A miało być tak pięknie: smartfon z Androidem wysyłający „niebieskie” wiadomości na Apple iMessage. Zamiast tego okazuje się, że zabezpieczenia w Nothing Chats to katastrofa.
24 godziny życia
14 listopada firma Nothing chciała odmienić nieco krajobraz smartfonowej sceny. Komunikator Nothing Chats miał m.in. sprawić, że wysyłane z urządzenia wiadomości trafią do właścicieli iPhone’ów w niebieskich dymkach. Oprogramowanie opracowane we współpracy z Sunbird miało rzekomo łamać protokół iMessage od Apple – jedynym wymogiem było wpisanie nazwy użytkownika i hasła Apple, aby zyskać dostęp do rewolucyjnej funkcji.
Aplikacja zadebiutowała w wersji beta w sklepie Google Play w piątek 17 listopada. Nie minęło 24 godziny a… zniknęła z platformy wraz z aplikacją Sunbird. Wychodzi na to, że Chats był komunikatorem ze zmienioną skórką. Nothing opublikowało oświadczenie, w którym deweloperzy wspominają o kilku błędach. Prawda jest jednak o wiele bardziej przerażająca.
Komunikator-tragedia
Jak udało się ustalić 9to5Google oraz Texts.com, którego właścicielem jest Automattic, Chats, wbrew zapewnieniom Nothing i Sunbirda, komunikator nie oferował szyfrowania wiadomości end-to-end. Nie było to jedyne przewinienie. Sunbird rejestrował i przechowywał wiadomości w Sentry (oprogramowanie do raportowania błędów) oraz Firebase (platforma Google do rozwijania mobilnych aplikacji i gier) w postaci zwykłego tekstu!
Texts.com wspomina również o wiadomościach i załącznikach, które leżą niezaszyfrowane na serwerze do momentu aż użytkownik nie wyśle żądania potwierdzenia usunięcia ich z bazy danych. Mało? Serwis był wstanie zakłócić token uwierzytelniający przesłany przez nieszyfrowany protokół HTTP i zasubskrybować zmiany w bazie. Programiści byli w stanie na żywo zmieniać wiadomości przychodzące, wychodzące czy podglądać zmiany konta nie tylko od strony swojego profilu, ale też innych użytkowników.
A teraz trzymajcie się mocno. Batuhan Içöz, inżynier ds. produktów w Texts.com opracował na potwierdzenie powyższych zarzutów aplikację która była w stanie przejąć rzekomo zaszyfrowane wiadomości z serwerów Sunbird. Dodatkowo, stworzył on narzędzie do usuwania niektórych danych z serwerów przedsiębiorstwa odpowiadającego za komunikatorowego bubla. Jeżeli ktoś zdążył skorzystać z Nothing Chats, Içöz sugeruje zmienić Apple ID, anulować sesje z Sunbirdem i założyć, że dane wprowadzone do aplikacji są zagrożone.
Gwoździem do trumny całej sytuacji są słowa Dylana Roussela z 9to5Google. Odkrył on, że wszystkie dokumenty (zdjęcia, filmy, nagrania audio) przesłane przez Nothing Chat oraz Sunbird są publiczne. Łącznie 630 tysięcy plików, do których można dorzucić również vCardy – wizytówki biznesowe z kompletem danych. Roussel był w stanie podejrzeć dane osobowe ponad 2,3 tysięcy użytkowników. Całość skwitował, że jest to „Prawdopodobnie największy koszmar w kwestii zabezpieczeń jaki widział w ostatnich latach”.
Jak zareagowało Sunbird? Schowało głowę w piasek? Wydało porządne oświadczenie? Patrząc na działalność konta na Twitterze/X, poszło najgorszą możliwą ścieżką. Firma nie odniosła się do zdjęcia komunikatorów ze sklepu oraz… broniła wykorzystania protokołu HTTP w swoich rozwiązaniach. W czasach, kiedy wykorzystanie HTTPS jest wręcz wymagane i łatwiejsze, gdyż nie oznacza męczenia się z blokadami stawianymi przez serwery i przeglądarki, całość zaczyna wspinać się na wyżyny absurdu.
A co z Nothing? Firma założona przez Carla Pei kreowała się na wyjątkowy projekt z nietuzinkowymi produktami. Tymczasem do listy określeń ją charakteryzujących można będzie dorzucić od dziś „niegodna zaufania”.
Spójrzmy na to z tej strony: przedsiębiorstwo podpina się pod kod opracowany przez Sunbirda, wypuszcza identyczną aplikację ze zmienioną szatą graficzną, promuje całość w Internecie wraz z popularnymi youtuberami i nikt po drodze nie sprawdził, czy całość spełnia minimalne standardy cyberbezpieczeństwa w 2023 roku. A przecież ktoś „na górze”, i to po obu stronach, musiał to przyklepać.
Nawet jeżeli Nothing Chats wróci po poprawieniu „kilku błędów”, nie wiadomo, czy użytkownicy zaufają ponownie komunikatorowi. Zresztą, załatanie tak krytycznych błędów zajmie programistom więcej niż kilka tygodni.
Kto wie, może lepiej będzie, aż sprawa ucichnie, a firma ukręci łeb całemu projektowi.