- Služba iMessage se na Androidu příliš dlouho neohřála
- Řešení společnosti Nothing odhalilo obrovské bezpečnostní trhliny
- Google raději aplikaci odstranil ze svého obchodu
Společnost Nothing v tomto týdnu zahájila nečekanou a odvážnou iniciativu – vydala aplikaci Nothing Chats, a skrze ni přinesla do světa Androidu podporu iMessage. Britská firma musela jít na věc oklikou, neboť Apple si svoji komunikační platformu úzkostlivě chrání, později se ale ukázalo, že řešení od Nothing může udělat více škody než užitku. Nakonec musel zasáhnout Google, který raději aplikaci Nothing Chats z obchodu Play odstranil.
Nothing Chats představuje velké bezpečnostní riziko
Aplikace Nothing Chats se v obchodě Play objevila v pátek 17. listopadu, nainstalovat ji bylo možné exkluzivně pouze na smartphone Nothing Phone (2). Google ji ze svého obchodu odstranil o pouhý den později, a to kvůli bezpečnostním rizikům, která přinášela. Jak se totiž ukázalo, zabezpečení a ochrana uživatelských dat nebyly na tak vysoké úrovni, jakou firma Nothing slibovala.
Aplikace Nothing Chats byla postavená na technologii společnosti Sunbird, která zajišťuje fungování služby iMessage na telefonech s Androidem jednoduchým způsobem – veškerou komunikaci provozuje na serverové farmě postavené z Maců Mini, veškeré konverzace jsou pak obousměrně přeposílány z a do telefonů s Androidem. Firma tvrdí, že toto přeposílání je koncově šifrované, ovšem není to tak úplně pravda.
Jakmile aplikace Nothing Chats vyšla, provedlo několik zvědavých uživatelů podrobnou kontrolu jejího kódu. Výsledky byly zdrcující – žádné koncové šifrování se nekoná, aplikace prý dokonce veškerou komunikaci posílá v prostém textu přes nezabezpečený protokol HTTP, pravděpodobně proto, že na pozadí běžící služba BlueBubbles nepodporuje HTTPS.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
To znamená, že konverzace zaslané touto cestou mohly být poměrně jednoduše odposlouchávány, společnost Sunbird je dokonce v nešifrované podobě ukládala na svých serverech. Tvůrci blogu Texts.com si tato tvrzení ověřili tím, že odeslali z iPhonu několik zpráv na účet propojený s Nothing Chats, a tuto konverzaci se jim poté podařilo ze serverů Sunbird „vytáhnout“. Stačil tomu skript s pouhými 23 řádky kódu.
Vrátí se ještě Nothing Chats?
Společnost Nothing bezpečnostní díry ve své chatovací aplikaci přímo nekomentovala – pouze uvedla, že její vydání se odkládá kvůli několik chybám, na jejichž odstranění se společností Sunbird spolupracuje.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Otázkou ovšem je, zda se Nothing Chats do obchodu Play ještě někdy vrátí, a zda bude mít tento návrat nějaký smysl – po tomto bezpečnostním škraloupu si zřejmě spousta uživatelů rozmyslí, zda je rozumné dávat svoje Apple ID a veškerou konverzaci na iMessage firmě, jejíž byznys je založen na porušování pravidel. Apple navíc v tomto týdnu nečekaně oznámil chystanou podporu protokolu RCS v aplikaci Zprávy, tudíž iMessage na Androidu pravděpodobně příští rok ztratí smysl.