Την προηγούμενη Τρίτη, η Nothing Chats, μια εφαρμογή συνομιλίας από τον κατασκευαστή Android «Nothing» και την εταιρεία εφαρμογών Sunbird, ισχυρίστηκε ότι μπορεί να χακάρει το πρωτόκολλο iMessage της Apple και να προσφέρει στους χρήστες Android παρομοίου επιπέδου εμπειρία. Η εφαρμογή κυκλοφόρησε την Παρασκευή. Δεν κράτησε ούτε 24 ώρες πριν η Nothing αποσύρει την εφαρμογή από το Play Store το Σάββατο πρωί λόγω σοβαρών θεμάτων ασφαλείας.
Δείτε επίσης: Nothing Chats: Η Εφαρμογή που Φέρνει το iMessage στο Android
Η Sunbird μια εταιρεία που έδινε κενές υποσχέσεις εδώ και σχεδόν έναν χρόνο και που απέφευγε να απαντήσει σε ερωτήσεις ασφαλείας των χρηστών των μέσων ενημέρωσης φαινόταν αμελής σχετικά με την ασφάλεια από χιλιόμετρα.
Η αρχική προσέγγιση για αυτήν την εφαρμογή ήταν ότι θα σας συνδέει στο iMessage μέσω του Android λογισμικού εάν παραδώσετε το Apple όνομα χρήστη και κωδικό σας. Ήταν ένα τεράστιο σημάδι κίνδυνου για την ασφάλεια, που σήμαινε ότι η Sunbird θα έπρεπε να έχει μια υπερ-ασφαλή υποδομή για να αποφύγει την καταστροφή. Αντί για αυτό, όμως, η εφαρμογή αποδείχθηκε εντελώς επισφαλής.
Πόσο μεγάλα είναι τα κενά ασφαλείας του Nothing Chats;
Τόσο η 9to5Google όσο και η Text.com (η οποία ανήκει στην Automattic, την εταιρεία πίσω από το WordPress) ανακάλυψαν σοβαρές πρακτικές ασφαλείας. Όχι μόνο η εφαρμογή δεν ήταν κρυπτογραφημένη από άκρη σε άκρη, αλλά η Sunbird πραγματικά κατέγραφε και αποθήκευε τα μηνύματα κειμένου σε απλό κείμενο τόσο στο λογισμικό αναφοράς σφαλμάτων Sentry όσο και σε ένα κατάστημα Firebase. Επίσης τα διακριτικά απεστάλησαν μέσω μη κρυπτογραφημένου HTTP, επομένως το όποιο δεδομένο θα μπορούσε να παρακολουθηθεί και να χρησιμοποιηθεί.
Η έρευνα της Text.com αποκάλυψε περαιτέρω ευπάθειες στην ασφάλεια των εφαρμογών της Sunbird. Όταν λαμβάνεται ένα μήνυμα ή ένα συνημμένο, δεν κρυπτογραφούνται άμεσα στον διακομιστή, επιτρέποντας σε επιτιθέμενο να έχει πρόσβαση σε αυτά πριν από την επίσημη επιβεβαίωση του χρήστη. Αυτή η ανεπάρκεια ασφαλείας συνιστά σοβαρή απειλή, καθώς επιτρέπει την πρόσβαση σε ευαίσθητα δεδομένα.
Επίσης, η Text.com ανέπτυξε μια εφαρμογή προστασίας που μπορούσε να ανακτήσει μηνύματα από τους διακομιστές της Sunbird, αποδεικνύοντας την ευπάθεια του συστήματος. Επιπλέον, ο μηχανικός προϊόντος της Text.com, Batuhan Içöz, δημιούργησε ένα εργαλείο για τη διαγραφή ορισμένων δεδομένων από τους διακομιστές της Sunbird. Συστήνει στους χρήστες να αλλάξουν άμεσα τα Apple IDs τους και να ανακληθεί το session της Sunbird, προειδοποιώντας ότι τα δεδομένα τους μπορεί να έχουν διαρρεύσει.
Επιπλέον, ο δημοσιογράφος της 9to5Google, Dylan Roussel, εντόπισε σημαντικές ευπάθειες, με τα καταγεγραμμένα 630.000 αρχεία μέσων που είναι δημόσια προσβάσιμα.
Δείτε ακόμα: Nothing Phone 2 review: Όσα πρέπει να ξέρετε για το smartphone
Η κατάσταση χαρακτηρίζεται ως «πιθανότατα ο μεγαλύτερος εφιάλτης απορρήτου» από κατασκευαστή τηλεφώνων εδώ και χρόνια. Οι ευπάθειες αυτές έθεσαν σε κίνδυνο τα προσωπικά δεδομένα των χρηστών, ενώ η Nothing, ως συνεργαζόμενη της Sunbird, κατηγορήθηκε για έλλειψη αξιολόγησης και ασφάλειας πριν από την επίσημη κυκλοφορία της εφαρμογής Nothing Chats.
Η Sunbird παρέμεινε σιωπηλή παρά το γεγονός ότι ήταν υπεύθυνη για μια σοβαρή παραβίαση.
Η Nothing επιχείρησε να αποκαταστήσει την κατάσταση, υποστηρίζοντας ότι αυτή και η Sunbird θα διορθώσουν τα προβλήματα και θα επαναφέρουν την εφαρμογή στο Play Store «μετά την επίλυση των σφαλμάτων».
Η Nothing πάντα φάνταζε σαν μια κατασκευάστρια Android που επέδειξε περισσότερο ενθουσιασμό παρά ουσία, αλλά τώρα μπορούμε να προσθέσουμε και την “αμέλεια” σε αυτήν τη λίστα.
Δείτε επίσης: Το Nothing OS 2.0 είναι διαθέσιμο για το Phone 1 της Nothing
«Όταν ολόκληρη η εφαρμογή κατασκευάστηκε χωρίς καμία ανησυχία για την ασφάλεια, δεν βλέπω πώς μπορείτε απλά να το διορθώσετε σε μία ή δύο εβδομάδες». Αν το Nothing Chats επιστρέψει στο Play Store, θα τους εμπιστευθεί κανείς τόσο ώστε να εισάγει τα credentials του;
Πηγή: arstechnica.com
