برنامه iMessage برای اندروید هیچ چیز به طرز باورنکردنی بد نیست

اوایل این هفته هیچ چیز غیرمنتظره ای انجام نشد و برنامه “Nothing Chats” را راه اندازی کرد برای گوشی هیچی ۲. پیش فرض؟ به هر کسی که Nothing Phone 2 دارد اجازه دهید از طریق iMessage پیامک ارسال و دریافت کند. هیچ چیزی با Sunbird همکاری نکرد تا Nothing Chats کار کند و اساساً Nothing از آن استفاده می کند فناوری پیام رسانی خود Sunbird برای آوردن iMessage به اندروید.

ایده جسورانه ای بود… اما کوتاه مدت. دلیلش این است که Nothing Chats به دلیل تعداد تکان‌دهنده آسیب‌پذیری‌های امنیتی که تقریباً بلافاصله کشف شدند، در حال حاضر مرده است (در حال حاضر). و منظور ما از آسیب‌پذیری‌های امنیتی، نظارت‌های جزئی نیست که می‌توانستند به راحتی نادیده گرفته شوند. ما در مورد ایرادات بزرگ طراحی صحبت می‌کنیم که اطلاعات شخصی افرادی را که از Nothing Chats استفاده می‌کنند به شدت به خطر می‌اندازد.

مشکل Nothing Chats

Nothing Chats در ۱۷ نوامبر در دسترس بتا راه اندازی شد و چند ساعت پس از اینکه افراد به برنامه دست پیدا کردند، نگرانی های امنیتی نگران کننده شروع به ظهور کرد. یکی از اولین گزارش ها از کیشان باگاریا، موسس Texts.com بود. باگاریا و تیم آنها متوجه شدند که پیام‌های ارسال شده از طریق Nothing Chats از اعتبارنامه امنیتی HTTPS استفاده نمی‌کنند. در عوض، پیام‌ها بر اساس استاندارد HTTP بسیار کمتر امن ارسال می‌شد متن ساده

اما این فقط باگاریا نبود که این آسیب‌پذیری‌ها را کشف کرد. Wukko در X (توئیتر سابق) همچنین تأیید کرد که هر چیزی که از طریق Nothing Chats ارسال می‌شود – از جمله پیام‌های متنی استاندارد، تصاویر و سایر پیوست‌های رسانه‌ای – با استفاده از متن ساده انجام می‌شود و به وضوح برای هر کسی که می‌دانست کجا نگاه کند قابل مشاهده است.

علاوه بر این، و حتی نگران‌کننده‌تر، Wukko متوجه شد که تمام داده‌های پیام‌رسانی که توسط Nothing Chats فرستاده شده و در Nothing Chats ذخیره می‌شوند، بدون رمزگذاری و از طریق یک پلتفرم Firebase به راحتی قابل دسترسی هستند.

این گزارش ها به اندازه کافی بد بود، اما گزارش های اضافی از ۹to5Google همچنین تاکید کرد که این آسیب‌پذیری‌ها واقعا چقدر جدی هستند. بر اساس یافته های خود ۹to5:

“در تحقیقات Dylan Roussel ما متوجه شدیم که وقتی کاربر با استفاده از توکن های وب JSON (JWT) که در حمل و نقل ناامن هستند احراز هویت می کند، می تواند به پایگاه داده Firebase Nothing Chat دسترسی داشته باشد و پیام ها و فایل های ارسالی سایر کاربران را ببیند. در زمان واقعی و به صورت متن ساده

این گزارش در ادامه به نحوه دسترسی کامل به کارت‌های مجازی (معروف به کارت‌های تماس) اشاره می‌کند – از جمله نام افراد، شماره‌ها، آدرس‌های ایمیل و سایر اطلاعات قابل شناسایی شخصی. و گویی این کافی نبود، ۹to5Google همچنین بیش از ۶۳۰۰۰۰ فایل رسانه ای را در سرور Firebase Sunbird کشف کرد – شرکتی که برنامه Nothing Chats را تامین می کند.

