Nothing Chats ،این شرکت شبیه سازی iMessage را در اوایل این هفته راه اندازی کرد، از فروشگاه Google Play حذف شده است.
استدلال رسمی این شرکت نشان می دهد چند اشکال وجود دارد که برای رفع آنها قبل از راه اندازی مجدد نیاز به رفع دارد.
با این حال، شواهد کافی برای اثبات این مسئله وجود دارد که برنامه به دلیل “اشکالات” حذف نشده بلکه به دلیل برخی مسائل امنیتی حذف شده است.
طبق یک تحلیل فنی توسط نویسنده Texts.com، Rida F’kih و کاربران توییتر @batuhan و @ConanEdogowa1، Sunbird ارائهدهنده خدمات Nothing در مورد ماهیت رمزگذاری شده سرتاسر پیامهایی که از طریق سرورهایش هدایت میشوند، دروغ گفته است.
iMessage
طبق اطلاعات فاش شده، ثبت نام برای استفاده از Nothing Chats نیاز به آواز خواندن در سرورهای Sunbird بود که با استفاده از Apple ID خود روی Mac mini با ماشین مجازی اجرا می شد.
همانطور که Sunbird ادعا کرده، پیام های ارسال شده به سرورها رمزگذاری شده است.
با این حال، همانطور که نویسندگان متوجه شدند، توکنهای وب JSON یا JWT که سرویس تولید میکند دوباره بدون رمزگذاری به سرور Sunbird دیگر بدون SSL ارسال میشود و به آنها اجازه میدهد توسط یک حمله کننده رهگیری شوند.
علاوه بر این، پیامها رمزگشایی میشوند و سپس در سرورهای Sunbird ذخیره میشوند و به حمله کننده اجازه میدهند تا قبل از دسترسی کاربر به آنها دسترسی داشته باشد.
برنامه iMessage
Texts.com این کار را با ارسال چند پیام بین دو دستگاه و رهگیری JWT نشان داد که به آنها امکان دسترسی به پایگاه داده و بیدرنگ Firebase را می دهد. برای این کار، تنها 23 خط کد برای دانلود تمام اطلاعات و مکالمات کاربر نیاز است که نزد حمله کننده قرار بگیرد.
نویسنده همچنین وب سایتی را ارائه کرده است که در آن کاربر با دانش کافی از کد می تواند پیام های خود را هنگام ارسال پیام بین دو دستگاه را اجرا کند که یکی از این برنامه Nothing Chats است که رهگیری هم می کند.
برای روشن شدن مسئله حریم خصوصی مقصراصلی را Sunbird می دانند. با این حال، این شرکت خود را در این موضوع دخیل نکرده است.باید ببینیم آپدیت جدید برنامه Nothing چگونه در گوگل پلی ظاهر میشود و اشکالات خود را رفع کرده است یا خیر… باید منتظر ماند و دید.
