iMessage Bir Güvenlik Felaketi Değildi, 24 Saat İçinde Silindi – Ars Technica

Medyanın güvenlik sorularını engelleyen şirketlerin aslında güvenlik konusunda o kadar da iyi olmadığı ortaya çıktı. Geçtiğimiz Salı günü, Android yapımcısı Nothing ve uygulama girişimi Sunbird’ün sohbet uygulaması olan Nothing Chats, Apple’ın iMessage protokolünü hackleyebildiğini ve Android kullanıcılarına mavi baloncuklar verebildiğini iddia etti. Sunbird’ü hemen yaklaşık bir yıldır boş vaatlerde bulunan ve güvenlik konusunda ihmalkar görünen bir şirket olarak işaretledik. Uygulama zaten Cuma günü başlatıldı ve çok sayıda güvenlik sorunu nedeniyle internet tarafından anında parçalandı. Hiçbir şeyin Cumartesi sabahı uygulamayı Play Store’dan çekmesi 24 saat sürmedi. Nothing Chat’in yeniden tasarımı olan Sunbird de “duraklatıldı”.

Bu uygulamanın ilk satış sunumu (Apple kullanıcı adınızı ve şifrenizi verirseniz Android’de iMessage’de oturum açmanızı sağlayacaktı), Sunbird’ün felaketi önlemek için son derece güvenli bir altyapıya ihtiyaç duyacağı anlamına gelen büyük bir güvenlik uyarı işaretiydi. Bunun yerine uygulamanın olabileceği kadar güvenli olmadığı ortaya çıktı. İşte hiçbir şey ifadesi:

Güvenlik sorunları ne kadar kötü? Bunların her ikisi de 9to5Google Ve Text.com (Sahip olduğu otomatikWordPress’in arkasındaki şirket) çok zayıf güvenlik uygulamalarını ortaya çıkardı. Hiçbir Şey ve Sunbird’ün defalarca iddia ettiği gibi uygulama uçtan uca şifrelenmemiş olmakla kalmadı, aynı zamanda Sunbird aslında mesajları günlüğe kaydetti ve her iki hata raporlama programında da bunları düz metin olarak sakladı. nöbetçi Ve Firebase mağazasında. Kimlik doğrulama belirteçleri şifrelenmemiş HTTP üzerinden gönderilir, böylece bu belirteç ele geçirilebilir ve mesajlarınızı okumak için kullanılabilir.

Text.com’un araştırması bir yığın güvenlik açığını ortaya çıkardı. Blog şunu söylüyor: “Bir kullanıcı bir mesaj veya ek aldığında, istemci bunu onaylamak ve veritabanından silmek için bir istek gönderene kadar sunucu tarafında şifrelenmez. Bu, Firebase Realtime DB’ye abone olan bir saldırganın, Kullanıcı tarafından okunan mesajlara her zaman önceden veya okunduğu anda erişebileceksiniz.” Text.com, şifrelenmemiş HTTP üzerinden gönderilen kimlik doğrulama kodunu ele geçirmeyi ve veritabanında meydana gelen değişikliklere abone olmayı başardı. Bu, yalnızca kendilerinden değil diğer kullanıcılardan da “gelen ve giden mesajların, hesap değişikliklerinin vb.” canlı olarak güncellenmesi anlamına gelir.

Text.com bir yayınladı Kavramın ispatı Sunbird sunucularından sözde uçtan uca şifrelenmiş mesajlarınızı getirebilen uygulama. Batuhan İkuzText.com’da ürün mühendisi olan , verilerinizin bir kısmını Sunbird sunucularından silecek bir araç da yayınladı. İçöz, Sunbird/Nothing Chat kullanıcılarının Apple kimliklerini hemen değiştirmelerini, Sunbird oturumlarını iptal etmelerini ve “verilerinizin zaten ele geçirildiğini varsaymalarını” tavsiye ediyor.

9to5Google Dylan Russel Uygulamayı inceledim ve tüm genel metin verilerine ek olarak, “Nothing Chat ve Sunbird aracılığıyla gönderilen tüm belgelerin (fotoğraflar, videolar, ses dosyaları, pdf’ler, vCard’lar…) herkese açık olduğunu” gördüm. Russell, Sunbird’de şu anda 630.000 medya dosyasının depolandığını ve bunların bazılarına erişebildiğini tespit etti. Sunbird uygulaması, kullanıcılara vCard’ları (iletişim bilgileriyle dolu sanal kartvizitler) aktarmalarını önerdi ve Russell, 2.300’den fazla kullanıcının kişisel bilgilerine erişilebileceğini söyledi. Russell, tüm bu fiyaskoyu “muhtemelen bir telefon üreticisinden yıllardır gördüğüm en büyük gizlilik kabusu” olarak nitelendiriyor.

