Nothing ו-Sunbird משכו את גשר ה-iMessage הלא מאובטח להחריד, אבל רק לאחר שהתגלה שלא רק ש-Sunbird רשם ושמר הודעות, כרטיס vCard ועוד, אלא שגם נתוני משתמשים שנשמרו ניתנים להורדה על ידי אחרים.
Nothing Chats נשלף מחנות Google Play בשבת רק כמה ימים לאחר מכןזה הוצג. הושק ב-14 בנובמבר, הועלו חשדות לגבי האפליקציהבתוך ימים, כולל חוסר ההצפנה לכאורה שלו, ושליחת אישורי כניסה דרך האינטרנט באמצעות HTTP בטקסט רגיל.
בשבת, המצב החמיר עבור שירות Nothing ו-Sunbird, עם גילויים נוספים על המחסור המדהים של אמצעי אבטחה עבור האפליקציה.
מוקדם ביום, שום דבר הסיר את האפליקציה מחנות Google Play. ב אשֶׁלְאַחַרב-X, לשעבר טוויטר, יצרנית הטלפונים אומרת באופטימיות מסוימת שהיא "דוחה את ההשקה עד להודעה חדשה כדי לעבוד עם Sunbird כדי לתקן מספר באגים".
לפני ששום דבר לא עצר את התקע, מפתח אפליקציית אנדרואיד דילן רוסל גילה כמה תגליות לגבי האפליקציה שהדגימו שהיא לא בטוחה ביותר עבור המשתמשים שלה.בשרשור, הכריז רוסל שלסאנבירד הייתה "גישה לכל הודעה שנשלחה והתקבלה דרך האפליקציה במכשיר שלך", שכל המסמכים, כולל תמונות, סרטונים וכרטיסי vCard שנשלחו דרך האפליקציה ניתנים לצפייה ציבורית, וכי Nothing Chats אינו משתמש ב- End- הצפנה עד הסוף בכלל.
נדחף קדימה על ידי טענה של Sunbird ש-HTTP תקין עבור בקשה ראשונית, רוסל אומר של-Sunbird יש גישה מכיוון שהיא עושה שימוש לרעה בכלי זיהוי השגיאות Sentry. במקום להשתמש בו לתיעוד שגיאות, Sunbird השתמשה במקום זאת ב- Sentry toלרשום את ההודעותולהעמיד פנים שהם שגיאות.
לאחר שניסה והצליח עם הודעות טקסט, ניסה רוסל לשלוח צורות אחרות של מדיה, וגילה שהן נשלחו ל-Firebase. לאחר מכן הוא תהה אם אפשר לראות מדיה שפורסמה על ידי משתמשים אחרים, ולא רק שהצליח ליצור רשימה, אלא הצליח לגשת לכמה אלמנטים.
- דילן רוסל (@evowizz)18 בנובמבר 2023ל-Sunbird יש גישה לכל הודעה שנשלחה ומתקבלת דרך האפליקציה. הם עושים זאת על ידי התעללות@getsentry, המשמש לניטור שגיאות.
אבל Sunbird רושם הודעות, מעמיד פנים שהן שגיאות.
להלן חלק מהבקשות (תמונה 1, 3) וכל ה"הודעה" שלהן (תמונה 2, 4)pic.twitter.com/pzwwQVWfOb
יותר מ-637,000 פריטי מדיה אוחסנו על ידי Sunbird בזמן פרסום השרשור. האוסף הזה כלל כרטיסי vCard, שהאפליקציה מציעה לשלוח לאחרים בתחילת שיחה, כך שכתובת האימייל של Apple ID של המשתמש תתמזג עם מספר טלפון בטלפון של איש הקשר.
לאחר מכן המשיך רוסל להוריד אחד מ-2,300 כ-2,300 כרטיסי ה-vCard בארכיון, והוכיח שניתן לקבל מספרי טלפון ופרטים של משתמשים אחרים.
קבצים אוחסנו גם עם שמות הקבצים המקוריים ללא פגע. רוסל אמר שזו בעיה מכיוון שהיא יכולה לכלול חלק מכתובת אתר, או מידע סודי או רגיש, שיש לו השלכות אבטחה נוספות.
לבסוף, רוסל אמר שהצ'אטים לאמוצפן מקצה לקצהבִּכלָל. "לאחר שגיליתי שמדיה משותפת בפומבי, החדשות הללו מגיעות עם ההבנה ש-Sunbird, ובהרחבה, Nothing Chats אינו מקצה לקצה, כפי שפורסם בכל מקום", כתב המפתח.
לגבי מה ששום דבר לא יכול לעשות, בזמנו רוסל אמר שצריך להסיר את האפליקציה מחנות Play, ואז להזהיר את כל המשתמשים. על פי כללי ה-GDPR של אירופה, ל-Sunbird יש 72 שעות מההודעה על פגיעות להודיע לקורבנות.
"Nothing Chats לא פותח על ידי Nothing. אבל שום דבר לא היה צריך לוודא שהאפליקציה שמשתמשת בשמם מאובטחת, לפני שטען שכן", רוסלהערותבעניין. "זה כנראה סיוט הפרטיות הגדול ביותר שראיתי על ידי יצרן טלפונים מזה שנים."
