O iMessage não foi um desastre de segurança, foi excluído em 24 horas – Ars Technica

Acontece que as empresas que obstruem as questões de segurança da mídia não são realmente tão boas em segurança. Na terça-feira passada, Nothing Chats – um aplicativo de bate-papo do fabricante Android Nothing e da startup de aplicativos Sunbird – afirmou ser capaz de hackear o protocolo iMessage da Apple e dar aos usuários do Android bolhas azuis. Imediatamente sinalizamos a Sunbird como uma empresa que fez promessas vazias por cerca de um ano e parecia negligente no que diz respeito à segurança. O aplicativo foi lançado na sexta-feira de qualquer maneira e foi imediatamente destruído pela Internet devido a vários problemas de segurança. Não demorou 24 horas para que o Nothing retirasse o aplicativo da Play Store na manhã de sábado. O Sunbird, do qual o Nothing Chat é apenas uma reformulação, também foi “pausado”.

O discurso de vendas inicial para este aplicativo – que faria login no iMessage no Android se você entregasse seu nome de usuário e senha da Apple – foi um enorme sinal de alerta de segurança que significava que o Sunbird precisaria de uma infraestrutura altamente segura para evitar desastres. Em vez disso, o aplicativo acabou não sendo tão seguro quanto poderia ser. Aqui está a declaração de nada:

Quão ruins são os problemas de segurança? ambos 9to5Google E Text.com (que ele possui automático, a empresa por trás do WordPress) revelou práticas de segurança muito ruins. O aplicativo não apenas não era criptografado de ponta a ponta, como o Nothing e o Sunbird afirmaram várias vezes, mas o Sunbird realmente registrou as mensagens e as armazenou em texto simples em ambos os programas de relatório de bugs. sentinela E Na loja Firebase. Os tokens de autenticação são enviados por HTTP não criptografado para que esse token possa ser interceptado e usado para ler suas mensagens.

A investigação do Text.com revelou uma pilha de vulnerabilidades. O blog diz: “Quando um usuário recebe uma mensagem ou anexo, ele não é criptografado no lado do servidor até que o cliente envie uma solicitação para reconhecê-lo e excluí-lo do banco de dados. Isso significa que um invasor inscrito no Firebase Realtime DB irá sempre poder acessar as mensagens antes ou no momento da leitura do usuário.” Text.com foi capaz de interceptar o código de autenticação enviado por HTTP não criptografado e assinar as alterações que ocorrem no banco de dados. Isso significa atualizações ao vivo de “mensagens recebidas e enviadas, alterações de conta, etc.”, não apenas deles, mas também de outros usuários.

Text.com lançou um Prova de conceito O aplicativo que pode buscar suas mensagens supostamente criptografadas de ponta a ponta dos servidores Sunbird. Batuhan Ikuz, engenheiro de produto da Text.com, também lançou uma ferramenta que excluirá alguns dos seus dados dos servidores do Sunbird. Içöz recomenda que qualquer usuário do Sunbird/Nothing Chat altere seus IDs Apple agora, cancele sua sessão do Sunbird e “suponha que seus dados já foram comprometidos”.

9to5Google Dylan Russel Dei uma olhada no aplicativo e descobri que, além de todos os dados de texto públicos, “todos os documentos (fotos, vídeos, áudios, pdfs, vCards…) enviados através do Nothing Chat e do Sunbird são públicos”. Russell descobriu que 630.000 arquivos de mídia estão armazenados atualmente pelo Sunbird e parece que ele pode acessar alguns deles. O aplicativo Sunbird sugeriu que os usuários transferissem vCards – cartões de visita virtuais cheios de informações de contato – e Russell diz que as informações pessoais de mais de 2.300 usuários poderiam ser acessadas. Russell chama todo o fiasco de “provavelmente o maior pesadelo de privacidade que já vi de um fabricante de telefones em anos”.

Apesar de ser a causa deste enorme desastre, Sunbird esteve estranhamente calmo durante toda essa confusão. A página X do aplicativo (antigo Twitter) ainda não diz nada sobre o encerramento do Nothing Chats ou do Sunbird. Provavelmente é melhor assim, porque algumas das primeiras respostas do Sunbird às questões de segurança levantadas na sexta-feira não parecem ter vindo de um desenvolvedor competente. No início, a empresa Defenda seu uso HTTP não criptografado para algumas transações da web, disse Bajaria do Text.com “O HTTP é usado apenas como parte da solicitação única inicial do aplicativo para informar o back-end sobre a próxima frequência de conexão do iMessage que seguirá por um canal de comunicação separado. Desde o início, a Sunbird focou na segurança.“A investigação do Text.com explicou que este era um ‘servidor Express com balanceamento de carga que não implementava SSL, então um invasor poderia facilmente interceptar solicitações’.” Esse uso de HTTP permitiu que o Text.com interceptasse tokens de autenticação.

As melhores práticas de segurança modernas dizem que nunca é aceitável usar HTTP não criptografado para qualquer transação online, e muitas plataformas bloqueiam completamente as transmissões HTTP de texto simples por padrão. O Chrome exibe um aviso de página inteira ao tentar acessar uma página HTTP e solicita que o usuário clique em uma mensagem de aviso. Android Desativar texto não criptografado tráfego por padrão e precisa de um desenvolvedor para executar um sinalizador especial para que a solicitação possa passar. Projetos como Let’s Encrypt não apenas tornaram o uso de HTTPS fácil e gratuito, mas também Mais fácil Criptografar tudo porque você não precisa lidar com todas as barreiras de segurança. Esses são os princípios básicos do uso da Internet em 2023, e ver qualquer desenvolvedor argumentar contra eles é chocante, especialmente quando esse desenvolvedor também deseja que sua conta Apple seja confiável. Seria diferente se isso fosse um grande erro, mas Sunbird achou que estava tudo bem!

Nem sempre pareceu um fabricante de Android que fosse mais exagerado do que substancial, mas agora podemos adicionar a palavra “desleixado” a essa lista. A empresa uniu forças com a Sunbird, redesenhou seu aplicativo e criou um portfólio Site promocional E Vídeo do youtubeE ele coordenou uma declaração à mídia com YouTubers famososTudo sem fazer a menor diligência nos aplicativos ou reivindicações de segurança do Sunbird. É inacreditável que essas duas empresas tenham chegado tão longe, já que o lançamento do Nothing Chats exigiu uma falha sistêmica de segurança em duas empresas inteiras.

Nada afirma que o aplicativo voltará assim que o Sunbird “corrigir vários bugs”. Quando todo o seu aplicativo foi criado aparentemente sem preocupação com a segurança, não vejo como você pode consertar isso em uma ou duas semanas. Se o Nothing Chats retornar à Play Store, alguém ainda confiará nele o suficiente para inserir suas credenciais?