобы исправить все проблемы, о которых мы только что говорили, Sunbird придется кардинально пересмотреть весь свой внутренний процесс. Собирается ли Nothing ждать, пока это произойдет, или решит просто сократить свои потери и навсегда отключить Nothing Chats? На данный момент кажется, что последнее может быть лучшим выбором.