لم يتم سحب استنساخ iMessage من متجر Play بسبب مخاوف تتعلق بالحماية



لم يتم سحب أي شيء للدردشات، وهو نسخة iMessage التي أطلقتها المؤسسة في وقت سابق من هذا الأسبوع، من متجر Google Play. السبب الشرعي هو "العديد من الأخطاء" التي تحتاج المؤسسة إلى وقت لاستعادتها قبل إطلاقها مرة أخرى بعد فترة زمنية غير محددة.

لقد قمنا بإزالة النسخة التجريبية من Nothing Chats من متجر Play وقد نقوم بتأخيرها الإطلاق حتى يتم ملاحظة العمل بالمثل مع Sunbird لإصلاح العديد من الأخطاء. نعتذر عن التأجيل ويمكننا أن نفعل ما هو مناسب لعملائنا.

— لا شيء (@ ليس شيئًا) 18 نوفمبر 2023

ومع ذلك، قد تكون هناك أدلة كافية لدعم فكرة أن التطبيق لم يتم سحبها الآن بسبب "الحشرات"، كما يقول لا شيء، بل بسبب بعض مشكلات السلامة التدخلية.

وفقًا لتقييم فني شامل بمساعدة Texts.Com أنا> المؤلف رضا فقيه ومستخدمي تويتر @batuhan و@1ConanEdogowa، تم اكتشاف شركة Sunbird، الشركة المصدرة لخدمة Nothing's، وهي تكذب بشأن طبيعة التشفير الشامل للرسائل التي يتم توجيهها عبر خوادمها.

كما تم الكشف عنها من قبل، حيث كان الاشتراك لاستخدام Nothing Chats يتطلب إنشاء أغنية في خوادم Sunbird باستخدام معرف Apple الخاص بك، والذي تم تشغيله على جهاز Mac mini يحمل جهازًا رقميًا. يتم تشفير الرسائل المرسلة إلى الخوادم، كما ادعى من خلال Sunbird. ومع ذلك، كما اكتشف المؤلفون المذكورون أعلاه، يتم إرسال JSON Web Tokens أو JWT التي ينشئها الموفر مرة أخرى غير مشفرة إلى خادم Sunbird آخر بدون SSL، مما يسمح باعتراضها من خلال مهاجم.

استحوذت مجموعة النصوص على راقب سريعًا التكنولوجيا خلف أي محادثات واكتشفت أنها غير آمنة للغاية، فهي لا تستخدم حتى HTTPS، ويتم إرسال بيانات الاعتماد عبر نص عادي، حيث يقوم HTTPbackend بالتجول في مثيل BlueBubbles، الذي لا يدعم تشفير التوقف للتوقف ولكن في المائة .Twitter.Com/IcWyIbKE86

— Kishan Bagaria (@KishanBagaria) 17 نوفمبر 2023

علاوة على ذلك، يتم فك تشفير الرسائل ثم تخزينها على خوادم Sunbird، مما يتيح للمهاجم وقتًا للوصول إليها قبل ذلك. يفعل المستخدم. أكد موقع Texts.Com ذلك عن طريق إرسال بعض الرسائل بين الأجهزة واعتراض JWT، مما يتيح لهم الوصول إلى قاعدة بيانات Firebase في الوقت الفعلي. ومن هذا العامل، تغير كل ما يتطلبه الأمر إلى 23 سلالة من التعليمات البرمجية لتنزيل جميع حقائق المستخدم والمحادثات.

قدم الكاتب أيضًا موقعًا إلكترونيًا حيث يمكن لأي شخص لديه خبرة كافية في التعليمات البرمجية اعتراض بياناته الشخصية. عندما يرسلون رسائل بين جهازين، أحدهما يتنقل في تطبيق Nothing Chats.

@ridafkih @batuhan @1ConanEdogawa بحث كثيرًا ولاحظ أن جميع النصوص/الوسائط الواردة لا يتم تخزينها بشكل غير مشفر فحسب، بل بالإضافة إلى ذلك، يتم تسريب جميع النصوص الصادرة إلى خادم حراسة بنص عادي p.C.Twitter.Com/GOqiatPNaE

— Kishan Bagaria (@KishanBagaria) 18 نوفمبر 2023

ولكي نكون واضحين، فإن مشكلة الخصوصية هي خطأ Sunbird مباشرة. ومع ذلك، من خلال اختيار العمل مع الشركة، لم يتورط أي شيء أيضًا في الأمر. علاوة على ذلك، فإن التعامل مع هذا الموقف الخطير على أنه "أخطاء" كان أمرًا غير صادق على الإطلاق.

سوف نرى في أي بلد ستعود الخدمة إلى الظهور عندما لا يتخذ أي شيء قرارًا بإرجاع التطبيق إلى المتجر. من الواضح أنه لا ينبغي لك تسجيل الدخول إلى خوادم شركة اتصالات عيد ميلاد ثالث باستخدام معرف Apple الخاص بك في المنطقة المجاورة الأولى، حتى لو كان مشفرًا. ولكن هذا يبدو غير ضروري على وجه الخصوص الآن مع إعلان شركة Apple عن دعم RCS.