IFTINFO – Le clone d’iMessage de Nothing a été retiré du Play Store pour des raisons de sécurité laissez un commentaire

Nothing Chats, le clone d’iMessage que la société a lancé plus tôt cette semaine, a été retiré du Google Play Store. Le raisonnement officiel est “plusieurs bugs” que l’entreprise a besoin de temps pour corriger avant de la relancer après une période de temps indéterminée. Nous avons supprimé la version bêta de Nothing Chats du Play Store et retarderons le lancement jusqu’à nouvel ordre pour travailler avec Sunbird afin de corriger plusieurs bugs. Nous nous excusons pour le retard et ferons ce qu’il faut pour nos utilisateurs. — Nothing (@nothing) 18 novembre 2023 Cependant, il existe suffisamment de preuves pour étayer l’idée que l’application a été retirée non pas à cause de « bugs », comme le dit Nothing, mais plutôt à cause de problèmes de sécurité flagrants. Selon une analyse technique approfondie réalisée par l’auteur de Texts.com, Rida F’kih, et les utilisateurs de Twitter @batuhan et @1ConanEdogowa, le fournisseur de services de Nothing, Sunbird, a été surpris en train de mentir sur la nature cryptée de bout en bout des messages acheminés via ses serveurs. Comme indiqué précédemment, pour s’inscrire à Nothing Chats, il fallait se connecter aux serveurs Sunbird à l’aide de votre identifiant Apple, qui étaient exécutés sur un Mac mini exécutant une machine virtuelle. Les messages envoyés aux serveurs sont cryptés, comme le prétend Sunbird. Cependant, comme l’ont découvert les auteurs susmentionnés, les jetons Web JSON ou JWT générés par le service sont renvoyés en clair vers un autre serveur Sunbird sans SSL, permettant ainsi d’être interceptés par un attaquant. L’équipe des textes a jeté un rapide coup d’œil à la technologie derrière les discussions sans rien et a découvert qu’elle était extrêmement peu sécurisée, elle n’utilisait même pas HTTPS, les informations d’identification sont envoyées en texte brut. HTTPbackend exécute une instance de BlueBubbles, qui ne prend pas encore en charge le cryptage de bout en bout. twitter.com/IcWyIbKE86 — Kishan Bagaria (@KishanBagaria) 17 novembre 2023 De plus, les messages sont déchiffrés puis stockés sur les serveurs Sunbird, permettant à un attaquant d’y accéder avant l’utilisateur. Texts.com l’a démontré en envoyant quelques messages entre deux appareils et en interceptant le JWT, qui leur donne accès à la base de données en temps réel Firebase. À partir de là, il suffisait de 23 lignes de code pour télécharger toutes les informations et conversations des utilisateurs. L’auteur a également fourni un site Web sur lequel un utilisateur ayant une connaissance suffisante du code pourra intercepter ses propres messages lorsqu’il envoie des messages entre deux appareils, l’un d’eux exécutant l’application Nothing Chats. @ridafkih @batuhan @1ConanEdogawa a creusé un peu plus loin et a découvert que tous les textes/médias entrants sont non seulement stockés en clair, mais que tous les textes sortants sont également divulgués vers un serveur sentinelle en texte brut pic.twitter.com/GOqiatPNaE— Kishan Bagaria (@KishanBagaria ) 18 novembre 2023 Pour être clair, le problème de confidentialité est directement la faute de Sunbird. Cependant, en choisissant de travailler avec l’entreprise, Nothing s’est également impliqué dans le dossier. De plus, qualifier cette situation plutôt grave de « bugs » était extrêmement malhonnête. Il faudra voir dans quel état le service refait surface lorsque Nothing décide de remettre l’application sur le store. Il va sans dire que vous ne devriez probablement pas vous connecter aux serveurs d’un service tiers avec votre identifiant Apple, même s’il était crypté. Mais cela semble particulièrement inutile maintenant qu’Apple annonce le support RCS. Source • Via