iMessageはセキュリティ上の災害ではなく、24時間以内に削除された – Ars Technica

メディアの秘密の質問を妨害する企業は、実はセキュリティがそれほど得意ではないことが判明しました。 先週の火曜日、Nothing Chats (Android メーカー Nothing とアプリスタートアップ Sunbird のチャット アプリ) は、Apple の iMessage プロトコルをハッキングし、Android ユーザーに青い泡を与えることができると主張しました。 私たちはすぐに、約 1 年間空約束をし、セキュリティに関して怠慢であると思われる企業としてサンバードに警告を発しました。 とにかくこのアプリは金曜日にリリースされましたが、多数のセキュリティ問題によりすぐにインターネット上で解体されました。 土曜日の朝、Nothing が Play ストアからアプリを削除するまで 24 時間もかかりませんでした。 Nothing Chat が再設計されただけの Sunbird も「一時停止」されました。

このアプリの最初の売り文句は、Apple のユーザー名とパスワードを渡せば Android 上の iMessage にログインできるというものでしたが、これは、Sunbird が災害を避けるために高度に安全なインフラストラクチャを必要とすることを意味する、セキュリティ上の重大な危険信号でした。 その代わり、アプリは期待できるほど安全ではないことが判明しました。 何もないステートメントは次のとおりです。

セキュリティ上の問題はどの程度深刻ですか? 両方とも 9to5Google そして Text.com (彼が所有しているもの 自動、WordPress の背後にある会社）は、非常に不十分なセキュリティ慣行を明らかにしました。 Nothing と Sunbird が何度も主張したように、アプリはエンドツーエンドで暗号化されていなかっただけでなく、Sunbird は実際にメッセージを記録し、両方のバグ報告プログラムに平文で保存していました。 衛兵 そして Firebase ストア内。 認証トークンは暗号化されていない HTTP 経由で送信されるため、このトークンが傍受され、メッセージを読み取るために使用される可能性があります。

Text.com の調査により、多数の脆弱性が明らかになりました。 ブログには、「ユーザーがメッセージや添付ファイルを受信した場合、クライアントがメッセージや添付ファイルを確認してデータベースから削除するリクエストを送信するまで、サーバー側で暗号化されません。これは、Firebase Realtime DB に登録している攻撃者が、ユーザーが読む前、またはその時点でメッセージに常にアクセスできます。」 Text.com は、暗号化されていない HTTP 経由で送信された認証コードを傍受し、データベース内で発生した変更をサブスクライブすることができました。 これは、自分自身だけでなく他のユーザーからの「送受信メッセージ、アカウントの変更など」のライブ更新を意味します。

Text.com がリリースした コンセプトの証明 Sunbird サーバーからおそらくエンドツーエンドで暗号化されたメッセージを取得できるアプリケーション。 バトゥハン・イクズText.com の製品エンジニアである 氏も、Sunbird のサーバーからデータの一部を削除するツールをリリースしました。 Içöz 氏は、Sunbird/Nothing Chat ユーザーに対し、今すぐ Apple ID を変更し、Sunbird セッションをキャンセルし、「データはすでに侵害されていると想定する」ことを推奨しています。

9to5Google ディラン・ラッセル このアプリを調べてみると、すべての公開テキスト データに加えて、「Nothing Chat と Sunbird を通じて送信されたすべてのドキュメント (写真、ビデオ、オーディオ、PDF、vCard…) が公開されている」ことがわかりました。 ラッセル氏は、現在 630,000 のメディア ファイルが Sunbird に保存されていることを発見し、その一部にはアクセスできるようです。 Sunbird アプリはユーザーに vCard (連絡先情報が記載された仮想名刺) を転送することを提案しており、ラッセル氏は 2,300 人以上のユーザーの個人情報にアクセスできる可能性があると述べています。 ラッセル氏は、この大失敗全体を「おそらく私がここ数年で見た携帯電話メーカーの中で最大のプライバシーの悪夢」と呼んでいる。

この大災害の原因となったにも関わらず、サンバードはこの混乱の間ずっと不思議なほど冷静だった。 同アプリのX（旧Twitter）ページには、Nothing ChatsやSunbirdの閉鎖についてはまだ何も書かれていない。 金曜日に提起されたセキュリティ上の懸念に対する Sunbird の初期の対応の一部は、有能な開発者によるものではないようなので、これはおそらく最善のことでしょう。 当初、会社は、 その使用を擁護する 一部の Web トランザクションでは HTTP が暗号化されていないと Text.com の Bajaria 氏は語った。HTTP は、別の通信チャネルを介して行われる次の iMessage 接続頻度をバックエンドに通知するために、アプリからの最初の 1 回限りのリクエストの一部としてのみ使用されます。 サンバードは当初からセキュリティに重点を置いていました。「Text.com の調査では、これは『SSL を実装していない負荷分散された Express サーバーであるため、攻撃者はリクエストを簡単に傍受できた』と説明されました。」 この HTTP の使用により、Text.com は認証トークンを傍受することができました。

最新のセキュリティのベスト プラクティスでは、オンライン トランザクションに暗号化されていない HTTP を使用することは決して許可されず、多くのプラットフォームではデフォルトで平文の HTTP 送信が完全にブロックされています。 Chrome は、HTTP ページにアクセスしようとするとページ全体の警告を表示し、ユーザーに警告メッセージをクリックするよう求めます。 アンドロイド クリアテキストを無効にする デフォルトではトラフィックが発生するため、リクエストが通過できるように開発者が特別なフラグを実行する必要があります。 Let’s Encrypt のようなプロジェクトは、HTTPS の使用を簡単かつ無料にしただけでなく、実際にそうしています。 より簡単に すべてのセキュリティ障壁に対処する必要がないため、すべてを暗号化します。 これらは 2023 年のインターネット利用の基本であり、開発者がこれらに反対するのを見るのは衝撃的です。特に、その開発者が Apple アカウントを信頼したいと考えている場合にはなおさらです。 これが大きな間違いなら別ですが、サンバードさんは大丈夫だと思いました！

Android メーカーといえば、中身よりも誇大広告のほうが多かったとは言えませんが、今ではそのリストに「ずさん」という言葉を加えることができます。 同社は Sunbird と提携し、アプリを再設計し、ポートフォリオを作成しました。 プロモーションサイト そして YouTubeビデオそして彼はメディア声明を調整しました 有名なYouTuberSunbird のアプリやセキュリティに関する主張については、ほんの少しのデューデリジェンスも行わずに行われます。 Nothing Chats の立ち上げには 2 社全体にわたるシステム的なセキュリティ障害が必要だったため、この 2 社がここまで到達できたとは信じられません。

Sunbird が「いくつかのバグを修正」すれば、アプリが復活するとは何も主張していません。 アプリケーション全体が一見セキュリティを気にせずに構築されている場合、それを 1 ～ 2 週間で修正できるとは思えません。 Nothing Chats が Play ストアに戻ってきたとしても、認証情報を入力するほど信頼できる人はいるでしょうか?