A biztonsággal kapcsolatos aggodalmak nem sokkal a Nothing Chats bejelentése után merültek fel.
Semmi sem tisztázza, hogyan működik a Nothing Chats, hogy megnyugtassa a felhasználókat a biztonságos használatáról. Az új eredmények azt mutatják, hogy az alkalmazás kevésbé biztonságos, mint azt korábban gondolták.
Amikor a Nothing bejelentette a Nothing Chats-et, a vállalat azt állította, hogy az új Phone 2 üzenetküldő platform végpontok közötti titkosítást kapott. Bár a Nothing ragaszkodik ahhoz, hogy az alkalmazása privát és biztonságos, az új eredmények azt mutatják, hogy kevésbé biztonságos, mint azt eredetileg gondoltuk.
A Nothing Chats a Sunbird alkalmazás architektúrájára épül, de a Nothing tervezte. Célja, hogy a Phone 2 kompatibilis legyen az iPhone iMessage alkalmazásával. Ehhez a felhasználóknak be kell jelentkezniük az alkalmazásba egy Apple ID-vel, amely azután hozzárendeli fiókját a Sunbird egyik Mac Mini virtuális példányához. Ez arra készteti az iPhone-t, hogy azt gondolja, hogy egy másik Apple-eszközzel kommunikál.
Ez aggályokat vet fel azzal kapcsolatban, hogy a felhasználóknak harmadik félben kell megbízniuk Apple ID adataik és jelszavaik biztonsága érdekében. A Nothing szóvivője azonban felvilágosította, hogy az alkalmazásba való első bejelentkezés után „a hitelesítő adatok titkosított adatbázisban vannak rögzítve”, és „nem férhet hozzá a Sunbird vagy bárki más, még akkor sem, ha hozzáfér a fizikai szerverhez”.
Most, hogy az alkalmazás nyilvánosan letölthető, a felhasználók más biztonsági problémákat fedeztek fel. Kishan Bagaria, a Texts.com alapítója megkérte csapatát, hogy vizsgálja meg az alkalmazást, és megállapította, hogy az alkalmazás hipertext átviteli protokollon (HTTP) keresztül küld információkat a biztonságos hipertext átviteli protokollon (HTTPS) helyett.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
— Kishan Bagaria (@KishanBagaria) November 17, 2023
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
A Texts csapata felfedezte a „bluebubbles” kifejezést is, ami azt sugallja, hogy a Sunbird a BlueBubbles által kifejlesztett technológiára épül, amely egy rivális szolgáltatás, amely Androidon keresztül is lehetővé teszi az iMessage elérését.
A felfedezés után azonban a Nothgin ezt a nyilatkozatot adta ki a 9to5Google-nak:
"Míg a protokoll HTTP, minden adat titkosítva van, és az adatok titkosításához használt kulcsot HTTPS-en keresztül biztosítják, így az Apple hitelesítő adatai vagy a HTTP-kérésen keresztül küldött üzenetek biztonságosak és nem nyilvánosak. Minden érzékeny felhasználói adat, például az Apple ID hitelesítő adatok és az üzenetek mindig titkosítva vannak. A HTTP-t csak az alkalmazástól érkező egyszeri kezdeti kérés részeként használják, amely értesíti a háttérben a közelgő iMessage-kapcsolati iterációt, amely egy önálló kommunikációs csatornán keresztül fog követni.
Ami a tweetjének másik részét illeti, évekkel ezelőtt, amikor a szervereket építették, a Sunbird társalapítója Blue Bubbles-nak nevezte el őket. A Sunbird/Chats nem használja más technológiáját, az elnevezés szigorúan a véletlen műve.
Ezenkívül szeretném hozzátenni, hogy a Sunbird kezdettől fogva a biztonságra összpontosított, és az ISO27001 tanúsítvány (tanúsítvány száma: IA-2023-09-21-01), amely egy nemzetközileg elismert információbiztonsági irányítási rendszer specifikációja, egy a felhasználói adatvédelem iránti elkötelezettségét tükrözi."
Azt mindenkinek magának kell eldönteie, hogy megbízik-e a Sunbirdben és a Nothingben ezeknek a kinyilatkoztatásoknak a fényében. Ráadásul most, hogy az Apple bejelentette, hogy 2024-ben támogatni fogja az RCS-t, ezek az alkalmazások egyébként is átmeneti időre szólnak.