Nebojša Stojković
Nothing je povukao Nothing Chats beta verziju iz Google Play prodavnice “do daljnjeg”, nakon izveštaja da “Sunbird šalje poruke u Plain text formatu”.
Nothing se odlučio na ovaj potez navodeći da “odlaže lansiranje do daljnjeg dok ne isprave nekoliko grešaka“.
Aplikacija je obećavala korisnicima Nothing Phone 2 da mogu slati poruke putem iMessage-a, ali je zahtevala dozvolu da Sunbird, koji obezbeđuje platformu, pristupi korisničkim iCloud nalozima na svojim Mac Mini serverima, što… nije baš poželjno?
Nothing Chats poruke stižu bez end-to-end enkripcije
Uklanjanje je došlo nakon što su korisnici masovno delili blog sa Texts.com koji pokazuje da poruke poslate putem Sunbird-ovog sistema zapravo nisu end-to-end enkriptovane i da nije teško ugroziti ih. Aplikacija je lansirana u beta verziji juče nakon što je najavljena ranije ove nedelje.
Twitter / X9to5Google je ukazao na diskusiju autora sajta Dylana Roussela, koji je otkrio da deo Sunbird rešenja uključuje dešifrovanje i prenos poruka putem HTTP-a do Firebase servera za sinhronizaciju u oblaku i čuvanje tih poruka u neenkriptovanom, Plain text formatu. Roussel je objavio da kompanija sama ima pristup porukama jer ih beleži kao greške pomoću Sentry-a, usluge za debagovanje.
Sunbird je juče tvrdio da se HTTP “koristi samo kao deo jednokratnog inicijalnog zahteva od aplikacije koji obaveštava backend o dolazećoj iMessage poruci.” To je bio njihov odgovor nekome ko je ukazao na blog sa Texts.com koji ukazuje ranjivost.
Texts.com je napisao da će “napadač koji je pretplaćen na Firebase bazu podataka, u realnom vremenu uvek moći pristupiti porukama pre ili u trenutku kada ih korisnik pročita.” Blog takođe ukazuje da kompanija može pregledati poruke na svom Sentry panelu, direktno opovrgavajući tvrdnju iz Nothing FAQ-a da niko u Sunbird-u ne može pristupiti porukama koje su poslate ili primljene.
Šta će na kraju biti, da li će ovaj problem srediti ili će možda neko podići tužbu, ostaje da vidimo.
Nema komentara 😞
Trenutno nema komentara vezanih za ovu vest. Priključi se diskusiji na Benchmark forumu i budi prvi koje će ostaviti komentar na ovaj članak!
Pridruži se diskusiji