Hiçbir Şey Sohbetleri düşündüğümüzden daha az güvenli görünmüyor

Hiçbir Şey, Hiçbir Şey Sohbetleri’ni duyurduğunda şirket, yeni Telefon 2 mesajlaşma platformunun uçtan uca şifrelendiğini iddia etti. Hiçbir Şey, uygulamasının özel ve güvenli olduğu konusunda ısrar etse de, yeni bulgular uygulamanın başlangıçta düşündüğümüzden daha az güvenli olduğunu gösteriyor.

Hiçbir Şey Sohbetleri, Sunbird uygulamasının mimarisi üzerine inşa edilmiştir ancak Hiçbir Şey tarafından tasarlanmıştır. Bu, Phone 2’nin iPhone’un iMessage uygulamasıyla uyumluluğunu sağlamayı amaçlamaktadır. Bunu yapmak için kullanıcıların uygulamada bir Apple ID ile oturum açmaları gerekir; bu kimlik daha sonra hesabınızı Sunbird’ün Mac Mini’lerinden birinin sanal bir örneğine atar. Bu, iPhone’un başka bir Apple cihazıyla iletişim kurduğunu düşünmesini sağlar (Nothing Chat hizmetini kendimiz test ettik).

Bu durum, kullanıcıların Apple ID verilerini ve parolalarını güvende tutmak için üçüncü bir tarafa güvenmeleri gerektiği yönündeki endişeleri gündeme getirdi. Ancak, Nothing’in bir sözcüsü, uygulamaya ilk kez giriş yaptıktan sonra “kimlik bilgilerinin şifrelenmiş bir veritabanında belirtileceğini” ve “fiziksel sunucuya erişimleri olsa bile Sunbird veya başkası tarafından erişilemeyeceğini” açıkladı.

Artık uygulama halka açık olarak indirilebildiği için kullanıcılar başka güvenlik sorunları da keşfediyor. Texts.com’un kurucusu Kishan Bagaria, ekibinin uygulamayı incelemesini sağladı ve uygulamanın güvenli köprü metni aktarım protokolü (HTTPS) yerine köprü metni aktarım protokolü (HTTP) üzerinden bilgi gönderdiğini buldu.

Texts ekibi ayrıca “bluebubbles” terimini de keşfetti; bu, Sunbird’ün uygulamasını, Android üzerinden iMessage erişimine de izin veren rakip bir hizmet olan BlueBubbles tarafından geliştirilen teknolojiden yararlandığını gösteriyor.

Ancak bu keşif yapıldıktan sonra Hiçbir şey bu açıklamayı yayınlamadı. 9to5Google:

Protokol HTTP olsa da, tüm veriler şifrelenir ve bu verileri şifrelemek için kullanılan anahtar HTTPS aracılığıyla sağlanır; böylece Apple kimlik bilgileri veya bu HTTP isteği aracılığıyla gönderilen mesajlar güvenlidir ve halka açık değildir. Apple Kimliği kimlik bilgileri ve mesajlar gibi tüm hassas kullanıcı verileri her zaman şifrelenir. HTTP yalnızca uygulamadan gelen ve bağımsız bir iletişim kanalı aracılığıyla takip edilecek iMessage bağlantısı yinelemesinin arka ucunu bilgilendiren tek seferlik ilk isteğin bir parçası olarak kullanılır.

Tweetinin diğer kısmına gelince, yıllar önce sunucular kurulurken Sunbird’ün kurucu ortağı onlara Blue Bubbles adını vermişti. Sunbird/Chats başkasının teknolojisinin bir örneğini kullanmıyor; isimlendirme kesinlikle tesadüftür.

Ayrıca Sunbird’ün başından beri güvenliğe odaklandığını ve bilgi güvenliği yönetim sistemi için uluslararası kabul görmüş bir spesifikasyon olan ISO27001 sertifikasının (Sertifika Numarası: IA-2023-09-21-01) bir sertifika olduğunu da eklemek isterim. kullanıcı gizliliğine olan bağlılığının bir yansımasıdır.

Günün sonunda, bu açıklamaların ışığında Sunbird’e ve Hiçbir Şey’e güvenip güvenmeyeceğinize kendiniz karar vermeniz gerekecek. Üstelik Apple, 2024’te RCS’yi destekleyeceğini açıkladığı için bu uygulamalar zaten ödünç alınmış durumda.