Ternyata perusahaan yang menghalangi pertanyaan keamanan media sebenarnya tidak begitu baik dalam hal keamanan. Selasa lalu, Nothing Chats – aplikasi chatting dari pembuat Android Nothing dan startup aplikasi Sunbird – diklaim mampu meretas protokol iMessage Apple dan memberikan gelembung biru kepada pengguna Android. Kami segera menandai Sunbird sebagai perusahaan yang memberikan janji kosong selama sekitar satu tahun dan tampak lalai dalam hal keamanan. Aplikasi tersebut tetap diluncurkan pada hari Jumat dan segera terkoyak oleh internet karena berbagai masalah keamanan. Tidak butuh waktu 24 jam sebelum Nothing menarik aplikasi dari Play Store pada Sabtu pagi. Sunbird, yang mana Nothing Chat hanya didesain ulang, juga telah “dijeda”.

Promosi penjualan awal untuk aplikasi ini — bahwa aplikasi ini akan memasukkan Anda ke iMessage di Android jika Anda menyerahkan nama pengguna dan kata sandi Apple Anda — merupakan tanda bahaya keamanan besar yang berarti Sunbird memerlukan infrastruktur yang sangat aman untuk menghindari bencana. Sebaliknya, aplikasi tersebut ternyata tidak seaman yang seharusnya. Inilah pernyataan tidak ada:

Seberapa buruk masalah keamanannya? keduanya 9to5Google Dan Teks.com (Yang dia miliki otomatis, perusahaan di balik WordPress) telah mengungkapkan praktik keamanan yang sangat buruk. Bukan saja aplikasinya tidak dienkripsi secara end-to-end, seperti yang diklaim Nothing dan Sunbird berkali-kali, namun Sunbird sebenarnya mencatat pesan-pesan tersebut dan menyimpannya dalam bentuk teks biasa di kedua program pelaporan bug. penjaga Dan Di toko Firebase. Token autentikasi dikirim melalui HTTP yang tidak terenkripsi sehingga token ini dapat disadap dan digunakan untuk membaca pesan Anda.

Investigasi Text.com mengungkapkan setumpuk kerentanan. Blog tersebut mengatakan: “Saat pengguna menerima pesan atau lampiran, pesan atau lampiran tersebut tidak dienkripsi di sisi server hingga klien mengirimkan permintaan untuk mengakuinya dan menghapusnya dari database. Artinya, penyerang yang berlangganan Firebase Realtime DB akan selalu dapat mengakses pesan sebelum atau saat ini Dibaca oleh pengguna.” Text.com mampu mencegat kode otentikasi yang dikirim melalui HTTP tidak terenkripsi dan berlangganan perubahan yang terjadi dalam database. Ini berarti pembaruan langsung “pesan masuk dan keluar, perubahan akun, dll.” tidak hanya dari mereka sendiri, tetapi juga dari pengguna lain.

Text.com merilis a Bukti dari konsep Aplikasi yang dapat mengambil pesan terenkripsi end-to-end Anda dari server Sunbird. Batuhan Ikuz, seorang insinyur produk di Text.com, juga telah merilis alat yang akan menghapus beberapa data Anda dari server Sunbird. Içöz menyarankan agar setiap pengguna Sunbird/Nothing Chat mengubah ID Apple mereka sekarang, membatalkan sesi Sunbird mereka, dan “menganggap bahwa data Anda telah disusupi.”

9to5Google Dylan Russel Saya melihat ke dalam aplikasi dan menemukan bahwa, selain semua data teks publik, “semua dokumen (foto, video, audio, pdf, vCard…) yang dikirim melalui Nothing Chat dan Sunbird bersifat publik.” Russell menemukan bahwa 630.000 file media saat ini disimpan oleh Sunbird, dan tampaknya dia dapat mengakses beberapa di antaranya. Aplikasi Sunbird menyarankan pengguna mentransfer vCard – kartu nama virtual yang berisi informasi kontak – dan Russell mengatakan informasi pribadi lebih dari 2.300 pengguna dapat diakses. Russell menyebut seluruh kegagalan ini “mungkin mimpi buruk privasi terbesar yang pernah saya lihat dari produsen ponsel selama bertahun-tahun.”

