Ce s-a întâmplat cu aplicația Nothing Chats. De ce a fost retrasă după mai puțin de 24 de ore
0Nothing Chats, o aplicație de chat dezvoltată de producătorul de smartphone-uri cu Android, Nothing și de compania Sunbird, a pretins că poate sparge protocolul iMessage al Apple și poate oferi utilizatorilor de Android “bule albastre”.
Încă de la început, propunerea inițială a aplicației de a solicita datele de autentificare Apple reprezenta un semnal de alarmă major în ceea ce privește securitatea, sugerând că Sunbird ar avea nevoie de o infrastructură ultra-securizată pentru a evita dezastrele.
Aplicația a fost lansată vineri, 17 noiembrie, și a atras imediat critici pe internet pentru numeroase probleme de securitate. Nu a durat 24 de ore și Nothing a retras aplicația din Play Store, sâmbătă dimineața.
Aplicația nu era criptată de la un capăt la altul, așa cum au susținut de mai multe ori Nothing și Sunbird, concret Sunbird a înregistrat și a stocat mesaje în format text atât în software-ul de raportare a erorilor Sentry, cât și într-o bază de date Firebase Realtime DB. Texts.com, un serviciu care îți permite să trimiți și să primești mesaje de pe toate platformele majore de mesagerie: iMessage, WhatsApp, Telegram, Signal, Messenger X, Instagram, LinkedIn, Slack și Discord DMs, a descoperit mai multe vulnerabilități.
- Mesajele și atașamentele sunt decriptate pe server până când clientul trimite o cerere de recunoaștere și ștergere din baza de date. Acest lucru înseamnă că un atacator abonat la Firebase Realtime DB poate accesa întotdeauna mesajele înainte sau în momentul în care sunt citite de utilizator.
- Texts.com a reușit să intercepteze un token de autentificare trimis prin HTTP necriptat și să se aboneze la modificările care au loc în baza de date. Acest lucru a însemnat actualizări în timp real ale “Mesajelor în interior, în exterior, modificările contului, etc” nu doar de la ei, dar și de la alți utilizatori.
- Texts.com a lansat o aplicație de concept care ar putea prelua mesajele tale presupus criptate de la un capăt la altul de pe serverele Sunbird.
- Batuhan Içöz, un inginer de produs pentru Texts.com, a lansat și un instrument care va șterge o parte din datele tale de pe serverele Sunbird. Içöz recomandă ca orice utilizatori Sunbird/Nothing Chat să-și schimbe imediat parola Apple, să închidă sesiunea Sunbird și să “presupună că datele lui sunt deja compromise”.
9to5Google a investigat aplicația și a descoperit că, în plus față de toate datele text care sunt publice, “Toate documentele (imagini, videoclipuri, audio, pdf-uri, vCards…) trimise prin Nothing Chat și Sunbird sunt publice.” Dylan Roussel, un dezvoltator de aplicații pentru Android, care scrie pentru 9to5Google, a găsit 630.000 de fișiere media stocate în prezent de Sunbird, și aparent a putut accesa unele dintre acestea.
În ciuda faptului că a fost cauza acestei ”catastrofe uriașe”, Sunbird a fost neobișnuit de tăcut în timpul acestui haos. Pagina X a aplicației Nothing nu spune nimic despre închiderea Nothing Chats sau Sunbird.
Această situație nu a reprezentat doar o problemă a aplicației în sine, ci și și o lipsă de analiză aprofundată între cele două companii, care au lansat o aplicație fără a acorda atenția cuvenită standardelor moderne de securitate. Episodul ridică întrebări serioase în legătură cu capacitatea de a remedia problemele și de a recâștiga încrederea utilizatorilor, în cazul unei posibile relansări a aplicației.