Eliška Červinková 
Chaty nic
Přestože spoluzakladatel společnosti Nothing tvrdí, že jeho chatovací služba, která přemosťuje iMessage, bude šifrována end-to-end, zdá se, že zdrojový kód odhaluje pravý opak.
Tvůrci Nothing Phone (2) oznámili Nothing Chats 14. listopadu. Je to služba, která uživatelům Androidu umožňuje posílat zprávy v modrých bublinách ve stylu iPhone – za předpokladu, že se chtějí přihlásit ke vzdálenému serveru pomocí svého Apple ID.
Nothing vyžaduje, aby uživatelé měli telefon (2) pro přístup k chatům Nothing. Technologie podobná iMessage pochází od společnosti Sunbird, technologické společnosti se sídlem v New Yorku, a je integrována do aplikace Nothing messages.
Tým textů se rychle podíval na technologii za chatováním a zjistil, že je extrémně nejistá
nepoužívá ani HTTPS, přihlašovací údaje se odesílají přes prostý text HTTP
backend běží na instanci BlueBubbles, která zatím nepodporuje end-to-end šifrování pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) 17. listopadu 2023
V pátek zakladatel Texts.com tweetoval, že jeho tým se „zběžně podíval“ na kód za Nothing Chats a zjistil, že je nejistý.
„Nepoužívá ani HTTPS, přihlašovací údaje se odesílají přes prostý text HTTP,“ řekl Kishan Bagaria.
Vystavování dat pomocí nezabezpečených protokolů
Primárním problémem je absence HTTPS (Hypertext Transfer Protocol Secure) v komunikačních protokolech služby. HTTPS, základní bezpečnostní standard pro moderní internetovou komunikaci, šifruje data mezi zařízením uživatele a serverem.
Absence tohoto šifrování znamená, že citlivé informace, včetně přihlašovacích údajů, jsou odesílány přes internet pomocí prostého textu HTTP. Použití této metody je nejisté, protože umožňuje relativně snadné zachycení dat třetími stranami, zejména v nezabezpečených sítích.
Vyšetřování odhalilo, že Nothing Chats používá backend poháněný BlueBubbles, službou pro zasílání zpráv, která je známá nedostatkem end-to-end šifrování. End-to-end šifrování je kritickou funkcí bezpečného zasílání zpráv a zajišťuje, že zprávy mohou číst pouze komunikující uživatelé.
Absence tohoto šifrování znamená, že ke zprávám může potenciálně přistupovat poskytovatel služeb nebo je mohou zachytit externí subjekty, což představuje významnou hrozbu pro soukromí.
Na tvrzení zatím nic nereagovalo.
Bezpečná řešení zasílání zpráv
Podle Nothing bylo primárním důvodem jeho aplikace pro zasílání zpráv to, aby přiměla uživatele iPhone svých sluchátek, aby se plně zavázali ke svému smartphonu. Společnost zjistila, že překážky pro zasílání zpráv odrazují uživatele iPhone od změny platforem, zejména stigma spojené s tím, že jste jedinou osobou ve skupinovém chatu se zelenými bublinkovými zprávami pro Android namísto typických modrých Apple.
„Říkali jsme si, jak s tím můžeme něco udělat?“ řekl Nic je Carl Pei. „A začali jsme se dívat na různé týmy pracující na tomto problému… a dostali jsme se do kontaktu s týmem Sunbird.“
V návaznosti na významnější společnosti, jako je Google a Samsung, Nic také zmínilo nedostatek podpory RCS ze strany Apple v iMessage. Dále tvrdil, že neochota společnosti Apple přijmout RCS ohrožuje soukromí uživatelů.
Naštěstí Apple 16. listopadu oznámil, že do iMessage přidá univerzální profil RCS, pravděpodobně s iOS 18 v roce 2024. Přestože tento profil nezahrnuje verzi end-to-end šifrování od Googlu, Apple spolupracuje s průmyslovým orgánem GSMA o možném zahrnutí celoodvětvového šifrovacího standardu.
Zdroj: appleinsider.com
