iMessage non è stato un disastro per la sicurezza, è stato eliminato entro 24 ore – Ars Technica

Si scopre che le aziende che ostacolano le domande di sicurezza dei media in realtà non sono così brave in materia di sicurezza. Martedì scorso, Nothing Chats, un’app di chat del produttore Android Nothing e della startup Sunbird, ha affermato di essere in grado di hackerare il protocollo iMessage di Apple e di fornire agli utenti Android bolle blu. Abbiamo immediatamente segnalato Sunbird come un’azienda che ha fatto promesse vuote per circa un anno e si è dimostrata negligente in termini di sicurezza. L’app è stata lanciata comunque venerdì ed è stata subito distrutta da Internet a causa di numerosi problemi di sicurezza. Non ci sono volute 24 ore prima che Nothing rimuovesse l’app dal Play Store sabato mattina. Anche Sunbird, di cui Nothing Chat è solo una riprogettazione, è stato “messo in pausa”.

La proposta di vendita iniziale di questa app (che ti avrebbe consentito di accedere a iMessage su Android se avessi consegnato il nome utente e la password Apple) era un’enorme bandiera rossa di sicurezza che significava che Sunbird avrebbe avuto bisogno di un’infrastruttura altamente sicura per evitare il disastro. Invece l’app si è rivelata non così sicura come avrebbe potuto essere. Ecco l’affermazione del nulla:

Quanto sono gravi i problemi di sicurezza? entrambi 9to5Google E Text.com (Che possiede automatico, l’azienda dietro WordPress) ha rivelato pratiche di sicurezza molto scadenti. Non solo l’app non era crittografata end-to-end, come hanno affermato più volte Nothing e Sunbird, ma Sunbird ha effettivamente registrato i messaggi e li ha archiviati in testo semplice in entrambi i programmi di segnalazione dei bug sentinella E Nel negozio Firebase. I token di autenticazione vengono inviati tramite HTTP non crittografato in modo che questo token possa essere intercettato e utilizzato per leggere i tuoi messaggi.

L’indagine di Text.com ha rivelato una serie di vulnerabilità. Il blog dice: “Quando un utente riceve un messaggio o un allegato, questo non viene crittografato sul lato server finché il client non invia una richiesta per riconoscerlo ed eliminarlo dal database. Ciò significa che un utente malintenzionato iscritto al Firebase Realtime DB lo farà essere sempre in grado di accedere ai messaggi prima o al momento letti dall’utente.” Text.com è riuscito a intercettare il codice di autenticazione inviato tramite HTTP non crittografato e a sottoscrivere le modifiche avvenute nel database. Ciò significa aggiornamenti in tempo reale di “messaggi in entrata e in uscita, modifiche all’account, ecc.” non solo da loro stessi, ma anche da altri utenti.

Text.com ha rilasciato un Verifica teorica L’applicazione in grado di recuperare i tuoi messaggi presumibilmente crittografati end-to-end dai server Sunbird. Batuhan Ikuz, un ingegnere di prodotto presso Text.com, ha anche rilasciato uno strumento che eliminerà alcuni dei tuoi dati dai server di Sunbird. Içöz consiglia a tutti gli utenti di Sunbird/Nothing Chat di modificare subito il proprio ID Apple, di annullare la sessione di Sunbird e di “assumere che i propri dati siano già stati compromessi”.

9to5Google Dylan Russell Ho esaminato l’app e ho scoperto che, oltre a tutti i dati di testo pubblici, “tutti i documenti (foto, video, audio, PDF, vCard…) inviati tramite Nothing Chat e Sunbird sono pubblici”. Russell ha scoperto che Sunbird attualmente archivia 630.000 file multimediali e sembra che sia in grado di accedere ad alcuni di essi. L’app Sunbird suggeriva agli utenti di trasferire vCard – biglietti da visita virtuali pieni di informazioni di contatto – e Russell afferma che è possibile accedere alle informazioni personali di oltre 2.300 utenti. Russell definisce l’intero fiasco “probabilmente il più grande incubo sulla privacy che abbia mai visto da un produttore di telefoni negli ultimi anni”.

Nonostante fosse la causa di questo enorme disastro, Sunbird era stato stranamente calmo durante tutto questo pasticcio. La pagina X (ex Twitter) dell’app non dice ancora nulla sulla chiusura di Nothing Chats o Sunbird. Probabilmente è meglio così perché alcune delle prime risposte di Sunbird ai problemi di sicurezza sollevati venerdì non sembrano provenire da uno sviluppatore competente. In principio, l’azienda Difenderne l’uso HTTP non crittografato per alcune transazioni web, ha detto Bajaria di Text.com “HTTP viene utilizzato solo come parte della richiesta iniziale una tantum dell’app per informare il back-end della successiva frequenza di connessione iMessage che seguirà su un canale di comunicazione separato. Fin dall’inizio, Sunbird si è concentrata sulla sicurezza.“L’indagine di Text.com ha spiegato che si trattava di un ‘server Express con carico bilanciato che non implementava SSL, quindi un utente malintenzionato poteva facilmente intercettare le richieste.'” Questo utilizzo di HTTP ha consentito a Text.com di intercettare i token di autenticazione.

Le migliori pratiche di sicurezza moderne affermano che non è mai accettabile utilizzare HTTP non crittografato per qualsiasi transazione online e molte piattaforme bloccano completamente le trasmissioni HTTP in testo normale per impostazione predefinita. Chrome visualizza un avviso a pagina intera quando tenta di accedere a una pagina HTTP e chiede all’utente di fare clic su un messaggio di avviso. Androide Disabilita testo in chiaro traffico per impostazione predefinita e necessita che uno sviluppatore esegua un flag speciale in modo che la richiesta possa passare. Progetti come Let’s Encrypt non solo hanno reso l’utilizzo di HTTPS facile e gratuito, ma in realtà è così Più facile Per crittografare tutto perché non devi affrontare tutte le barriere di sicurezza. Queste sono le basi dell’uso di Internet nel 2023 e vedere qualsiasi sviluppatore discuterne contro è scioccante, soprattutto quando anche quello sviluppatore vuole avere fiducia nel tuo account Apple. Sarebbe diverso se si trattasse di un errore enorme, ma Sunbird pensava che andasse bene!

Non è sempre sembrato che un produttore Android fosse più pubblicità che sostanza, ma ora possiamo aggiungere la parola “sciatto” a quell’elenco. L’azienda ha unito le forze con Sunbird, ha ridisegnato la sua app e ha creato un portfolio Sito promozionale E Video YoutubeE ha coordinato una dichiarazione ai media con YouTuber famosiIl tutto senza fare la minima due diligence sulle app o sulle dichiarazioni di sicurezza di Sunbird. È incredibile che queste due società siano riuscite ad arrivare a questo punto, poiché il lancio di Nothing Chats ha richiesto un fallimento della sicurezza sistemica di due intere società.

Niente afferma che l’app tornerà una volta che Sunbird “risolverà diversi bug”. Quando l’intera applicazione è stata creata apparentemente senza alcuna preoccupazione per la sicurezza, non vedo come sia possibile risolverlo in una settimana o due. Se Nothing Chats ritorna sul Play Store, qualcuno si fiderà ancora abbastanza da inserire le proprie credenziali?