채팅 없음: 심각한 보안 문제로 인해 Google Play에서 삭제되었습니다.

By 마리자스 디미트리스 On 20년 2023월 XNUMX일

Η Nothing απέσυρε την beta έκδοση της εφαρμογής Nothing Chats από το 구글 플레이 Store, δηλώνοντας ότι “αναβάλλει τo λανσάρισμα μέχρι νεωτέρας” ενώ διορθώνει “αρκετά σφάλματα”. Η εφαρμογή υποσχόταν να επιτρέψει στους χρήστες του Nothing Phone 2 να στέλνουν μηνύματα μέσω iMessage, αλλά απαιτούσε από την Sunbird, η οποία παρέχει την πλατφόρμα, να συνδέεται στους λογαριασμούς iCloud των χρηστών μέσω των δικών της διακομιστών 맥 미니, κάτι που φαίνεται πως δε λειτούργησε.

우리는 Play 스토어에서 Nothing Chats 베타를 제거했으며 Sunbird와 협력하여 몇 가지 버그를 수정하기 위해 추후 공지가 있을 때까지 출시를 연기할 예정입니다.

지연에 대해 사과드리며 사용자를 위해 올바른 조치를 취하겠습니다.

— 아무것도 (@nothing) November 18, 2023

이 앱을 삭제하기로 한 결정은 Sunbird 시스템을 통해 전송된 메시지가 실제로 종단간 암호화되지 않았다는 사실을 보여주는 Texts.com의 기사를 사용자들이 널리 공유한 후에 나왔습니다. 이는 그들이 탐정의 공격에 취약하여 안전하지 않다는 것을 의미합니다.

9to5Google은 사이트 작성자인 Dylan Roussel의 스레드를 지적했는데, 그는 Sunbird 프로세스의 일부가 메시지를 해독하여 HTTP를 통해 Firebase 클라우드 동기화 서버로 전송하고 암호화되지 않은 일반 텍스트로 저장하는 작업을 포함한다는 사실을 발견했습니다. Roussel은 디버깅 서비스인 Sentry를 사용하여 메시지를 오류로 기록하기 때문에 회사 자체에서 메시지에 액세스할 수 있다고 게시했습니다. 이는 Sunbird의 어느 누구도 보내거나 받은 메시지에 접근할 수 없다는 Nothing's FAQ와 모순됩니다.

Sunbird는 앱을 통해 주고받은 모든 메시지에 접근할 수 있습니다. 그들은 학대함으로써 이런 일을 한다 @getsentry, 오류를 모니터링하는 데 사용됩니다.

그러나 Sunbird는 오류인 것처럼 메시지를 기록합니다.

다음은 요청의 일부(img 1, 3)와 전체 "메시지"(img 2, 4)입니다. pic.twitter.com/pzwwQVWfOb

-Dylan Roussel (@evowizz) November 18, 2023

Sunbird는 HTTP가 "임박한 iMessage 연결을 백엔드에 알리는 애플리케이션의 초기 고유 요청의 일부로만 사용된다"고 주장했습니다.

Texts.com은 "실제 Firebase 데이터베이스에 등록된 공격자는 사용자가 메시지를 읽기 전이나 읽는 동안 항상 메시지에 액세스할 수 있습니다"라고 썼습니다.

Sunbird는 서버로 전송되는 메시지가 암호화된다고 주장합니다. 그러나 서비스가 생성하는 JSON 웹 토큰 또는 JWT는 SSL이 없는 다른 Sunbird 서버로 암호화되지 않은 상태로 다시 전송되므로 공격자가 이를 가로챌 수 있는 것으로 나타났습니다.

게다가, τα μηνύματα αποκρυπτογραφούνται και στη συνέχεια αποθηκεύονται στους διακομιστές Sunbird, επιτρέποντας στον εισβολέα χρόνο να έχει πρόσβαση σε αυτά πριν το κάνει ο χρήστης. Το Texts.com το απέδειξε στέλνοντας μερικά μηνύματα μεταξύ δύο συσκευών και παρεμποδίζοντας το JWT, το οποίο τους δίνει πρόσβαση στη βάση δεδομένων του Firebase σε πραγματικό χρόνο. Από εκείνο το σημείο, το μόνο που χρειάστηκαν ήταν 23 γραμμές κώδικα για τη λήψη όλων των πληροφοριών και των συνομιλιών των χρηστών.

texts team took a quick look at the tech behind nothing chats and 발견 out it's extremely insecure

HTTPS를 사용하지도 않고 자격 증명이 일반 텍스트 HTTP를 통해 전송됩니다.

백엔드가 아직 종단 간 암호화를 지원하지 않는 BlueBubbles 인스턴스를 실행 중입니다. pic.twitter.com/IcWyIbKE86

— 키샨 바가리아(@KishanBagaria) November 17, 2023

@ridafkih @바투한 @1코난에도가와 조금 더 파고들어 들어오는 문자를 모두 알아냈습니다/미디어 암호화되지 않은 상태로 저장될 뿐만 아니라 나가는 모든 텍스트가 일반 텍스트로 센트리 서버에 유출됩니다. pic.twitter.com/GOqiatPNaE

— 키샨 바가리아(@KishanBagaria) November 18, 2023

VIA : TechBlog.gr

유사한 기사