Hóa ra những công ty cản trở các câu hỏi bảo mật của giới truyền thông thực sự không giỏi về bảo mật. Thứ Ba tuần trước, Nothing Chats – một ứng dụng trò chuyện của nhà sản xuất Android Nothing và công ty khởi nghiệp ứng dụng Sunbird – tuyên bố có thể hack giao thức iMessage của Apple và mang đến cho người dùng Android bong bóng màu xanh lam. Chúng tôi ngay lập tức đánh dấu Sunbird là một công ty đưa ra những lời hứa suông trong khoảng một năm và có vẻ cẩu thả trong vấn đề bảo mật. Dù sao thì ứng dụng này cũng đã ra mắt vào thứ Sáu và ngay lập tức bị Internet xé nát do nhiều vấn đề bảo mật. Phải mất 24 giờ trước khi Nothing rút ứng dụng này khỏi Cửa hàng Play vào sáng thứ Bảy. Sunbird, trong đó Nothing Chat chỉ là một thiết kế lại, cũng đã bị “tạm dừng”.

Lời chào bán ban đầu cho ứng dụng này – rằng ứng dụng sẽ đăng nhập bạn vào iMessage trên Android nếu bạn cung cấp tên người dùng và mật khẩu Apple của mình – là một dấu hiệu cảnh báo lớn về bảo mật có nghĩa là Sunbird sẽ cần một cơ sở hạ tầng bảo mật cao để tránh thảm họa. Thay vào đó, ứng dụng hóa ra không an toàn như mong đợi. Đây là tuyên bố không có gì:

Vấn đề an ninh tệ đến mức nào? cả hai 9to5Google Và Text.com (Cái mà anh ấy sở hữu tự động, công ty đứng sau WordPress) đã tiết lộ các biện pháp bảo mật rất kém. Ứng dụng không những không được mã hóa nối đầu như Nothing và Sunbird đã tuyên bố nhiều lần, mà Sunbird còn thực sự ghi lại các tin nhắn và lưu trữ chúng ở dạng văn bản thuần túy trong cả hai chương trình báo cáo lỗi. lính gác Và Trong cửa hàng Firebase. Mã thông báo xác thực được gửi qua HTTP không được mã hóa nên mã thông báo này có thể bị chặn và sử dụng để đọc tin nhắn của bạn.

Cuộc điều tra của Text.com đã tiết lộ một loạt lỗ hổng. Blog cho biết: “Khi người dùng nhận được tin nhắn hoặc tệp đính kèm, nó không được mã hóa ở phía máy chủ cho đến khi khách hàng gửi yêu cầu xác nhận và xóa nó khỏi cơ sở dữ liệu. Điều này có nghĩa là kẻ tấn công đã đăng ký Firebase Realtime DB sẽ luôn có thể truy cập các tin nhắn trước hoặc tại thời điểm Người dùng đọc.” Text.com có ​​thể chặn mã xác thực được gửi qua HTTP không được mã hóa và đăng ký các thay đổi xảy ra trong cơ sở dữ liệu. Điều này có nghĩa là cập nhật trực tiếp “tin nhắn đến và đi, thay đổi tài khoản, v.v.” không chỉ từ chính họ mà còn từ những người dùng khác.

Text.com đã phát hành một Bằng chứng của khái niệm Ứng dụng có thể tìm nạp các tin nhắn được cho là được mã hóa nối đầu của bạn từ máy chủ Sunbird. Batuhan Ikuz, một kỹ sư sản phẩm tại Text.com, cũng đã phát hành một công cụ sẽ xóa một số dữ liệu của bạn khỏi máy chủ của Sunbird. Içöz khuyến nghị mọi người dùng Sunbird/Nothing Chat nên thay đổi ID Apple của họ ngay bây giờ, hủy phiên Sunbird của họ và “cho rằng dữ liệu của bạn đã bị xâm phạm”.

9to5Google Dylan Russell Tôi đã xem xét ứng dụng và nhận thấy rằng, ngoài tất cả dữ liệu văn bản công khai, “tất cả tài liệu (ảnh, video, âm thanh, pdf, vCards…) được gửi qua Nothing Chat và Sunbird đều được công khai”. Russell nhận thấy rằng 630.000 tệp phương tiện hiện đang được Sunbird lưu trữ và có vẻ như anh ấy có thể truy cập một số trong số đó. Ứng dụng Sunbird đề nghị người dùng chuyển vCard – danh thiếp ảo chứa đầy thông tin liên hệ – và Russell cho biết thông tin cá nhân của hơn 2.300 người dùng có thể bị truy cập. Russell gọi toàn bộ thất bại này là “có lẽ là cơn ác mộng về quyền riêng tư lớn nhất mà tôi từng thấy đối với một nhà sản xuất điện thoại trong nhiều năm”.