Bu büyük felaketin sebebi olmasına rağmen Sunbird tüm bu karmaşa sırasında garip bir şekilde sakindi. Uygulamanın X (eski adıyla Twitter) sayfası, Nothing Chats veya Sunbird’ün kapatılmasına ilişkin hâlâ hiçbir şey söylemiyor. Bu muhtemelen en iyisi çünkü Sunbird’ün Cuma günü dile getirilen güvenlik endişelerine verdiği ilk yanıtlardan bazıları yetkin bir geliştiriciden gelmiş gibi görünmüyor. Başlangıçta şirket Kullanımını savunun Text.com’dan Bajaria, bazı web işlemleri için şifrelenmemiş HTTP’nin “HTTP yalnızca, ayrı bir iletişim kanalı üzerinden takip edilecek bir sonraki iMessage bağlantı sıklığının arka ucunu bilgilendirmek için uygulamadan gelen ilk tek seferlik isteğin bir parçası olarak kullanılır. Sunbird başından beri güvenliğe odaklandı.“Text.com’un araştırması, bunun ‘SSL uygulamayan, yük dengeli bir Ekspres sunucusu olduğunu, dolayısıyla bir saldırganın istekleri kolayca ele geçirebileceğini’ açıkladı.” HTTP’nin bu kullanımı, Text.com’un kimlik doğrulama belirteçlerini ele geçirmesine izin verdi.

Modern güvenlik en iyi uygulamaları, herhangi bir çevrimiçi işlem için şifrelenmemiş HTTP kullanmanın asla kabul edilemez olduğunu ve birçok platformun varsayılan olarak düz metin HTTP aktarımlarını tamamen engellediğini söylüyor. Chrome, bir HTTP sayfasına erişmeye çalışırken tam sayfa bir uyarı görüntüler ve kullanıcıdan bir uyarı mesajını tıklamasını ister. Android Temiz metni devre dışı bırak varsayılan olarak trafiktir ve isteğin geçebilmesi için bir geliştiricinin özel bir işaret çalıştırması gerekir. Let’s Encrypt gibi projeler yalnızca HTTPS kullanımını kolay ve ücretsiz hale getirmekle kalmadı, aynı zamanda gerçekten de Daha kolay Her şeyi şifrelemek için çünkü tüm güvenlik engelleriyle uğraşmanıza gerek yok. Bunlar 2023 internet kullanımının temelleridir ve herhangi bir geliştiricinin bunlara karşı çıktığını görmek şok edicidir, özellikle de o geliştirici Apple hesabınız konusunda da güvenilmek istiyorsa. Bu çok büyük bir hata olsaydı farklı olurdu ama Sunbird bunun sorun olmayacağını düşündü!

Her zaman içerikten çok abartılı bir Android üreticisi gibi görünmedi, ancak artık bu listeye “özensiz” kelimesini ekleyebiliriz. Şirket, Sunbird ile güçlerini birleştirdi, uygulamasını yeniden tasarladı ve bir portföy oluşturdu Promosyon web sitesi Ve Youtube videosuVe bir medya açıklamasını koordine etti Ünlü YouTuber’larTüm bunları, Sunbird’ün uygulamaları veya güvenlik iddiaları hakkında en ufak bir inceleme bile yapmadan gerçekleştiriyoruz. Hiçbir Şey Sohbeti’ni başlatmak, iki şirketin tamamında sistemik bir güvenlik arızasını gerektirdiğinden, bu iki şirketin bu kadar ileri gidebilmesi inanılmaz.

Sunbird’ün “birkaç hatayı düzelttiğinde” uygulamanın geri döneceğini iddia eden hiçbir şey yok. Uygulamanızın tamamı görünüşte güvenlik konusunda hiçbir endişe olmadan oluşturulmuşken, bunu bir veya iki hafta içinde nasıl düzeltebileceğinizi anlamıyorum. Hiçbir Şey Sohbetleri Play Store’a geri dönerse, kimse kimlik bilgilerini girecek kadar ona güvenecek mi?