Stor sikkerhedsbrist: Brug ikke den nye beskedapp fra Nothing
I sidste uge lancerede mobilproducenten Nothing en ny beskedapp, som udmærkede var kompatibel med Apples iMessage-beskedtjeneste, som ellers er forbeholdt ejere af iPhones.
Appen, som blev udgivet i Google Play tirsdag sidste uge, er allerede blevet fjernet fra Googles Play-butik. Det har nemlig vist sig, at beskeder sendt og modtaget i appen slet ikke var krypterede som lovet.
Læs også: Seneste nyt om Android og iOS
Et sandt sikkerhedsmareridt for Nothing
Den nye beskedapp fra Nothing, Nothing Chats, har vist sig at være lidt af et mareridt for Nothing.
Nothing Chats er baseret på Sunbird-platformen. Sunbird har længe lovet en app med iMessage-funktionalitet, men har også været udsat for en del kritik, da virksomheden angiveligt ikke har haft helt styr på datasikkerheden.
Da Nothing lancerede Nothing Chats, var skepsissen derfor også stor – og med rette, viser det sig nu.
“Krypterede” beskeder var slet ikke krypterede
Mediet 9to5Google har nemlig opdaget, at beskeder, herunder billeder og videoer, slet ikke har været krypteret. Det er ellers noget, som både Sunbird og Nothing hævder.
“Nothing Chats er bygget på Sunbirds platform, og alle Chats-beskeder er ende-til-ende-krypterede, hvilket betyder, at hverken vi eller Sunbird kan få adgang til de beskeder, du sender og modtager,” oplyste Nothing ved lanceringen af Nothing Chats. Men det passer ganske enkelt ikke, viser det sig.
Det værste sikkerhedsproblem af dem alle er dog, at autentificeringen af appen foregår ukrypteret. Faktisk kan man via Nothing Chats Firebase-database se beskeder og filer fra andre brugere sendt i realtid og i almindelig klartekst. Det
I vores Dylan Roussels research fandt vi ud af, at når en bruger autentificerer sig med JSON Web Tokens (JWT), som er usikre i transit, kan de få adgang til Nothing Chats Firebase-database og se beskeder og filer fra andre brugere sendt i realtid og i almindelig tekst.
Det viser sig, at Sunbird har mere end 600.000 mediefiler opbevaret på servere gennem cloudtjenesten Firebase. Dette tal inkluderer 2.300 såkaldte Vcard-filer, som er online visitkort, som indeholder personfølsomme oplysninger såsom brugernavne, telefonnumre og e-mailadresser.
Ifølge bloggen Texts.com er det muligt ganske hurtigt at skrive et stykke software, som automatisk downloader alle disse oplysninger. Bloggen har også demonstreret en demo af en iMessage-besked, der blev sendt, hvorefter databasen viste den “ende-til-ende-krypterede” tekst i klartekst.
Fjerner straks appen fra Google Play
Oven på den uheldige start har Nothing – ikke så overraskende – besluttet at fjerne Nothing Chats fra Google Play.
“Vi har fjernet Nothing Chats beta fra Play-butikken og udsætter lanceringen indtil videre for at arbejde sammen med Sunbird om at rette flere fejl. Vi undskylder forsinkelsen og vil gøre det rigtige for vores brugere,” oplyser Nothing til 9to5Google.
Apple vil understøtte RCS – overflødiggør Nothing Chats
De alvorlige afsløringer er et af to store udfordringer, som Nothing Chats står over for. Blot få dage efter Nothing præsenterede den unikke mulighed for at kommunikere med iPhone-brugere over iMessage annoncerer Apple – efter mange års tavshed – at virksomheden vil understøtte protokollen RCS i 2024.
Når Apple begynder at understøtte RCS i appen Beskeder, vil det blive meget lettere at skrive beskeder i grupper og sende billeder på tværs af iOS- og Android-enheder. Her kan man altså tale om dårlig timing og en uheldig start for Nothing.
Læs også: Apple overrasker alle: RCS-beskeder på vej til iPhone