iMessage nebija drošības katastrofa, tika izdzēsta 24 stundu laikā — Ars Technica

Izrādās, ka uzņēmumi, kas traucē plašsaziņas līdzekļu drošības jautājumiem, patiesībā nav tik labi drošības jomā. Pagājušajā otrdienā Nothing Chats — tērzēšanas lietotne no Android ražotāja Nothing un lietotņu startēšanas Sunbird — apgalvoja, ka tā spēj uzlauzt Apple iMessage protokolu un nodrošināt Android lietotājiem zilus burbuļus. Mēs nekavējoties atzīmējām Sunbird kā uzņēmumu, kas apmēram gadu deva tukšus solījumus un šķita nolaidīgs attiecībā uz drošību. Lietojumprogramma tik un tā tika palaista piektdien, un internets to nekavējoties saplēsa daudzu drošības problēmu dēļ. Nepagāja 24 stundas, līdz sestdienas rītā nekas izvilka lietotni no Play veikala. Sunbird, kura Nothing Chat ir tikai pārveidots dizains, arī ir “pauzēts”.

Sākotnējais šīs lietotnes pārdošanas piedāvājums — tas, ka tā pieteiktos pakalpojumā iMessage operētājsistēmā Android, ja nodosit savu Apple lietotājvārdu un paroli, bija milzīgs drošības sarkanais karogs, kas nozīmēja, ka Sunbird būs nepieciešama ļoti droša infrastruktūra, lai izvairītos no katastrofām. Tā vietā lietotne izrādījās ne tik droša, kā varētu būt. Šeit ir paziņojums par neko:

Cik slikti ir drošības jautājumi? abi 9to5Google Un Text.com (Kas viņam pieder automātiski, uzņēmums aiz WordPress) ir atklājis ļoti sliktu drošības praksi. Lietotne ne tikai nebija pilnībā šifrēta, kā Nothing un Sunbird vairākas reizes apgalvoja, bet arī Sunbird faktiski reģistrēja ziņojumus un saglabāja tos vienkāršā tekstā abās kļūdu ziņošanas programmās. sargs Un Firebase veikalā. Autentifikācijas marķieri tiek nosūtīti, izmantojot nešifrētu HTTP, lai šo marķieri varētu pārtvert un izmantot jūsu ziņojumu lasīšanai.

Text.com izmeklēšana atklāja ievainojamību kaudzi. Emuārā teikts: “Kad lietotājs saņem ziņojumu vai pielikumu, tas netiek šifrēts servera pusē, līdz klients nosūta pieprasījumu to apstiprināt un dzēst no datu bāzes. Tas nozīmē, ka uzbrucējs, kas abonējis Firebase Realtime DB, vienmēr varēsiet piekļūt ziņojumiem pirms vai brīdī, kad to lasījis lietotājs.” Vietnei Text.com izdevās pārtvert autentifikācijas kodu, kas tika nosūtīts, izmantojot nešifrētu HTTP, un parakstīties uz izmaiņām, kas notiek datu bāzē. Tas nozīmē “ienākošo un izejošo ziņojumu, konta izmaiņu utt. atjauninājumus” ne tikai no viņiem pašiem, bet arī no citiem lietotājiem.

Text.com izlaida a Koncepta pierādījums Lietojumprogramma, kas var ienest jūsu it kā pilnībā šifrētos ziņojumus no Sunbird serveriem. Batuhans Ikuzs, Text.com produktu inženieris, arī ir izlaidis rīku, kas izdzēsīs dažus jūsu datus no Sunbird serveriem. Içöz iesaka visiem Sunbird/Nothing Chat lietotājiem tagad mainīt Apple ID, atcelt Sunbird sesiju un “pieņemt, ka jūsu dati jau ir apdraudēti”.

9to5Google Dilans Rasels Es ieskatījos lietotnē un atklāju, ka papildus visiem publiskajiem teksta datiem “visi dokumenti (fotoattēli, video, audio, pdf, vCards…), kas nosūtīti, izmantojot Nothing Chat un Sunbird, ir publiski.” Rasels atklāja, ka Sunbird pašlaik glabā 630 000 multivides failu, un šķiet, ka viņš var piekļūt dažiem no tiem. Sunbird lietotne ieteica lietotājiem pārsūtīt vCard — virtuālās vizītkartes, kas piepildītas ar kontaktinformāciju, un Rasels saka, ka var piekļūt vairāk nekā 2300 lietotāju personiskajai informācijai. Rasels visu šo fiasko sauc par “iespējams, lielāko privātuma murgu, ko esmu redzējis no tālruņu ražotāja pēdējo gadu laikā”.

