TOPlist

Nothing řeší bezpečnostní skandál: integrace iMessage je děravá jako ementál

Aplikace Nothing Chats na smartphonu Nothing Phone (1)
  • Služba iMessage se na Androidu příliš dlouho neohřála
  • Řešení společnosti Nothing odhalilo obrovské bezpečnostní trhliny
  • Google raději aplikaci odstranil ze svého obchodu

Společnost Nothing v tomto týdnu zahájila nečekanou a odvážnou iniciativu – vydala aplikaci Nothing Chats, a skrze ni přinesla do světa Androidu podporu iMessage. Britská firma musela jít na věc oklikou, neboť Apple si svoji komunikační platformu úzkostlivě chrání, později se ale ukázalo, že řešení od Nothing může udělat více škody než užitku. Nakonec musel zasáhnout Google, který raději aplikaci Nothing Chats z obchodu Play odstranil.

Nothing Chats představuje velké bezpečnostní riziko

Aplikace Nothing Chats se v obchodě Play objevila v pátek 17. listopadu, nainstalovat ji bylo možné exkluzivně pouze na smartphone Nothing Phone (2). Google ji ze svého obchodu odstranil o pouhý den později, a to kvůli bezpečnostním rizikům, která přinášela. Jak se totiž ukázalo, zabezpečení a ochrana uživatelských dat nebyly na tak vysoké úrovni, jakou firma Nothing slibovala.

Aplikace Nothing Chats byla postavená na technologii společnosti Sunbird, která zajišťuje fungování služby iMessage na telefonech s Androidem jednoduchým způsobem – veškerou komunikaci provozuje na serverové farmě postavené z Maců Mini, veškeré konverzace jsou pak obousměrně přeposílány z a do telefonů s Androidem. Firma tvrdí, že toto přeposílání je koncově šifrované, ovšem není to tak úplně pravda.

Jakmile aplikace Nothing Chats vyšla, provedlo několik zvědavých uživatelů podrobnou kontrolu jejího kódu. Výsledky byly zdrcující – žádné koncové šifrování se nekoná, aplikace prý dokonce veškerou komunikaci posílá v prostém textu přes nezabezpečený protokol HTTP, pravděpodobně proto, že na pozadí běžící služba BlueBubbles nepodporuje HTTPS.

To znamená, že konverzace zaslané touto cestou mohly být poměrně jednoduše odposlouchávány, společnost Sunbird je dokonce v nešifrované podobě ukládala na svých serverech. Tvůrci blogu Texts.com si tato tvrzení ověřili tím, že odeslali z iPhonu několik zpráv na účet propojený s Nothing Chats, a tuto konverzaci se jim poté podařilo ze serverů Sunbird „vytáhnout“. Stačil tomu skript s pouhými 23 řádky kódu.

Vrátí se ještě Nothing Chats?

Společnost Nothing bezpečnostní díry ve své chatovací aplikaci přímo nekomentovala – pouze uvedla, že její vydání se odkládá kvůli několik chybám, na jejichž odstranění se společností Sunbird spolupracuje.

Otázkou ovšem je, zda se Nothing Chats do obchodu Play ještě někdy vrátí, a zda bude mít tento návrat nějaký smysl – po tomto bezpečnostním škraloupu si zřejmě spousta uživatelů rozmyslí, zda je rozumné dávat svoje Apple ID a veškerou konverzaci na iMessage firmě, jejíž byznys je založen na porušování pravidel. Apple navíc v tomto týdnu nečekaně oznámil chystanou podporu protokolu RCS v aplikaci Zprávy, tudíž iMessage na Androidu pravděpodobně příští rok ztratí smysl.

Autor článku Jakub Karásek
Jakub Karásek

Kapitoly článku