Acontece que as empresas que bloqueiam as questões de segurança da mídia não são realmente as melhores em segurança. Na terça-feira passada, o Nothing Chats – um aplicativo de bate-papo do fabricante Android Nothing e da nova empresa de aplicativos Sunbird – afirmou timidamente que poderia hackear o protocolo iMessage da Apple e fornecer bolhas azuis aos usuários do Android. Imediatamente sinalizamos a Sunbird como uma empresa que faz promessas vazias há quase um ano e tem sido descuidada com a segurança. De qualquer forma, o aplicativo foi lançado na sexta-feira e foi imediatamente criticado pela Internet por vários problemas de segurança. Não durou 24 horas e a Nothing retirou o aplicativo da Play Store na manhã de sábado. O aplicativo Sunbird, NothingChat, é apenas uma reformulação e foi colocado em “pausa”.
O discurso de vendas inicial do aplicativo – ele permitiria que você fizesse login no iMessage no Android se você entregasse seu nome de usuário e senha da Apple – foi um grande sinal de alerta de segurança, o que significa que o Sunbird precisaria de uma infraestrutura mais segura para evitar desastres. Em vez disso, os aplicativos se tornam tão inseguros quanto possível. Nada relatado aqui:
Quão ruins são os problemas de segurança? Ambos 9to5Google E text.com (Pertence Automático, a empresa por trás do WordPress) revelou práticas de segurança surpreendentemente ruins. Como Nothing e Sunbird afirmaram muitas vezes, não apenas o aplicativo não era criptografado de ponta a ponta, mas o Sunbird realmente registrava e armazenava mensagens em texto simples em ambos os softwares de relatório de erros. Sentinela E Na loja Firefox. Como os tokens de autenticação são enviados por HTTP não criptografado, esse token pode ser usado para interceptar e ler suas mensagens.
Uma investigação do Text.com encontrou uma pilha de vulnerabilidades. O blog diz: “Quando uma mensagem ou anexo é recebido por um usuário, eles permanecem descriptografados no lado do servidor até que o cliente envie uma solicitação e os exclua do banco de dados. Isso significa que um invasor se inscreveu no banco de dados Firebase Realtime. acessível.” Text.com conseguiu interceptar o token de autenticação enviado por HTTP não criptografado e assinar as alterações no banco de dados. Ele deve receber atualizações ao vivo de “mensagens recebidas, enviadas, alterações de conta, etc.”, não apenas deles, mas também de outros usuários.
Text.com publicado por A Prova de conceito Um aplicativo que pode receber mensagens criptografadas de ponta a ponta dos servidores do Sunbird. Batuhan İçöz, engenheiro de produto da Text.com, também lançou uma ferramenta que exclui alguns dos seus dados dos servidores do Sunbird. Içöz recomenda que os usuários do Sunbird/NothingChat alterem seus IDs Apple agora, retirem sua sessão do Sunbird e “suponham que seus dados já foram comprometidos”.
9to5Google Dylan Roussel Explorando o aplicativo, além de todos os dados de texto públicos, “Todos os documentos (imagens, vídeos, áudios, pdfs, vCards…) enviados através do NothingChat e Sunbird são públicos”. Roussel descobriu que 630.000 arquivos de mídia estão armazenados atualmente pelo Sunbird e ele pode acessar alguns deles. Roussel diz que o aplicativo Sunbird sugeriu que os usuários trocassem vCards – cartões de visita virtuais preenchidos com dados de contato – e acessaram informações pessoais de mais de 2.300 usuários. Roussel chama todo o desastre de “o maior “pesadelo de privacidade” que já vi em anos por um fabricante de telefones.
Apesar de ser a causa deste enorme desastre, o Sunbird permaneceu estranhamente calmo durante toda esta confusão. A página X do aplicativo (antigo Twitter) não disse nada sobre o NothingChats ou o desligamento do Sunbird. Talvez seja melhor, algumas das respostas iniciais do Sunbird às preocupações de segurança levantadas na sexta-feira não pareciam vir de um desenvolvedor competente. Primeiro, a empresa protegeu seu uso HTTP não criptografado para algumas transações da web, diz Bagaria do Text.com “HTTP é usado apenas como parte de uma solicitação de inicialização que informa ao back-end sobre uma conexão do iMessage do aplicativo. Desde o início, a Sunbird concentrou-se na segurança.“Na investigação do Text.com, é um servidor Express com balanceamento de carga que não implementa SSL, portanto, as solicitações podem ser facilmente interceptadas pelos invasores.” Esse uso de HTTP permitiu que o Text.com interceptasse tokens de autenticação.
As práticas recomendadas de segurança modernas afirmam que nunca é correto usar HTTP não criptografado para qualquer transação na Internet, e muitos sistemas operacionais bloqueiam a transmissão HTTP de texto simples por padrão. O Chrome exibe um aviso de página inteira ao tentar acessar uma página HTTP e exige que o usuário clique na mensagem de aviso. Android Desativa texto não criptografado Por padrão, o desenvolvedor é obrigado a habilitar um sinalizador especial para passar o tráfego e a solicitação. Programas como o Let’s Encrypt não apenas tornam o uso de HTTPS fácil e gratuito, mas também Facilmente Criptografe tudo para não ter que lidar com todos os obstáculos de segurança. Esses são os princípios básicos da web em 2023, e é chocante ver qualquer desenvolvedor argumentar contra eles, especialmente quando esse desenvolvedor também deseja confiar em sua conta Apple. Uma coisa seria se fosse algum tipo de erro terrível, mas Sunbird achou que estava tudo bem!
Nada jamais pareceu um fabricante de Android que fosse mais exagerado do que substancial, mas agora você pode adicionar “indiferença” a essa lista. A empresa se uniu à Sunbird, reformulou e desenvolveu seu aplicativo Site de publicidade E Vídeo do youtubee coordenou um comunicado à mídia YouTubers famosos, prestando pouca atenção aos aplicativos do Sunbird ou às suas reivindicações de segurança. É incrível que estas duas empresas tenham chegado tão longe – o lançamento do NothingChats exigiu uma violação sistemática de segurança em duas empresas inteiras.
Nada diz que o aplicativo retornará assim que o Sunbird trabalhar para “consertar um monte de bugs”. Não vejo como você pode consertar isso em algumas semanas, quando todo o seu aplicativo é criado sem preocupação com a segurança. Se o Nothing Chats retornar à Play Store, alguém confiará nele e inserirá suas credenciais?