Neskatoties uz to, ka Sunbird bija šīs milzīgās katastrofas cēlonis, visa šī nekārtības laikā viņš bija dīvaini mierīgs. Lietojumprogrammas X (agrāk Twitter) lapā joprojām nekas nav teikts par Nothing Chats vai Sunbird izslēgšanu. Tas, iespējams, ir labākais, jo dažas no Sunbird agrīnajām atbildēm uz piektdien izteiktajām drošības problēmām, šķiet, nav nākušas no kompetenta izstrādātāja. Sākumā uzņēmums Aizstāvēt tā izmantošanu Nešifrēts HTTP dažiem tīmekļa darījumiem, Text.com Bajaria pastāstīja “HTTP tiek izmantots tikai kā daļa no sākotnējā vienreizējā pieprasījuma no lietotnes, lai informētu aizmuguri par nākamo iMessage savienojuma frekvenci, kas sekos pa atsevišķu sakaru kanālu. No sākuma Sunbird koncentrējās uz drošību.“Text.com izmeklēšanā tika paskaidrots, ka tas ir “sabalansēts Express serveris, kas neieviesa SSL, tāpēc uzbrucējs varēja viegli pārtvert pieprasījumus.” Šī HTTP izmantošana ļāva Text.com pārtvert autentifikācijas pilnvaras.

Mūsdienu drošības paraugprakse saka, ka nekad nav pieņemami tiešsaistes transakcijām izmantot nešifrētu HTTP, un daudzas platformas pēc noklusējuma pilnībā bloķē vienkārša teksta HTTP pārraidi. Mēģinot piekļūt HTTP lapai, pārlūks Chrome parāda visas lapas brīdinājumu un aicina lietotāju noklikšķināt uz brīdinājuma ziņojuma. Android Atspējot skaidru tekstu trafika pēc noklusējuma, un izstrādātājam ir jāpalaiž īpašs karodziņš, lai pieprasījums varētu tikt cauri. Tādi projekti kā Let’s Encrypt ir ne tikai padarījuši HTTPS izmantošanu vienkāršu un bez maksas, bet arī patiesībā Vieglāk Lai šifrētu visu, jo jums nav jārisina visas drošības barjeras. Šie ir 2023. gada interneta lietošanas pamatprincipi, un redzēt, ka kāds izstrādātājs tiem iebilst, ir šokējoši, it īpaši, ja šis izstrādātājs vēlas, lai arī jūsu Apple konts viņam uzticētos. Būtu savādāk, ja tā būtu milzīga kļūda, bet Sunbird domāja, ka tas ir labi!

Ne vienmēr ir šķitis, ka Android ražotājs bija vairāk ažiotāža nekā saturs, taču tagad šim sarakstam varam pievienot vārdu “apliets”. Uzņēmums apvienoja spēkus ar Sunbird, pārveidoja savu lietotni un izveidoja portfeli Reklāmas vietne Un YouTube videoUn viņš saskaņoja paziņojumu medijiem ar Slaveni YouTube lietotājiTas viss, neveicot mazāko rūpību par Sunbird lietotnēm vai drošības prasībām. Neticami, ka šie divi uzņēmumi varēja tik tālu tikt, jo Nothing Chats palaišanai bija nepieciešama sistēmiska drošības kļūme divos veselos uzņēmumos.

Nekas neapgalvo, ka lietotne atgriezīsies, tiklīdz Sunbird “novērsīs vairākas kļūdas”. Kad visa jūsu lietojumprogramma tika izveidota, šķietami neuztraucoties par drošību, es nesaprotu, kā jūs varat to salabot nedēļas vai divu laikā. Ja Nothing Chats atgriezīsies Play veikalā, vai kāds joprojām tam uzticēsies pietiekami, lai ievadītu savus akreditācijas datus?