Eliška Červinková 
Chaty nic
Nic a Sunbird vytáhli šokově nejistý most iMessage, ale až poté, co se zjistilo, že Sunbird nejenže protokoluje a uchovává zprávy, vizitky vCard a další, ale že uchovaná uživatelská data mohou stahovat i ostatní.
Nic Chats bylo staženo z obchodu Google Play v sobotu jen pár dní po jeho představení. Aplikace byla spuštěna 14. listopadu a během několika dní byla vznesena podezření ohledně aplikace, včetně jejího zdánlivého nedostatku šifrování a odesílání přihlašovacích údajů přes internet pomocí prostého textu HTTP.
V sobotu se situace se službou Nothing a Sunbird zhoršila a objevila se další odhalení ohromujícího nedostatku bezpečnostních opatření pro aplikaci.
Brzy v ten den nic neodstranilo aplikaci z obchodu Google Play. V pošta na X, dříve Twitter, výrobce telefonu poněkud optimisticky říká, že „odkládá spuštění až do odvolání, aby spolupracoval se Sunbirdem na opravě několika chyb“.
Než Nothing vytáhlo zástrčku, vývojář aplikací pro Android Dylan Roussel učinil o aplikaci několik objevů, které ukázaly, že je pro své uživatele extrémně nebezpečná. Ve vláknuRoussel prohlásil, že Sunbird měl „přístup ke každé zprávě odeslané a přijaté prostřednictvím aplikace na vašem zařízení“, že všechny dokumenty včetně obrázků, videí a vizitek vCard odeslané prostřednictvím aplikace jsou veřejně viditelné a že Nothing Chats nepoužívá koncové to-end šifrování vůbec.
Roussel tvrdí, že Sunbird má přístup, protože zneužívá nástroj pro detekci chyb Sentry, který Sunbird prosazuje, že HTTP bylo v pořádku pro počáteční požadavek. Sunbird místo toho použil Sentry k protokolování chyb přihlásit zprávy a předstírat, že to byly chyby.
Poté, co Roussel zkusil a uspěl s texty, zkusil poslat jiné formy médií a zjistil, že byly odeslány do Firebase. Poté přemýšlel, zda je možné vidět média zveřejněná jinými uživateli, a nejenže se mu podařilo vygenerovat seznam, ale měl přístup k některým prvkům.
Sunbird má přístup ke každé zprávě odeslané a přijaté prostřednictvím aplikace. Dělají to zneužíváním @getsentrykterý slouží ke sledování chyb.
Ale Sunbird zaznamenává zprávy a předstírá, že jsou to chyby.
Zde je část požadavků (obr. 1, 3) a celá jejich „zpráva“ (obr. 2, 4) pic.twitter.com/pzwwQVWfOb
— Dylan Roussel (@evowizz) 18. listopadu 2023
V době zveřejnění vlákna bylo společností Sunbird uloženo více než 637 000 mediálních položek. Tato sbírka zahrnovala vCards, které aplikace navrhuje poslat ostatním na začátku konverzace, aby se e-mailová adresa Apple ID uživatele sloučila s telefonním číslem v telefonu kontaktu.
Roussel poté přistoupil ke stažení jedné z asi 2 300 vizitek vCard v archivu, což prokázalo, že bylo možné získat telefonní čísla a podrobnosti ostatních uživatelů.
Soubory byly také uloženy s původními názvy souborů nedotčenými. Roussel uvedl, že se jedná o problém, protože může zahrnovat část adresy URL nebo důvěrné nebo citlivé informace, což má další bezpečnostní důsledky.
Nakonec Roussel řekl, že chaty nejsou end-to-end šifrované vůbec. „Po zjištění, že média jsou sdílena veřejně, přichází tato zpráva s uvědoměním si, že Sunbird a potažmo Nothing Chats není end-to-end, jak je všude inzerováno,“ napsal vývojář.
Pokud jde o to, co by Nic nemohlo udělat, v té době Roussel řekl, že aplikace by měla být odstraněna z Obchodu Play a poté varovat všechny uživatele. Podle evropských pravidel GDPR má Sunbird 72 hodin od oznámení o zranitelnosti, aby informoval oběti.
„Nic Chats nevyvinula společnost Nothing. Ale Nic nemělo ověřit, že aplikace, která používá jejich jméno, je zabezpečená, než to bude tvrdit,“ Roussel komentáře na věc. „Toto je pravděpodobně největší noční můra o soukromí, jakou jsem u výrobce telefonů za poslední roky viděl.“
Zdroj: appleinsider.com
