Nothing Chats, die iMessage-App für Android, ist ein Albtraum für die Privatsphäre

Sunbird verspricht seit etwa einem Jahr iMessage-Unterstützung für Android, doch das Unternehmen wirkte immer etwas vage. Mit der Einführung von Nothing Chats, das auf Sunbird aufbaut, ist der Datenschutz-Albtraum nun Realität geworden – und zwar nicht nur bei der App NEIN Es ist wie versprochen Ende-zu-Ende-verschlüsselt, Bilddateien anderer Benutzer jedoch auch Schön Der Zugriff im Klartext ist einfach.

Das Versprechen von Sunbird und im Gegenzug von Nothing Chats besteht darin, iMessage-Unterstützung auf Android zu bringen. Dies geschieht, indem Benutzer aufgefordert werden, sich über die App, die die Anmeldung über eine Mac-Serverfarm weiterleitet, bei ihrer Apple-ID anzumelden. Es handelt sich nicht um einen einzigartigen Ansatz, aber der große Unterschied besteht darin, dass Sunbird mit der Behauptung, dass die Ende-zu-Ende-Verschlüsselung während des gesamten Prozesses aufrechterhalten wird, großen Erfolg hatte.

Auf dem Sonnenvogel Webseite Er sagt direkt:

Die Server von Sunbird speichern keine Benutzerdaten, um eine sichere und private Nachrichtenumgebung zu gewährleisten. Mit vertraulichen, Ende-zu-Ende-verschlüsselten Nachrichten ist Sunbird absolut sicher und privat.

Durch das Hinzufügen einer Verschlüsselung zwischen Android und iMessage, wo es derzeit keine gibt, ist Sunbird der erste seiner Art, der Android-Benutzern ein einheitliches und sicheres Messaging-Erlebnis bietet.

Nichts wiederholt dies auf A Landingpage Ich habe keine Chats mit den Worten:

…Keine Chats werden auf der Sunbird-Plattform erstellt und alle Chat-Nachrichten sind Ende-zu-Ende-verschlüsselt, was bedeutet, dass weder wir noch Sunbird auf die von Ihnen gesendeten und empfangenen Nachrichten zugreifen können.

Aber das ist nicht wahr.

Alarmierende neue Erkenntnisse zeigen, dass Sunbird- und Nothing-Chats tatsächlich nicht vollständig Ende-zu-Ende-verschlüsselt sind, da auf Benutzerdaten im Klartext zugegriffen werden kann.

„Wukko“ auf Twitter/X gepostet Nothing Chats hat festgestellt, dass Nothing Chats alle Medienanhänge, einschließlich der Fotos eines Benutzers, an Sentry sendet, wobei die Links zu diesen Anhängen im Klartext sichtbar sind. Darüber hinaus werden alle Daten über Firebase gesendet und gespeichert und sind völlig unverschlüsselt.

9to5Google Wukkos Ergebnisse können unabhängig bestätigt werden.

Bei der Untersuchung von Dylan Russell haben wir herausgefunden, dass ein Benutzer, sobald er sich während der Übertragung mit unsicheren JSON Web Tokens (JWT) authentifiziert, auf die Firebase von Nothing Chat zugreifen und von anderen Benutzern gesendete Nachrichten und Dateien sehen kann In Echtzeit Und zwar im Klartext. Er weist insbesondere auf die Zugänglichkeit von vCards hin, da diese direkt Benutzernamen, Telefonnummern, E-Mail-Adressen und manchmal auch weitere persönliche Daten enthalten.

Er erwähnt das Derzeit sind über 630.000 Mediendateien gespeichert Unterstützt von Sunbird über Firebase, einschließlich Bildern, Videos, PDFs, Audio und mehr.

Dylan erläutert seine Erkenntnisse weiter in Thema auf Twitter/X.

Leute in Texts.com Wir haben diesen Prozess auch im Detail aufgeschlüsselt.

In einem Blogbeitrag wurde darauf hingewiesen, dass nur sehr wenig Code erforderlich ist, um den Prozess des Herunterladens dieser Informationen zu automatisieren. Eine Demo der gesendeten iMessage-Nachricht, nur damit die Datenbank zeigt, dass der „End-to-End-verschlüsselte“ Text auch im Klartext angezeigt wurde, wie unten gezeigt. Ein Proof of Concept und Veröffentlicht auf GitHub Um zu zeigen, wie das alles funktioniert.

OK.

Wir entdeckten diesen – mangels eines besseren Begriffs – Datenschutz-Alptraum zum ersten Mal am späten 17. November und wurden sofort darüber informiert, dass nichts passiert sei (per PR, da das Unternehmen keinen Ansprechpartner für Sicherheitsfragen hat), da es sich um einen äußerst sensiblen Sachverhalt handelt Sicherheitslücke – Benutzerdaten stehen hier buchstäblich auf dem Spiel und sind nicht vollständig sicher. Ein NIL-Sprecher antwortete schnell auf unsere E-Mail (und es handelte sich auch nicht nur um eine allgemeine, vorgefertigte Antwort), war jedoch angesichts des Zeitpunkts der Ergebnisse nicht in der Lage, eine Stellungnahme oder Einzelheiten zur Fehlerbehebung abzugeben.

Zum Zeitpunkt unserer Kommunikation schien es jedoch wie ein Nichts und ein Sonnenvogel zu sein Vielleicht App-Downloads sind im Play Store blockiert. Keine Chats werden weder in der Play Store-Suche noch beim Aufrufen angezeigt Die Speisekarte ist übersichtlich Auf mehreren Nothing Phone (2)-Geräten wird die App wie oben gezeigt als „In Ihrem Land nicht verfügbar“ aufgeführt und kann nicht heruntergeladen werden. Dies scheint sich in den letzten Stunden geändert zu haben, da die App gestern gegen Mittag ET für Benutzer verfügbar war.

9to5Google Take

Was den Datenschutz betrifft, ist das schade.

Auf Bilddateien kann nicht nur zugegriffen werden, sondern auch auf sie alles Es ist da draußen und erschreckend leicht zu finden. Es ist unvorstellbar beängstigend für Ihre wirklich privaten Daten und geht über die Sorge hinaus, die jeder hat, dass jemand Zugriff auf Ihre Apple-ID erhält.

Obwohl dies bei Sunbird irgendwann passieren wird, wenn die Infrastruktur aufgebaut und Nothing Chats implementiert wird, ist das Fehlen von irgendetwas hier besorgniserregend. Wenn eine solche Sicherheitslücke von mehreren Benutzern in weniger als 24 Stunden gefunden werden konnte, wie hätte sie dann in den Monaten, in denen diese Partnerschaft wahrscheinlich aufgebaut wurde, nicht übersehen werden? Und wird dann mit der Zeit etwas Schlimmeres entdeckt?

Es versteht sich an dieser Stelle von selbst, aber Sie definitiv Nothing Chats oder Sunbird sollten nicht heruntergeladen werden.

Dylan Russell Tragen Sie zu diesem Artikel bei.