Ничего Чаты

Nothing и Sunbird отключили шокирующе небезопасный мост iMessage, но только после того, как было обнаружено, что Sunbird не только регистрирует и сохраняет сообщения, vCard и многое другое, но и что сохраненные пользовательские данные также могут быть загружены другими.

Приложение Nothing Chats было удалено из Google Play Store в субботу всего через несколько дней после его появления. Запущенное 14 ноября, через несколько дней в отношении приложения возникли подозрения, в том числе кажущееся отсутствие шифрования и отправка учетных данных через Интернет с использованием открытого текста HTTP.

В субботу ситуация с сервисами Nothing и Sunbird ухудшилась: появилось еще больше разоблачений по поводу поразительного отсутствия мер безопасности для приложения.

Рано утром Nothing удалило приложение из Google Play Store. В почта на X, ранее называвшемся Twitter, производитель телефонов несколько оптимистично заявил, что «откладывает запуск до дальнейшего уведомления, чтобы работать с Sunbird над исправлением нескольких ошибок».

Прежде чем Nothing отключили его, разработчик Android-приложений Дилан Руссель сделал некоторые открытия о приложении, которые показали, что оно крайне небезопасно для пользователей. В темеРуссель заявил, что Sunbird имеет «доступ ко всем сообщениям, отправленным и полученным через приложение на вашем устройстве», что все документы, включая изображения, видео и vCard, отправленные через приложение, доступны для публичного просмотра и что Nothing Chats не использует конечную информацию. конечное шифрование вообще.

В ответ на заявление Sunbird о том, что HTTP подходит для первоначального запроса, Руссель говорит, что Sunbird имеет доступ, поскольку злоупотребляет инструментом обнаружения ошибок Sentry. Вместо того, чтобы использовать его для регистрации ошибок, Sunbird использовала Sentry для регистрировать сообщения и притворяясь, что это ошибки.

После успешных попыток с текстами Руссель попробовал отправить другие формы мультимедиа и обнаружил, что они были отправлены в Firebase. Затем он задался вопросом, можно ли увидеть медиа, опубликованные другими пользователями, и не только удалось создать список, но и получить доступ к некоторым элементам.

На момент публикации темы в Sunbird хранилось более 637 000 медиа-элементов. В эту коллекцию вошли визитки vCard, которые приложение предлагает отправить другим в начале разговора, чтобы адрес электронной почты Apple ID пользователя был объединен с номером телефона на телефоне контакта.

Затем Руссель загрузил одну из примерно 2300 vCard в архиве, доказав, что можно получить номера телефонов и другие данные других пользователей.

Файлы также сохранялись с неизмененными исходными именами. Руссель сказал, что это проблема, поскольку он может включать часть URL-адреса или конфиденциальную или секретную информацию, что имеет дополнительные последствия для безопасности.

Наконец, Руссель сказал, что чаты не сквозное шифрование совсем. «После обнаружения того, что медиафайлы доступны публично, эта новость пришла вместе с осознанием того, что Sunbird и, как следствие, Nothing Chats не являются сквозными, как везде рекламируется», — написал разработчик.

Что касается того, что Nothing может сделать, Руссель тогда сказал, что приложение следует удалить из Play Store, а затем предупредить всех пользователей. В соответствии с европейскими правилами GDPR, у Sunbird есть 72 часа с момента получения уведомления об уязвимости, чтобы уведомить жертв.

«Nothing Chats не была разработана компанией Nothing. Но Nothing должны были проверить, что приложение, использующее их имя, защищено, прежде чем утверждать, что это так», — Руссель. Комментарии по вопросу. «Это, наверное, самый большой кошмар конфиденциальности, который я видел у производителя телефонов за последние годы».

Мост Nothing Chats iMessage оказался поразительно небезопасным

©