Nothing Chats, приложение для iMessage на базе Sunbird, — кошмар конфиденциальности с незашифрованными сообщениями и изображениями

Sunbird уже около года обещает поддержку iMessage на Android, но компания всегда казалась довольно подозрительной. Теперь, когда Nothing Chats, построенное на Sunbird, запущено, кошмар конфиденциальности становится реальностью — не только приложение не поддерживает сквозное шифрование, как было обещано, но и к файлам изображений от других пользователей можно получить доступ в открытом тексте.

Обещание Sunbird и, соответственно, Nothing Chats — предоставить поддержку iMessage для Android. Это достигается за счет того, что пользователи входят в свою учетную запись Apple ID через приложение, которое направляет вход через ферму серверов Mac. Это не уникальный метод, но главное отличие здесь в том, что Sunbird придает большое значение утверждению о сохранении сквозного шифрования на протяжении всего процесса.

На сайте Sunbird говорится прямо:

Серверы Sunbird не хранят пользовательские данные, обеспечивая безопасную, надежную и конфиденциальную среду обмена сообщениями. Благодаря сквозному шифрованию и конфиденциальным сообщениям Sunbird полностью безопасен и полностью конфиденциален.

Добавляя шифрование между Android и iMessage, которого в настоящее время нет, Sunbird является первым в своем роде, предоставляющим унифицированный и безопасный опыт обмена сообщениями пользователям Android.

Nothing подтверждает это на целевой странице Nothing Chats, заявляя:

Реклама — прокрутите, чтобы увидеть больше контента

…Nothing Chats построен на платформе Sunbird, и все сообщения Chats имеют сквозное шифрование, что означает, что ни мы, ни Sunbird не можем получить доступ к отправляемым и получаемым вами сообщениям.

Но это просто неправда.

Пугающие новые находки показывают, что Sunbird и Nothing Chats на самом деле не полностью зашифрованы сквозным шифрованием, поскольку к пользовательским данным можно получить доступ в открытом тексте.

«Wukko» в Twitter/X опубликовал выводы о том, что Nothing Chats отправляет все медиафайлы, включая изображения пользователей, в Sentry со ссылками на эти файлы, видимыми в открытом тексте. Кроме того, «все» данные отправляются и хранятся через Firebase, и они также полностью незашифрованы.

9to5Google может самостоятельно подтвердить выводы Wukko.

В исследовании нашего Дилана Русселя мы обнаружили, что после того, как пользователь проходит аутентификацию с помощью JSON Web Tokens (JWT), которые небезопасны при передаче, он может получить доступ к базе данных Firebase Nothing Chat и видеть сообщения и файлы от других пользователей, отправленные в режиме реального времени и в открытом тексте. Он особо отмечает, что vCards доступны, поскольку они напрямую включают имена пользователей, номера телефонов, адреса электронной почты, а иногда и более личные данные.

Он упоминает, что Sunbird в настоящее время хранит более 630 000 медиафайлов через Firebase, включая изображения, видео, PDF-файлы, аудио и многое другое. Таким образом, хотя верно, что Sunbird не хранит пользовательские данные на своих собственных серверах, данные очень даже хранятся.

Дилан далее объясняет свои выводы в ветке в Twitter/X.

Команда Texts.com также подробно рассмотрела этот процесс.

В сообщении в блоге отмечается, что для автоматизации процесса загрузки этой информации требуется очень небольшой фрагмент кода. Была продемонстрирована отправка сообщения iMessage, после чего база данных показала, что текст, помеченный как «сквозное шифрование», также был в открытом виде, как показано ниже. Также был создан и опубликован на Github proof of concept, чтобы показать, как все это работает.

Ужасно.

Мы впервые обнаружили этот, если можно так выразиться, кошмар конфиденциальности поздно вечером 17 ноября и немедленно уведомили Nothing (через PR, поскольку у компании нет контактной точки для проблем безопасности) из-за очень деликатного характера этой уязвимости — пользовательские данные буквально находятся на кону и совершенно небезопасны.

Обновление: Nothing подтвердил 9to5Google, что отозвал Nothing Chats из Play Store и «отложит» запуск, чтобы «исправить несколько ошибок». Представитель Nothing заявил:

Мы убрали бета-версию Nothing Chats из Play Store и отложим запуск до дальнейшего уведомления, чтобы работать с Sunbird над исправлением нескольких ошибок. Приносим извинения за задержку и поступим правильно по отношению к нашим пользователям.

На данный момент остается неясным, как это повлияет на приложение Sunbird, поскольку оно имеет те же проблемы, о чем свидетельствуют сотни тысяч медиафайлов, уже находящихся в базе данных Firebase.

Однако за время, прошедшее с момента нашего обращения, похоже, что Nothing и Sunbird могли заблокировать загрузку приложения из Play Store. Nothing Chats не отображается в поиске Play Store, и при переходе по ссылке напрямую на нескольких устройствах Nothing Phone (2) приложение было помечено как «недоступно в вашей стране», как показано выше, и невозможно для загрузки, что, кажется, изменилось за последние несколько часов, поскольку вчера приложение было доступно пользователям около полудня по восточному времени.

Мнение 9to5Google

Что касается проблем с конфиденциальностью, то это худшее, что может быть.

Не только файлы изображений доступны, но и все находится там и на удивление легко найти. Это невообразимо страшно для ваших личных данных, и выходит далеко за рамки беспокойства о том, что кто-то просто имеет доступ к вашей учетной записи Apple ID.

Хотя в конечном итоге ответственность лежит на Sunbird, который создал инфраструктуру и приложение Nothing Chats, отсутствие должной осмотрительности со стороны Nothing вызывает беспокойство. Если такую уязвимость могли обнаружить менее чем за 24 часа несколько пользователей, как Nothing мог ее пропустить за месяцы, в течение которых, вероятно, строилось это партнерство? И, кроме того, не будет ли со временем обнаружено что-то еще худшее?

Само собой разумеется, что на данный момент вы абсолютно не должны скачивать Nothing Chats или Sunbird.

Дилан Руссель внес свой вклад в эту статью.