Mặc dù là nguyên nhân của thảm họa lớn này, Sunbird vẫn bình tĩnh một cách kỳ lạ trong toàn bộ mớ hỗn độn này. Trang X (trước đây là Twitter) của ứng dụng vẫn không nói gì về việc tắt Nothing Chats hoặc Sunbird. Đây có lẽ là điều tốt nhất vì một số phản hồi ban đầu của Sunbird đối với những lo ngại về bảo mật nêu ra hôm thứ Sáu dường như không đến từ một nhà phát triển có năng lực. Lúc đầu, công ty Bảo vệ việc sử dụng nó HTTP không được mã hóa đối với một số giao dịch trên web, Bajaria của Text.com nói “HTTP chỉ được sử dụng như một phần của yêu cầu một lần ban đầu từ ứng dụng để thông báo cho phần phụ trợ về tần suất kết nối iMessage tiếp theo sẽ đi qua một kênh liên lạc riêng. Ngay từ đầu, Sunbird đã tập trung vào vấn đề bảo mật.“Cuộc điều tra của Text.com giải thích rằng đây là ‘máy chủ Express cân bằng tải không triển khai SSL, vì vậy kẻ tấn công có thể dễ dàng chặn các yêu cầu.'” Việc sử dụng HTTP này cho phép Text.com chặn mã thông báo xác thực.

Các phương pháp bảo mật tốt nhất hiện đại nói rằng việc sử dụng HTTP không được mã hóa cho bất kỳ giao dịch trực tuyến nào là không bao giờ được chấp nhận và nhiều nền tảng chặn hoàn toàn việc truyền HTTP văn bản gốc theo mặc định. Chrome hiển thị cảnh báo toàn trang khi cố gắng truy cập trang HTTP và nhắc người dùng nhấp vào thông báo cảnh báo. Android Tắt văn bản rõ ràng lưu lượng truy cập theo mặc định và cần nhà phát triển chạy cờ đặc biệt để yêu cầu có thể được thông qua. Các dự án như Let’s Encrypt không chỉ giúp việc sử dụng HTTPS trở nên dễ dàng và miễn phí mà còn thực sự giúp ích rất nhiều. Dễ dàng hơn Để mã hóa mọi thứ vì bạn không phải đối mặt với tất cả các rào cản bảo mật. Đây là những điều cơ bản về việc sử dụng Internet vào năm 2023 và việc chứng kiến ​​bất kỳ nhà phát triển nào phản đối chúng là điều gây sốc, đặc biệt là khi nhà phát triển đó cũng muốn được tin cậy với tài khoản Apple của bạn. Sẽ khác nếu đây là một sai lầm lớn, nhưng Sunbird nghĩ rằng không sao cả!

Dường như không phải lúc nào cũng có một nhà sản xuất Android cường điệu hơn là thực chất, nhưng giờ đây chúng ta có thể thêm từ “cẩu thả” vào danh sách đó. Công ty đã hợp tác với Sunbird, thiết kế lại ứng dụng và tạo danh mục đầu tư Trang web quảng cáo Và video YouTubeVà ông đã phối hợp một tuyên bố truyền thông với YouTuber nổi tiếngTất cả đều không có sự thẩm định dù là nhỏ nhất đối với các ứng dụng hoặc yêu cầu bảo mật của Sunbird. Thật không thể tin được rằng hai công ty này lại có thể tiến xa đến thế, vì việc tung ra Nothing Chats đã gây ra lỗi bảo mật hệ thống trên toàn bộ hai công ty.

Không có gì khẳng định rằng ứng dụng sẽ hoạt động trở lại sau khi Sunbird “sửa một số lỗi”. Khi toàn bộ ứng dụng của bạn được xây dựng mà dường như không có mối quan tâm nào về bảo mật, tôi không biết bạn có thể khắc phục điều đó như thế nào trong một hoặc hai tuần. Nếu Nothing Chats quay lại Cửa hàng Play, liệu có ai còn đủ tin tưởng để nhập thông tin đăng nhập của họ không?