به طور خلاصه، این چیزی است که ما به آن نگاه می کنیم:

• Nothing Chats رمزگذاری سرتاسری نیست
• پیام‌های Nothing Chats به صورت متن ساده ارسال می‌شوند
• رسانه ها و سایر پیوست ها برای عموم قابل دسترسی هستند
• Sunbird به پیام ها و پیوست های ارسال شده از Nothing Chats دسترسی دارد

به عبارت دیگر، این همه بسیار بسیار بد است. این به خصوص بدتر است چقدر سریع هیچ چیز سرزنش نشد این نگرانی‌های امنیتی اولیه، بیشتر ادعا می‌کردند که پیام‌ها رمزگذاری شده بودند، در حالی که – در واقعیت – مطلقاً رمزگذاری نشده بودند.

هیچ چیز از اینجا به کجا نمی رود؟

در ۱۸ نوامبر، تنها یک روز پس از راه اندازی Nothing Chats، Nothing در X اعلام کرد که به طور رسمی برنامه Nothing Chats را از Play Store حذف می کند و “راه اندازی را تا اطلاع ثانوی به تعویق می اندازد” تا شرکت بتواند “با Sunbird برای رفع چندین باگ همکاری کند. “.”

کشیدن اپلیکیشن و به تاخیر انداختن راه‌اندازی، تماس درستی برای پایان Nothing است، اما نمی‌توان بیش از حد اعلام کرد که چه میزان خسارت احتمالاً قبلاً توسط این کل خرابی وارد شده است.

در نهایت، این مسائل امنیتی تقصیر Sunbird است. Nothing Chats بر روی باطن Sunbird ساخته شده است و رسیدگی به این نگرانی ها بر عهده Sunbird است. با این حال، Nothing هنوز تصمیم گرفت با Sunbird برای ایجاد و راه‌اندازی Nothing Chats شریک شود و این واقعیت که این شرکت هرگز این آسیب‌پذیری‌ها را در حین ایجاد Nothing Chats کشف نکرد، نگران‌کننده است.

اگر هنوز برنامه Nothing Chats را روی گوشی خود دارید، اکیداً به شما توصیه می کنیم فوراً استفاده از آن را متوقف کنید. اگر از برنامه معمولی Sunbird نیز استفاده می کنید، همین توصیه اعمال می شود. داشتن iMessage در تلفن Android یک راحتی سرگرم کننده است، اما این خطر را ندارد که اطلاعات شخصی شما به شدت به خطر بیفتد. بهتر است فقط منتظر بمانید اپل RCS را در سال ۲۰۲۴ به آیفون اضافه می کند.

در مورد آینده Nothing Chats، سخت است که بگوییم در آینده چه اتفاقی خواهد افتاد. هیچ چیز نمی گوید که راه اندازی را “تأخیر” می کند، اما برای رفع همه مشکلاتی که در اینجا در مورد آنها صحبت کردیم، Sunbird باید به طور چشمگیری کل فرآیند backend خود را بازبینی کند. آیا هیچ چیزی نمی‌خواهد منتظر این اتفاق باشد یا اینکه تصمیم می‌گیرد فقط ضررهای خود را کاهش دهد و Nothing Chats را برای همیشه قطع کند؟ در این مرحله، به نظر می رسد که دومی ممکن است انتخاب بهتری باشد.

توصیه های سردبیران

• بالاخره این اتفاق می افتد – آیفون شما در سال ۲۰۲۴ RCS دریافت می کند

• یکی از تلفن های اندرویدی مورد علاقه ما به تازگی برنامه iMessage خود را دریافت کرده است

• فناوری ماهواره ای آینده نگر آیفون به این زودی ها به اندروید نمی آید

• من آیفون خود را به یکی از جالب ترین گوشی های اندرویدی سال ۲۰۲۳ تبدیل کردم

• برنامه Lapse: آنچه باید در مورد قاتل جدید اینستاگرام بدانید