Всего несколько дней назад компания Nothing представила Nothing Chats, приложение, обеспечивающее совместимость iMessage с Android. И теперь его пришлось удалить из Google Play.
Что на этот раз
Официальная причина удаления программы — несколько ошибок, на исправление которых нужно время.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Однако автор Texts.com и несколько пользователей социальных сетей опубликовали доказательства того, что у Nothing Chats есть серьезные проблемы с безопасностью. И причиной тому стала компания Sunbird, которая является поставщиком услуг. Ее поймали на лжи о сквозном шифровании сообщений, проходящих через серверы.
Итак, чтобы зарегистрироваться в Nothing Chats, вам необходимо подключиться к серверам Sunbird, используя свой Apple ID. Sunbird гарантирует, что все сообщения зашифрованы. Однако похоже, что веб-токены JSON или JWT, сгенерированные службой, снова отправляются в незашифрованном виде на другой сервер Sunbird без SSL, что позволяет злоумышленнику перехватить их. Кроме того, сообщения расшифровываются, а затем сохраняются на серверах Sunbird, давая злоумышленнику время получить к ним доступ до того, как это сделает пользователь.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
Надеемся, Nothing и Sunbird исправят это и серьезно отнесутся к безопасности. Хотя теперь, когда Apple объявила о поддержке RCS, особой необходимости в Nothing Chats больше нет.