Die iMessage-App für Android von Nothing ist unglaublich schlecht
Anfang dieser Woche tat Nothing das Unerwartete und startete die „Nothing Chats“-App für das Nothing Phone 2 . Die Voraussetzung? Lassen Sie jeden mit einem Nothing Phone 2 Textnachrichten über iMessage senden und empfangen. Nothing hat sich mit Sunbird zusammengetan, um Nothing Chats zum Laufen zu bringen, wobei Nothing im Wesentlichen die eigene Messaging-Technologie von Sunbird nutzt, um iMessage auf Android zu bringen.
Es war eine mutige Idee … aber eine, die nur von kurzer Dauer war. Das liegt daran, dass Nothing Chats (vorerst) aufgrund einer erschreckenden Anzahl von Sicherheitslücken, die fast sofort entdeckt wurden, bereits tot ist. Und mit Sicherheitslücken meinen wir nicht kleinere Versäumnisse, die man leicht hätte übersehen können. Wir sprechen hier von schwerwiegenden, bahnbrechenden Designfehlern, die die persönlichen Daten aller Benutzer von Nothing Chats massiv gefährden.
Das Problem mit Nothing Chats
Nothing Chats startete am 17. November im Beta-Zugang und schon wenige Stunden, nachdem die Leute die App in die Hände bekamen, tauchten besorgniserregende Sicherheitsbedenken auf. Einer der ersten Berichte kam von Kishan Bagaria, dem Gründer von Texts.com. Bagaria und ihr Team stellten fest, dass über Nothing Chats gesendete Nachrichten keine HTTPS-Sicherheitsanmeldeinformationen verwendeten. Stattdessen wurden Nachrichten über den deutlich weniger sicheren HTTP-Standard im Klartext versendet.
Doch nicht nur Bagaria entdeckte diese Schwachstellen. Wukko on
Darüber hinaus – und das ist noch besorgniserregender – stellte Wukko fest, dass alle von Nothing Chats gesendeten und darin gespeicherten Nachrichtendaten unverschlüsselt und über eine leicht zugängliche Firebase-Plattform erfolgten.
Diese Berichte waren schon schlimm genug, aber zusätzliche Berichte von 9to5Google bekräftigten noch einmal, wie schwerwiegend diese Schwachstellen tatsächlich waren. Nach den eigenen Erkenntnissen von 9to5:
„Bei unseren Untersuchungen von Dylan Roussel haben wir herausgefunden, dass ein Benutzer, sobald er sich mit den JSON Web Tokens (JWT) authentifiziert, die während der Übertragung unsicher sind, auf die Firebase-Datenbank von Nothing Chat zugreifen und in Echtzeit gesendete Nachrichten und Dateien anderer Benutzer sehen kann Klartext.“
In dem Bericht wird weiter erwähnt, dass auch vCards (auch bekannt als Kontaktkarten) vollständig zugänglich waren – einschließlich der Namen, Nummern, E-Mail-Adressen und anderer persönlich identifizierbarer Informationen von Personen. Und als ob das nicht genug wäre, entdeckte 9to5Google auch mehr als 630.000 Mediendateien, die auf dem Firebase-Server von Sunbird gespeichert waren – dem Unternehmen, das die Nothing Chats-App betreibt.
Zusammenfassend sehen wir Folgendes:
- Nothing Chats ist nicht Ende-zu-Ende-verschlüsselt
- Nachrichten von Nothing Chats werden im Klartext gesendet
- Medien und andere Anhänge sind öffentlich zugänglich
- Sunbird hat Zugriff auf Nachrichten und Anhänge, die von Nothing Chats gesendet werden
Mit anderen Worten, das ist alles sehr, sehr schlecht. Noch schlimmer ist es, wenn man bedenkt , wie schnell Nothing diese anfänglichen Sicherheitsbedenken zurechtgewiesen hat und weiter behauptet hat, dass Nachrichten Ende-zu-Ende-verschlüsselt seien, obwohl dies in Wirklichkeit absolut nicht der Fall war.
Wohin geht Nothing von hier aus?
Am 18. November, nur einen Tag nach dem Start von Nothing Chats, gab Nothing auf .“
Die App zurückzuziehen und den Start zu verzögern, ist die richtige Entscheidung von Nothing, aber man kann gar nicht genug betonen, wie viel Schaden durch dieses ganze Debakel wahrscheinlich bereits angerichtet wurde.
Letztlich sind diese Sicherheitsprobleme die Schuld von Sunbird. Nothing Chats wurde auf dem Backend von Sunbird erstellt und es liegt an Sunbird, diese Bedenken auszuräumen. Dennoch hat sich Nothing entschieden, mit Sunbird zusammenzuarbeiten, um Nothing Chats zu erstellen und zu starten, und die Tatsache, dass das Unternehmen diese Schwachstellen bei der Erstellung von Nothing Chats nie entdeckt hat, ist besorgniserregend.
Wenn Sie die Nothing Chats-App noch auf Ihrem Telefon haben, raten wir Ihnen dringend, die Nutzung sofort einzustellen. Die gleiche Empfehlung gilt auch, wenn Sie die reguläre Sunbird-App verwenden. iMessage auf einem Android-Telefon zu haben, macht Spaß, ist aber nicht mit der Gefahr verbunden, dass Ihre persönlichen Daten so stark gefährdet werden. Warten Sie lieber einfach darauf, dass Apple RCS im Jahr 2024 zum iPhone hinzufügt .
Was die Zukunft von Nothing Chats betrifft, ist es schwer zu sagen, was als nächstes passieren wird. Nichts deutet darauf hin, dass es den Start „verzögert“, aber um alle Probleme zu beheben, über die wir hier gerade gesprochen haben, müsste Sunbird seinen gesamten Backend-Prozess grundlegend überarbeiten. Will Nothing darauf warten, dass das passiert, oder beschließt es, einfach seine Verluste zu begrenzen und Nothing Chats endgültig den Stecker zu ziehen? Zum jetzigen Zeitpunkt scheint Letzteres die bessere Wahl zu sein.