Titulní strana- Aktualita
- Vydání iMessage aplikace Nothing Chats odloženo kvůli závažným problémům se zabezpečením
foto:
Nothing x techArena
- Nothing Chats krátce po svém vydání rychle zmizel z Google Obchodu kvůli nutným opravám několika bugům, jak tvrdí společnost Carla Peie.
- Ve skutečnosti tak ovšem Nothing očividně reaguje na informace ohledně otřesného zabezpečení služby Sunbird, kterou využívá.
- O víkendu se zjistilo, že data Nothing Chats jsou uložena na serverech a volně k dispozici v prostém nešifrovaném HTTP textu.
S velkou slávou a sebevědomím odhalilo Nothing svou novou aplikace Chats, jež je založena na technologii Sunbird a umožňuje posílat Android uživatelům modré zprávy iPhonům. To znamená, že v USA by majitelé iPhonů nemuseli uživatele telefonů Nothing odstrkovat stranou, jelikož modré bubliny sebou nesou i všechny funkce s nimi spojené. Ano, problém barvy bublin je ve Spojených státech důležitým tématem, o tom víme už dlouho, avšak řešení Nothing a Sunbird, využívající pro posílání modrých zpráv prostředníka v podobě vlastních Mac mini zařízení, neznělo moc bezpečně. Což se nakonec velice rychle potvrdilo.
Spousta vývojářů se po oznámení Nothing podezřívavě vrhla do kódu aplikace Chats i Sunbird a našli toho opravdu hodně. I když obě společnosti tvrdí, že veškerá data jsou kompletně šifrována, tak tomu tak zkrátka není. Data uživatelů jsou vidět v obyčejném textovém formátu a stejně tak třeba odkazy na posílané fotky. Kdokoli zkušený se může dokonce dostat do databáze aplikace a vidět v reálném čase, co kdo komu píše. Vidět lze také plná jména, telefonní čísla, email a další údaje uživatelů Nothing Chats.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
— Nothing (@nothing) November 18, 2023
We apologise for the delay and will do right by our users.
Reklama
Sunbird rovněž tvrdil, že neukládá u sebe žádná data, což je technicky pravda, ale očividně se data ukládají někde jinde. Kde je podle všeho uloženo už nyní přes Nothing Chats přes 630 tisíc souborů v podobě obrázků, videí, PDF, audio souborů a tak dále. Ano, i k takovým informacím se lze snadno dostat. Čemuž se nelze ani divit, když využívá technologie jen pouhé HTTP, a ne zabezpečené HTTPS.
Nutno zmínit, že Nothing okamžitě stáhnul Nothing Chats zpět z obchodu Googlu kvůli “opravám bugů”, které první uživatelé našli. Je ovšem zcela očividné proč aplikace rychle zmizela a je smutné, že se Nothing nepostavilo k problémům čelem. Ano, všechny zmiňované problémy jsou čistě na straně Sunbird technologie, ale právě tu se rozhodlo Nothing využívat a propagovat, takže by mělo nést nyní část viny, jelikož značka ohrozila bezpečí a soukromí svých uživatelů.
Jak je možné, že tak závažné problémy všichni přehlíželi je otázkou. Člověk by řekl, že na něco takového museli v Nothing přijít už dávno, ale kdo ví. V každém případě je služba Nothing Chats opět nedostupná a je není jisté kdy, v jaké formě a zda vůbec, se zase někdy vrátí. Asi je ale jasné, že Nothing má nyní velký vroubek ve své pověstí a důvěru některých uživatelů bude těžké získat zpět.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
— Kishan Bagaria (@KishanBagaria) November 17, 2023
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
