Новое приложение Nothing Chats, похоже, не зашифровано
Несмотря на то, что соучредитель компании Nothing утверждает, что его чат-сервис, соединяющий iMessage, будет сквозным зашифрованным, исходный код, похоже, показывает совершенно обратное.
Создатели Nothing Phone (2) анонсировали Nothing Chats 14 ноября. Это сервис, позволяющий пользователям Android отправлять сообщения в синих пузырьках в стиле iPhone — при условии, что они хотят войти на удаленный сервер с помощью своего Apple ID.
Ничто не требует от пользователей наличия телефона (2) для доступа к чатам Nothing. Технология, подобная iMessage, разработана Sunbird, технологической компанией, базирующейся в Нью-Йорке, и интегрирована в приложение Nothing messages.
Команда Texts быстро изучила технологию, лежащую в основе чатов, и обнаружила, что она крайне небезопасна.
он даже не использует HTTPS, учетные данные отправляются по HTTP в открытом виде.
на бэкенде запущен экземпляр BlueBubbles, который пока не поддерживает сквозное шифрование. pic.twitter.com/IcWyIbKE86
В пятницу основатель Texts.com написал в Твиттере, что его команда «быстро просмотрела» код Nothing Chats и обнаружила, что он небезопасен.
«Он даже не использует HTTPS, учетные данные передаются по протоколу HTTP в виде открытого текста», — сказал Кишан Багария.
Раскрытие данных с помощью небезопасных протоколов
Основной проблемой является отсутствие HTTPS (безопасный протокол передачи гипертекста) в протоколах связи службы. HTTPS, фундаментальный стандарт безопасности для современной интернет-связи, шифрует данные между устройством пользователя и сервером.
Отсутствие этого шифрования означает, что конфиденциальная информация, включая учетные данные для входа, отправляется через Интернет с использованием открытого текста HTTP. Использование этого метода небезопасно, поскольку позволяет относительно легко перехватить данные третьими лицами, особенно в незащищенных сетях.
Расследование показало, что Nothing Chats использует серверную часть на базе BlueBubbles, службы обмена сообщениями, известной отсутствием сквозного шифрования. Сквозное шифрование — важнейшая функция безопасного обмена сообщениями, гарантирующая, что только общающиеся пользователи смогут прочитать сообщения.
Отсутствие этого шифрования означает, что поставщик услуг потенциально может получить доступ к сообщениям или перехватить их внешними объектами, что представляет собой значительную угрозу конфиденциальности.
На претензии пока ничего не ответили.
Решения для безопасного обмена сообщениями
По словам Nothing, основной причиной создания приложения для обмена сообщениями было желание побудить пользователей наушников iPhone полностью посвятить себя своему смартфону. Компания определила, что барьеры в обмене сообщениями удерживают пользователей iPhone от переключения платформ, в частности, стигма, связанная с тем, что вы единственный человек в групповом чате с сообщениями в виде зеленых пузырей Android вместо типичных синих сообщений Apple.
«Мы подумали: как мы можем что-то с этим поделать?» — сказал Карл Пей «Ничто». «И начали изучать различные команды, работающие над этой проблемой… и связались с командой Sunbird».
Вторя более известным компаниям, таким как Google и Samsung, Nothing также упомянул об отсутствии поддержки Apple RCS в iMessage. Далее утверждается, что нежелание Apple внедрить RCS ставит под угрозу конфиденциальность пользователей.
К счастью, 16 ноября Apple объявила, что добавит универсальный профиль RCS в iMessage, вероятно, с iOS 18 в 2024 году. Хотя этот профиль не включает версию сквозного шифрования Google, Apple работает с отраслевой организацией GSMA. о возможном включении общеотраслевого стандарта шифрования.