Meskipun menjadi penyebab bencana besar ini, anehnya Sunbird tetap tenang selama kekacauan ini. Halaman X aplikasi (sebelumnya Twitter) masih tidak menjelaskan apa pun tentang mematikan Nothing Chats atau Sunbird. Ini mungkin yang terbaik karena beberapa tanggapan awal Sunbird terhadap masalah keamanan yang diangkat pada hari Jumat tampaknya tidak datang dari pengembang yang kompeten. Pada awalnya, perusahaan Pertahankan penggunaannya HTTP tidak terenkripsi untuk beberapa transaksi web, Bajaria dari Text.com mengatakan “HTTP hanya digunakan sebagai bagian dari permintaan satu kali awal dari aplikasi untuk menginformasikan back-end tentang frekuensi koneksi iMessage berikutnya yang akan mengikuti saluran komunikasi terpisah. Sejak awal, Sunbird fokus pada keamanan.“Investigasi Text.com menjelaskan bahwa ini adalah ‘server Express dengan beban seimbang yang tidak menerapkan SSL, sehingga penyerang dapat dengan mudah mencegat permintaan.'” Penggunaan HTTP ini memungkinkan Text.com untuk mencegat token autentikasi.

Praktik terbaik keamanan modern mengatakan bahwa penggunaan HTTP yang tidak terenkripsi tidak dapat diterima untuk transaksi online apa pun, dan banyak platform sepenuhnya memblokir transmisi HTTP teks biasa secara default. Chrome menampilkan peringatan satu halaman penuh ketika mencoba mengakses halaman HTTP dan meminta pengguna untuk mengklik pesan peringatan. Android Nonaktifkan teks yang jelas lalu lintas secara default dan memerlukan pengembang untuk menjalankan tanda khusus agar permintaan dapat lolos. Proyek seperti Let’s Encrypt tidak hanya menjadikan penggunaan HTTPS mudah dan gratis, tetapi sebenarnya demikian Lebih mudah Untuk mengenkripsi semuanya karena Anda tidak harus menghadapi semua hambatan keamanan. Ini adalah dasar-dasar penggunaan internet pada tahun 2023, dan melihat pengembang mana pun menentangnya adalah hal yang mengejutkan, terutama ketika pengembang tersebut juga ingin dipercaya dengan akun Apple Anda. Akan berbeda jika ini adalah kesalahan besar, tapi Sunbird menganggap itu tidak masalah!

Tampaknya tidak selalu ada produsen Android yang lebih hype daripada substansinya, tetapi sekarang kita dapat menambahkan kata “ceroboh” ke dalam daftar itu. Perusahaan ini bekerja sama dengan Sunbird, mendesain ulang aplikasinya, dan membuat portofolio Situs web promosi Dan Video YoutubeDan dia mengoordinasikan pernyataan media dengan YouTuber terkenalSemuanya tanpa melakukan uji tuntas sedikit pun terhadap aplikasi atau klaim keamanan Sunbird. Sulit dipercaya bahwa kedua perusahaan ini bisa sampai sejauh ini, karena peluncuran Nothing Chats memerlukan kegagalan keamanan sistemik di dua perusahaan secara keseluruhan.

Tidak ada yang mengklaim bahwa aplikasi tersebut akan kembali lagi setelah Sunbird “memperbaiki beberapa bug”. Ketika seluruh aplikasi Anda dibuat tanpa memperhatikan keamanan, saya tidak mengerti bagaimana Anda dapat memperbaikinya dalam satu atau dua minggu. Jika Nothing Chats kembali ke Play Store, apakah ada yang masih cukup mempercayainya untuk memasukkan kredensial mereka?