لم يتم سحب أي نسخة من iMessage من متجر Play بسبب مخاوف أمنية
لم يتم سحب Nothing Chats، وهو نسخة iMessage التي أطلقتها الشركة في وقت سابق من هذا الأسبوع، من متجر Google Play. السبب الرسمي هو “العديد من الأخطاء” التي تحتاج الشركة إلى وقت لإصلاحها قبل إطلاقها مرة أخرى بعد فترة زمنية غير محددة.
لقد قمنا بإزالة الإصدار التجريبي من Nothing Chats من متجر Play وسنقوم بتأخير الإطلاق حتى إشعار آخر للعمل مع Sunbird لإصلاح العديد من الأخطاء.
نعتذر عن التأخير وسنفعل ما هو صحيح من قبل مستخدمينا.
– لا شيء (@ لا شيء) 18 نوفمبر 2023
ومع ذلك، هناك ما يكفي من الأدلة لدعم فكرة أن التطبيق تم سحبه ليس بسبب “أخطاء”، كما يقول لا شيء، ولكن بسبب بعض المشكلات الأمنية الصارخة.
وفقا لتحليل فني شامل من قبل نصوص.كوم مؤلف رضا فقيه ومستخدمي تويتر @باتوهان و @1 كونان إيدوجووا، تم اكتشاف أن مزود خدمة Nothing’s Sunbird يكذب بشأن الطبيعة المشفرة من طرف إلى طرف للرسائل التي يتم توجيهها عبر خوادمه.
كما تم الكشف عنه سابقًا، يتطلب التسجيل لاستخدام Nothing Chats الغناء في خوادم Sunbird باستخدام معرف Apple الخاص بك، والذي تم تشغيله على جهاز Mac mini يعمل على جهاز افتراضي. يتم تشفير الرسائل المرسلة إلى الخوادم، كما ادعى Sunbird. ومع ذلك، كما اكتشف المؤلفون المذكورون أعلاه، يتم إرسال JSON Web Tokens أو JWT التي تنشئها الخدمة مرة أخرى بشكل غير مشفر إلى خادم Sunbird آخر بدون SSL، مما يسمح باعتراضها بواسطة مهاجم.
ألقى فريق الرسائل النصية نظرة سريعة على التقنية التي تكمن خلف المحادثات اللاشيء واكتشف أنها غير آمنة على الإطلاق
إنه لا يستخدم حتى HTTPS، حيث يتم إرسال بيانات الاعتماد عبر نص عادي HTTP
تقوم الواجهة الخلفية بتشغيل مثيل BlueBubbles، الذي لا يدعم التشفير الشامل حتى الآن pic.twitter.com/IcWyIbKE86
– كيشان باجاريا (@KishanBagaria) 17 نوفمبر 2023
علاوة على ذلك، يتم فك تشفير الرسائل ثم تخزينها على خوادم Sunbird، مما يتيح للمهاجم وقتًا للوصول إليها قبل أن يتمكن المستخدم من ذلك. أظهر موقع Texts.com ذلك عن طريق إرسال بعض الرسائل بين جهازين واعتراض JWT، مما يمنحهم إمكانية الوصول إلى قاعدة بيانات Firebase في الوقت الفعلي. من تلك النقطة، كل ما يتطلبه الأمر هو 23 سطرًا من التعليمات البرمجية لتنزيل جميع معلومات المستخدم والمحادثات.
قدم المؤلف أيضًا موقعًا إلكترونيًا حيث سيتمكن المستخدم الذي لديه معرفة كافية بالرمز من اعتراض رسائله الخاصة عندما يرسل رسائل بين جهازين، أحدهما يشغل تطبيق Nothing Chats.
@ridafkih @باتوهان @1كونانإيدوغاوا بحثت أكثر قليلاً واكتشفت أن جميع النصوص/الوسائط الواردة لا يتم تخزينها بشكل غير مشفر فحسب، بل يتم أيضًا تسريب جميع النصوص الصادرة إلى خادم حراسة في نص عادي pic.twitter.com/GOqiatPNaE
– كيشان باجاريا (@KishanBagaria) 18 نوفمبر 2023
لكي نكون واضحين، فإن مشكلة الخصوصية هي خطأ Sunbird مباشرةً. ومع ذلك، من خلال اختيار العمل مع الشركة، لم يتورط أي شيء أيضًا في الأمر. علاوة على ذلك، فإن التعامل مع هذا الوضع الخطير على أنه “أخطاء” كان غير أمين للغاية.
سيتعين علينا أن نرى في أي حالة ستعود الخدمة إلى الظهور عندما يقرر لا شيء إعادة التطبيق إلى المتجر. وغني عن القول أنه ربما لا ينبغي عليك تسجيل الدخول إلى خوادم خدمة خارجية باستخدام معرف Apple الخاص بك في المقام الأول، حتى لو كان مشفرًا. ولكن يبدو الأمر غير مجدٍ بشكل خاص الآن مع إعلان شركة Apple عن دعم RCS.
المصدر • عبر
المصدر : Gsmarena .
