Ακόμα και όταν ανακοινώθηκε αρχικά, το Nothing Chats έμοιαζε στην καλύτερη περίπτωση με μια πρόχειρη ιδέα. Υπάρχουν πολλές μέθοδοι για να χρησιμοποιήσετε το iMessage στο Android, είτε δρομολογώντας τα μηνύματα μέσω Mac, είτε μέσω απομακρυσμένων διακομιστών. Ωστόσο, ένας κατασκευαστής τηλεφώνων που εκμεταλλεύεται μία από αυτές τις λύσεις, για τη δημιουργία μιας εφαρμογής, σίγουρα αυξάνει το διακύβευμα. Χρειάστηκαν μόνο λίγες ώρες μετά την κυκλοφορία του Nothing Chats για να εμφανιστούν στο διαδίκτυο οι πρώτες ανησυχίες για την ασφάλεια του. Μία ημέρα μετά την κυκλοφορία της εφαρμογής στο Play Store, φαίνεται ότι το όνειρο του Nothing Chats μπορεί να μετατραπεί σε εφιάλτη.
Από την πρώτη στιγμή, η Nothing διαφήμιζε το προϊόν της ως ένα αντίπαλο δέος για παρόμοιες εφαρμογές όπως το Beeper ή το AirMessage, ως έναν τρόπο αποστολής κρυπτογραφημένων από άκρο σε άκρο μηνυμάτων στους χρήστες του iMessage. Μετά το λανσάρισμα της εφαρμογής στο Play Store, ο Kishan Bagaria – ιδρυτής του Texts που είναι αντίστοιχη υπηρεσία, έγραψε στο Twitter ότι η πλατφόρμα στέλνει τα διαπιστευτήρια μέσω απλού κειμένου HTTP αντί για HTTPS. Αυτό δεν θα έπρεπε να ισχύει σε μια πλατφόρμα που ισχυρίζεται ότι εστιάζει στην προστασία της ιδιωτικής ζωής. Σε δήλωσή της, η Nothing υποβάθμισε αυτά τα ευρήματα, ισχυριζόμενη ουσιαστικά ότι το όλο θέμα ήταν υπερβολικό, επειδή τα κλειδιά κρυπτογράφησης της χρησιμοποιούν HTTPS.
Βιάστηκε λίγο, και αγνόησε το τι σημαίνει internet. Στο 9to5Google δημοσίευσαν ένα καυστικό άρθρο, συνδέοντας τα δικά τους ευρήματα με αυτά του χρήστη Wukko του Twitter για να αποδείξουν ότι τα πράγματα είναι πολύ χειρότερα από ό,τι ίσως πίστευαν όλοι. Πρόκειται για ένα διπλό χτύπημα στην ιδιωτικότητα, γίνεται χρήση μιας εφαρμογής αντιμετώπισης προβλημάτων προγραμματιστών που ονομάζεται Sentry για να καταγράφει κάθε μήνυμα σε απλό κείμενο, ενώ παράλληλα αποθηκεύονται τα δεδομένα αυτά χωρίς κρυπτογράφηση στο Firebase και μπορεί να τα βρει σχεδόν όποιος θέλει.
nothing chats app (skinned sunbird) is an absolute privacy nightmare that sends/stores ALL data unencrypted on firebase
and for whatever reason it also sends ALL messages and attachments to sentry (again, in plain text) pic.twitter.com/CxBS7TZwCl
— wukko (@uwukko) November 18, 2023
Δεν αφορά μόνο τα μηνύματα κειμένου, αλλά και τις εικόνες, τα βίντεο, τα ονόματα χρηστών, τους αριθμούς τηλεφώνου, και οτιδήποτε άλλο αποστέλλεται απευθείας μέσω της εφαρμογής. Λαμβάνοντας υπόψη ότι το Nothing Chats ζητάει από τους χρήστες του να στέλνουν τα δεδομένα τους στις επαφές μέσω μιας vCard, αυτό κάνει το πρόβλημα πολύ πιο μεγάλο.
So… Yesterday, Sunbird replied to @KishanBagaria, saying that using HTTP is fine! Because it's part of an initial request and that's it.
No it's not fine, it still leaks users' email addresses. But at least it pushed me to look deeper.https://t.co/JnLrGgp1iN
— Dylan Roussel (@evowizz) November 18, 2023
Ο Dylan Roussel του 9to5Google ανέλυσε τα ευρήματα του βαθύτερα σε ένα νήμα στο Twitter, τονίζοντας ότι περισσότερα από 600.000 κομμάτια ήταν δημόσια διαθέσιμα. Ο αριθμός αυτός περιλαμβάνει 2.300 vCards, τα οποία είναι δυνατόν να κατέβουν σε τοπικά μέσα, από τον διακομιστή Firebase της Nothing, μαζί με εικόνες, PDF και άλλα. Όπως αναφέρει η έκθεση, όλα αυτά τα δεδομένα είναι διαθέσιμα και προσβάσιμα σε πραγματικό χρόνο σε κάθε χρήστη που πιστοποιείται με τα ανασφαλή JSON Web Tokens της εφαρμογής. Η Texts επεκτάθηκε επίσης στα δικά της αρχικά ευρήματα, παρουσιάζοντας αυτές τις ευπάθειες σε μια εκτεταμένη ανάρτηση σε blog.
So, depending on how much data was in the vCard, the personal information of 2300+ users are accessible.
To prove it's accessible, I downloaded one. pic.twitter.com/qnaHCJKwwg
— Dylan Roussel (@evowizz) November 18, 2023
Σύμφωνα με το 9to5Google, ειδοποίησαν την Nothing για αυτά τα κενά ασφαλείας, αφού τα ανακάλυψαν το βράδυ της Παρασκευής. Αν και η εταιρεία δεν ανακοίνωσε αρχικά συγκεκριμένες ενέργειες που έγιναν προς την εφαρμογή της, με βάση αναφορές στο reddit, οι χρήστες που θα έπρεπε να έχουν πρόσβαση στο Nothing Chats με βάση την τοποθεσία τους δεν μπορούσαν να κατεβάσουν την εφαρμογή από το Play Store. Η Nothing επιβεβαίωσε στο Twitter ότι η κυκλοφορία της εφαρμογής θα καθυστερήσει για να διορθωθούν “αρκετά σφάλματα”.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Θα είναι δύσκολο για τη Nothing να διορθώσει τη ζημιά που προκάλεσε όλο αυτό το φιάσκο με το Chats. Ως μικρότερη μάρκα στο ευρύτερο οικοσύστημα Android, η Nothing εξαρτάται ουσιαστικά από τους χρήστες με τεχνολογικές γνώσεις και τους κριτικούς που συνιστούν τα προϊόντα της στους πιο απλούς χρήστες. Μια τόσο κακοφτιαγμένη εφαρμογή κάνει αυτό το εγχείρημα πολύ πιο δύσκολο. Το να εμπιστευτεί τη Sunbird για να χειριστεί μια παράκαμψη του iMessage φαίνεται να ήταν ένα τεράστιο λάθος. Ακόμα χειρότερο, όμως, είναι το πόσο γρήγορα οι χρήστες σε όλο τον ιστό βρήκαν αυτές τις τρύπες στην ασφάλειά της εφαρμογής. Οπότε, είτε η Nothing είπε ψέματα σχετικά με την κρυπτογραφημένη εφαρμογή ανταλλαγής μηνυμάτων, είτε δεν αφιέρωσε χρόνο για να δοκιμάσει τα πρωτόκολλα αυτά πριν τη διαθέσει στους χρήστες.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
