Nothings iMessage-app var en säkerhetskatastrof, togs bort på 24 timmar – Ars Technica

By | November 21, 2023

Förstora / Nothing Phone 2 tändes.

Ron Amadeo

Det visar sig att företag som hindrar mediesäkerhetsfrågor faktiskt inte är bra på säkerhet. I tisdags hävdade Nothing Chats, en chattapp från Android-tillverkaren “Nothing” och appstarten Sunbird, fräckt att de kunde hacka Apples iMessage-protokoll och ge Android-användare blå bubblor. Vi pekade omedelbart ut Sunbird som ett företag som hade gett tomma löften i nästan ett år och verkade försumligt när det gällde säkerheten. Appen släpptes i alla fall i fredags och slets omedelbart sönder av internet för många säkerhetsproblem. Det gick inte 24 timmar innan Nothing tog bort appen från Play Butik på lördagsmorgonen. Sunbird-appen, som Nothing Chat bara är en version av, har också satts “på paus”.

Det första försäljningsargumentet för den här appen (att du skulle logga in på iMessage på Android om du lämnade över ditt Apple-användarnamn och lösenord) var en enorm säkerhetsflagga som innebar att Sunbird skulle behöva en ultrasäker infrastruktur för att undvika en katastrof. Istället visade sig appen vara så osäker som möjligt. Här är Nothing-påståendet:

Inlägget stängt från Nothing Chat.

Inlägget stängt från Nothing Chat.

Hur allvarliga är säkerhetsproblemen? Både 9to5Google och Text.com (ägs av Automattic, företaget bakom WordPress) upptäckte chockerande dåliga säkerhetsrutiner. Inte bara var appen inte krypterad från slut till ände, som Nothing och Sunbird hävdade flera gånger, utan Sunbird loggade och lagrade faktiskt meddelanden i vanlig text i både Sentry-programvaran för felrapportering och i en Firebase-butik. Autentiseringstokenerna skickades över okrypterad HTTP så att denna token kunde fångas upp och användas för att läsa dina meddelanden.

Text.coms undersökning avslöjade massor av sårbarheter. Bloggen säger: “När en användare tar emot ett meddelande eller bilaga krypteras det inte på serversidan förrän klienten skickar en begäran som bekräftar det och tar bort det från databasen. Detta betyder att en angripare har prenumererat på Firebase Realtime DB kommer alltid att kunna komma åt meddelanden före eller vid den tidpunkt då de läses av användaren.” Text.com kunde fånga upp en autentiseringstoken som skickades över okrypterad HTTP och prenumerera på ändringar som inträffade i databasen. Detta innebar liveuppdateringar av “Inkommande och utgående meddelanden, kontoändringar, etc.”, inte bara från dem själva utan också från andra användare.

Text.com lanserade en proof-of-concept-applikation som kunde återställa dina förment krypterade meddelanden från Sunbirds servrar. Batuhan Içöz, en produktingenjör på Text.com, släppte också ett verktyg som tar bort en del av dina data från Sunbirds servrar. Içöz rekommenderar att alla Sunbird/Nothing Chat-användare ändrar sitt Apple-ID nu, återkallar Sunbird-sessionen och “antar att din data redan är komprometterad.”

9to5Google Dylan Roussel undersökte appen och upptäckte att förutom all offentlig textdata, “Alla dokument (bilder, videor, ljud, pdf-filer, vCards…) som skickas via Nothing Chat AND Sunbird är offentliga.” Roussel upptäckte att Sunbird för närvarande lagrar 630 000 mediefiler och uppenbarligen kunde komma åt några. Sunbirds app föreslog användare att överföra vCards (virtuella visitkort fyllda med kontaktuppgifter) och Roussel säger att den personliga informationen för mer än 2 300 användare kan nås. Roussel kallar hela fiaskot “förmodligen den största ‘privacy-mardröm’ jag har sett från en telefontillverkare på flera år.”

Inga säkerhetslöften som otroligt nog inte har infriats.

Inga säkerhetslöften som otroligt nog inte har infriats.

Trots att Sunbird var orsaken till denna stora katastrof, har Sunbird varit märkligt tyst under hela denna katastrof. Appens X (tidigare Twitter) sida säger fortfarande ingenting om stängningen av Nothing Chats eller Sunbird. Det kanske är det bästa eftersom några av Sunbirds tidiga svar på säkerhetsproblem som togs upp på fredagen inte verkar komma från en kompetent utvecklare. Till en början företaget försvarade dess användning av okrypterad HTTP för vissa webbtransaktioner, och sa till Text.coms Bagaria att “HTTP används endast som en del av applikationens första begäran som meddelar backend om nästa iMessage-anslutningsiteration som kommer att följa via en separat kommunikationskanal. Från början har Sunbird fokuserat på säkerhet.Text.coms undersökning klargjorde att detta var “en lastbalanserad Express-server som inte implementerar SSL, så en angripare kan enkelt fånga upp förfrågningar.” Denna användning av HTTP gjorde det möjligt för Text.com att fånga upp autentiseringstokens.

Moderna säkerhetsmetoder skulle säga att det aldrig är okej att använda okrypterad HTTP för någon internettransaktion, och många plattformar blockerar direkt HTTP-överföring som standard. Chrome visar en helsidesvarning när man försöker komma åt en HTTP-sida och kräver att användaren klickar på ett varningsmeddelande. Android stänger av klartexttrafik som standard och kräver att en utvecklare aktiverar en speciell flagga för att begäran ska göras. Projekt som Let’s Encrypt har inte bara gjort det enkelt och gratis att använda HTTPS, utan faktiskt lättare Kryptera allt eftersom du inte behöver ta itu med alla säkerhetshinder. Det här är grunderna för internetanvändning 2023, och att se någon utvecklare argumentera emot dem är chockerande, speciellt när den utvecklaren också vill bli betrodd med ditt Apple-konto. Det skulle vara en sak om detta var något slags hemskt misstag, men Sunbird tyckte att det var bra!

Ingenting har alltid verkat som om en Android-tillverkare var mer hype än substans, men nu kan vi lägga till “försumlig” till den listan. Företaget fäste sig vid Sunbird, modifierade sin app, skapade en reklamwebbplats och YouTube-video och samordnade ett pressmeddelande med populära YouTubers, allt utan att göra den minsta due diligence på Sunbirds appar eller dess säkerhetsanspråk. . Det är otroligt att dessa två företag har kommit så långt: lanseringen av Nothing Chats krävde ett systemiskt säkerhetsbrott i hela två företag.

Ingenting säger att appen kommer tillbaka när den och Sunbird arbetar för att “fixa olika buggar.” När hela din applikation byggdes med till synes ingen oro för säkerhet, jag ser inte hur du kan fixa det på en eller två veckor. Om Nothing Chats återvänder till Play Butik, kommer någon fortfarande att lita på dem tillräckligt för att ange sina autentiseringsuppgifter?

Leave a Reply

Your email address will not be published. Required fields are marked *