本周早些时候,Nothing 做出了意想不到的举动,为Nothing Phone 2推出了“Nothing Chats”应用程序。前提?让拥有 Nothing Phone 2 的任何人都可以通过 iMessage 发送和接收短信。 Nothing 与 Sunbird 合作,让 Nothing Chats 发挥作用,Nothing 本质上是使用Sunbird 自己的消息技术将 iMessage 引入 Android。
这是一个大胆的想法……但这个想法是短暂的。这是因为Nothing Chats 已经因为几乎立即发现的数量惊人的安全漏洞而(暂时)消亡了。我们所说的安全漏洞并不是指容易被忽视的小疏忽。我们谈论的是重大的、破坏性的设计缺陷,这些缺陷极大地损害了任何使用 Nothing Chats 的人的个人信息。
无聊天的问题
Nothing Chats 于 11 月 17 日推出测试版,在人们使用该应用程序的几个小时内,令人担忧的安全问题开始出现。第一份报告来自 Texts.com 的创始人 Kishan Bagaria。 Bagaria 和他们的团队发现通过 Nothing Chats 发送的消息未使用 HTTPS 安全凭证。相反,消息是通过安全性低得多的 HTTP 标准以纯文本形式发送的。
但发现这些漏洞的不仅仅是 Bagaria。 X(前身为 Twitter)上的 Wukko 还证实,通过 Nothing Chats 发送的任何内容(包括标准短信、图像和其他媒体附件)都是使用纯文本完成的,并且任何知道在哪里查看的人都可以清楚地看到。
此外,更令人不安的是,Wukko 发现 Nothing Chats 发送和存储的所有消息数据都是未加密的,并且是通过易于访问的 Firebase 平台完成的。
这些报告已经够糟糕的了,但9to5Google的附加报告进一步重申了这些漏洞的严重程度。根据 9to5 自己的调查结果:
“在 Dylan Roussel 的研究中,我们发现,一旦用户使用传输中不安全的 JSON Web 令牌 (JWT) 进行身份验证,他们就可以访问 Nothing Chat 的 Firebase 数据库,并查看其他用户实时发送的消息和文件。纯文本。”
该报告接着提到了电子名片(又名联系人卡)是如何完全可访问的——包括人们的姓名、电话号码、电子邮件地址和其他个人身份信息。似乎这还不够,9to5Google 还发现了 Sunbird 的 Firebase 服务器(该公司为 Nothing Chats 应用程序提供支持)中存储了超过 630,000 个媒体文件。
总而言之,这就是我们正在研究的:
- Nothing Chats 未进行端到端加密
- Nothing Chats 中的消息以纯文本形式发送
- 媒体和其他附件可公开访问
- Sunbird 确实可以访问从 Nothing Chats 发送的消息和附件
换句话说,这一切都非常非常糟糕。更糟糕的是, Nothing 如此迅速地反驳了这些最初的安全担忧,并进一步声称消息是端到端加密的,而实际上,它们绝对不是。
一切从这里到哪里去?
11 月 18 日,就在 Nothing Chats 推出一天后,Nothing 在 X 上宣布正式从 Play 商店中删除 Nothing Chats 应用程序,并“推迟发布直至另行通知”,以便该公司可以“与 Sunbird 合作修复多个错误” ”。
撤回应用程序并推迟发布是对一切都结束的正确决定,但不可能夸大这整个灾难可能已经造成的损失。
归根结底,这些安全问题都是 Sunbird 的错。 Nothing Chats 是在 Sunbird 的后端构建的,由 Sunbird 来解决这些问题。然而,Nothing 仍然决定与 Sunbird 合作创建并推出 Nothing Chats,而该公司在创建 Nothing Chats 时从未发现这些漏洞这一事实令人不安。
如果您的手机上仍然有 Nothing Chats 应用程序,我们强烈建议您立即停止使用它。如果您也使用常规 Sunbird 应用程序,同样的建议也适用。在 Android 手机上使用 iMessage 是一种有趣的便利,但不会冒着您的个人信息被严重泄露的风险。你最好等待Apple 在 2024 年为 iPhone 添加 RCS 。
至于Nothing Chats的未来,很难说接下来会发生什么。没有任何迹象表明它会“延迟”发布,但为了解决我们刚才讨论的所有问题,Sunbird 必须大幅改革其整个后端流程。 Nothing会想等待这种情况发生,还是会决定减少损失并永久终止Nothing Chats?从这一点来看,后者可能是更好的选择。