Mobilproducenten Nothing lancerede sidste uge en ny beskedapp, som skilte sig ud ved at være kompatibel med Apples eksklusive iMessage-beskedtjeneste. Appen, der blev lanceret på Google Play, har dog allerede måttet tage en ufrivillig exit fra platformen. Årsagen: Manglende kryptering af beskeder, trods løfter om det modsatte.
Nothing Chats, som appen hedder, er baseret på Sunbird-platformen. Sunbird, der tidligere har lovet iMessage-funktionalitet, har dog været i skudlinjen for mangelfuld datasikkerhed. Skepsis prægede derfor lanceringen af Nothing Chats, og med god grund, som det nu viser sig.
Det er kommet frem via mediet 9to5Google, at beskeder, billeder og videoer sendt gennem Nothing Chats ikke var krypteret, på trods af påstande fra både Sunbird og Nothing om end-to-end-kryptering. Desuden er autentificeringen af appen sket ukrypteret, hvilket har ladet brugere af Nothing Chats Firebase-database se beskeder og filer fra andre brugere i realtid og i klartekst.
Sikkerhedshuller i Systemet
Ved yderligere undersøgelser, herunder forskning udført af Dylan Roussel, blev det opdaget, at brugere, ved autentificering med JSON Web Tokens (JWT), usikre i transit, kunne få adgang til Nothing Chats Firebase-database. Her kunne de se realtidsbeskeder og filer i almindelig tekst. Sunbird har angiveligt over 600.000 mediefiler lagret på Firebase-servere, inklusive 2.300 Vcard-filer med følsomme data som brugernavne, telefonnumre og e-mailadresser.
Bloggen Texts.com har påvist, at det er muligt hurtigt at udvikle software, der automatisk kan downloade disse oplysninger. De demonstrerede også, hvordan en iMessage-besked sendt via appen blev vist i databasen i klartekst, på trods af at være markeret som “end-to-end-krypteret”.
Appen fjernet fra Google Play
I kølvandet på disse opdagelser har Nothing valgt at fjerne Nothing Chats fra Google Play. “Vi har fjernet Nothing Chats beta fra Play-butikken og udsætter lanceringen for at arbejde sammen med Sunbird om at rette fejlene. Vi beklager forsinkelsen og vil sikre, at vi gør det rigtige for vores brugere,” fortæller Nothing til 9to5Google.