Zamknięty komunikator Apple Messages do tego stopnia miesza na rynku, ze konkurencja próbuje się do niego dostać na własną rękę. Nothing zrobił to skutecznie… ale prawdopodobnie niezbyt dobrze.
Nothing zaprezentował komunikator Nothing Chats, który jest w stanie wymieniać wiadomości z Apple Messages (dawniej iMessages). Podstawą Nothng Chats jest usługa Sunbird, przekierowująca wiadomości z serwerów Apple do klienta czatu. Nie jest to pierwsza taka aplikacja, ale po raz pierwszy taką możliwość oferuje producent smartfonów z Androidem. I to za darmo!
Aplikacja Nothing Chats pojawiła się w Google Play (można ją pobrać w wybranych krajach na smartfony Nothing Phone (2)) i natychmiast przyciągnęła uwagę… konkurencji. Deweloperzy z firmy Texts zabrali się za analizę i wytykanie wad.
Deweloperzy z Texts twierdzą, że Nothing Chat nie jest dostatecznie dobrze zabezpieczony. Jeśli rzeczywiście tak jest, użytkowników można zaatakować metodą man-in-the-middle i ukraść dane logowania do usług Apple. Kishan Bagaria, który założył Texts, oskarża Nothing o przesyłanie czystego tekstu bez żadnego szyfrowania, protokołem HTTP, a nie HTTPS.
Nothing tłumaczy, że owszem, deweloperzy z Texts mogli zobaczyć tekst przesyłany bez szyfrowania. Nie jest to jednak hasło do konta Apple ID. Zdaniem Nothing to tylko „token”, bezużyteczny dla atakujących. Rozmowy i konta użytkowników są podobno bezpieczne.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
— Kishan Bagaria (@KishanBagaria) November 17, 2023
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
Poza tym programiści analizujący aplikację Nothing postanowili obnażyć jej podstawy. Wyjawili światu, że Sunbird nie jest autorskim rozwiązaniem Nothing, ale instancją otwartoźródłowego BlueBubbles – systemu umożliwiającego przesyłanie wiadomości iMessages z komputera Mac na Androida. Na to również Nothing ma odpowiedź: używanie nazwy BlueBubble w kodzie Nothing Chats to przypadek.
Korzystanie z BlueBubbles dalej podważałoby bezpieczeństwo komunikatora Nothing. Podsystem nie jest bowiem w pełni szyfrowany i zwiększa ryzyko, że wiadomości trafią w niepowołane ręce.
Nothing tymczasem utrzymuje, że wszystkie wiadomości przesyłane przez Nothing Chats są szyfrowane end-to-end. W konsekwencji ani Nothing, ani Sunbird nie mają jak ich odczytać. Co więcej, wiadomości nie są zapisywane na dłużej na żadnym etapie podróży.
Pewnie jeszcze jakiś czas nie dowiemy się, jak jest naprawdę. Niemniej jeśli nie musisz, chwilowo powstrzymaj się od korzystania z Nothing Chats – tak na wszelki wypadek. Całe szczęście, że Apple w końcu wprowadzi standard RCS i skończy się cały ten bałagan.
Aplikacja Nothing Chats została już usunięta z Google Play. Nothing rzeczywiście naradził użytkowników na niebezpieczeństwo.
Źródło zdjęć: Gabo_Arts / Shutterstock
Źródło tekstu: Android Police
