Το Nothing Chats, ο κλώνος του iMessage που κυκλοφόρησε η εταιρεία νωρίτερα αυτή την εβδομάδα, αποσύρθηκε από το Google Play Store! Το επίσημο σκεπτικό είναι «αρκετά σφάλματα» που η εταιρεία χρειάζεται χρόνο για να διορθώσει πριν το λανσάρει ξανά μετά από αόριστο χρονικό διάστημα. Ωστόσο, υπάρχουν αρκετά στοιχεία που υποστηρίζουν την ιδέα ότι η εφαρμογή αποσύρθηκε όχι λόγω «σφαλμάτων», όπως το θέτει η Nothing, αλλά μάλλον λόγω κάποιων κραυγαλέων ζητημάτων ασφαλείας.
Σύμφωνα με μια ενδελεχή τεχνική ανάλυση από τη συγγραφέα του Texts.com Rida F’kih και τους χρήστες του Twitter @batuhan και @1ConanEdogowa, η εταιρεία παροχής υπηρεσιών της Nothing, Sunbird, συνελήφθη να λέει ψέματα για την κρυπτογραφημένη φύση των μηνυμάτων που δρομολογούνται μέσω των διακομιστών της! Όπως αποκαλύφθηκε η εγγραφή για τη χρήση του Nothing Chats απαιτούσε login στους servers της Sunbird χρησιμοποιώντας το Apple ID σας, οι οποίοι τρέχουν σε Mac mini σε virtual machine. Τα μηνύματα που αποστέλλονται στους servers είναι κρυπτογραφημένα, όπως ισχυρίζεται η Sunbird. Ωστόσο, όπως ανακάλυψαν οι προαναφερθέντες συγγραφείς, τα JSON Web Tokens ή JWT που δημιουργεί η υπηρεσία αποστέλλονται ξανά μη κρυπτογραφημένα σε άλλο server της Sunbird χωρίς SSL, επιτρέποντάς τους να υποκλαπούν από έναν εισβολέα.
Επιπλέον, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους servers της Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών. Ο συγγραφέας παρείχε επίσης έναν ιστότοπο όπου ένας χρήστης με επαρκή γνώση του κώδικα θα μπορεί να υποκλέψει τα δικά του μηνύματα όταν στέλνει μηνύματα μεταξύ δύο συσκευών, η μία από τις οποίες εκτελεί την εφαρμογή Nothing Chats.
Για να είμαστε σαφείς, το ζήτημα της ιδιωτικής ζωής είναι ευθέως λάθος της Sunbird. Ωστόσο, επιλέγοντας να συνεργαστεί με την εταιρεία, η Nothing έχει επίσης εμπλακεί στο θέμα. Επιπλέον, η αντιμετώπιση αυτής της μάλλον σοβαρής κατάστασης ως «bugs» ήταν εξαιρετικά ανέντιμη. Θα δούμε σε ποια κατάσταση θα εμφανιστεί ξανά η υπηρεσία όταν η Nothing αποφασίσει να επαναφέρει την εφαρμογή στο Google Play Store.
-----------
Ακολουθήστε το Gizchina Greece στο Google Newsγια νέα και ειδήσεις στον χώρο της τεχνολογίας. Αν ψάχνετε HOT προσφορές και κουπόνια για κινητά και gadgets, κάντε εγγραφή στο κανάλι μαςστο Telegram.
-----------