Niets heeft onlangs de aandacht getrokken in de technische gemeenschap vanwege zijn poging daartoe breng iMessage naar Android-gebruikers met niets-chats. Deze service belooft een gamechanger op het gebied van instant messaging, maar vormt nu de kern ervan bezorgdheid over de veiligheid. De ontdekking dat Apple-inloggegevens kunnen worden verzonden zonder adequate codering roept ernstige vragen op over de bescherming van gebruikersgegevens.
UPDATE AAN HET EINDE VAN HET ARTIKEL
Beveiligingsproblemen: iMessage voor Android in gevaar?
Ondanks Nothing's aanvankelijke beweringen over veiligheid en end-to-end berichtversleuteling, blijkt uit recente technische analyse dat Apple-inloggegevens onveilig worden verzonden. Deskundigen op het gebied van cyberbeveiliging hebben specifieke zorgen geuit over de methode voor het verzenden van inloggegevens en de gebrek aan encryptie. Dit beveiligingslek kan gebruikers blootstellen aan risico's van man-in-the-middle-aanvallen of andere beveiligingsproblemen.
In reactie op de beschuldigingen gaf Niets opheldering: beweren dat de inloggegevens effectief worden tokenized en bewaard in een gecodeerde database, waarbij ze aandringen op de veiligheid van hun systeem. Deze verklaringen hebben de angst over de veiligheid van gebruikersgegevens echter niet volledig weggenomen, waardoor er enkele vragen openblijven over de waarheidsgetrouwheid en effectiviteit van de getroffen beveiligingsmaatregelen.
Kortom, iMessage voor Android zou iets werkelijk revolutionairs kunnen zijn, hoewel het niet volledig compatibel is tussen de twee ecosystemen (Apple en Android). Op het gebied van veiligheid is het, zoals we weten, inderdaad een gebeten appel gepantserd voertuig behoorlijk, terwijl het andere systeem, dat open source is, er een paar zou kunnen vinden truc om deze veiligheidsvoorschriften te omzeilen.
Een vergelijking van de veiligheid van Apple's iMessage met de implementatie van Nothing Chats brengt opmerkelijke verschillen in gegevensbescherming en gebruik van encryptie aan het licht. Terwijl iMessage staat bekend om zijn robuuste beveiliging, recente onthullingen over Nothing Chats doen twijfels rijzen over de betrouwbaarheid van de dienst als het gaat om het beschermen van gevoelige informatie van gebruikers.
Wat zijn de problemen met iMessage voor Android?
Hoewel we adequaat hebben beschreven wat de problemen zijn, vinden we het nodig om een diagram te maken om de naar voren gekomen problemen duidelijker te maken:
- gebruik van Sunbird-technologie: Nothing Chats gebruikt Sunbird-technologie om Apple's iMessage op Android-apparaten te implementeren. Hiervoor moeten gebruikers hun Apple ID opgeven;
- proces van tokenisatie en gegevensvernietiging: Ondanks de beweringen van Nothing over de tokenisatie van de Apple ID in een gecodeerde database en de daaropvolgende vernietiging van de originele Apple ID-gegevens, blijven er twijfels bestaan over de daadwerkelijke veiligheid van deze processen;
- gebrek aan effectieve end-to-end-encryptie: In tegenstelling tot wat Nothing beweert, lijken de daadwerkelijke end-to-end encryptie en privacy in gevaar te zijn;
- gebruik HTTP in plaats van HTTPS: Nothing Chats verzendt gebruikersgegevens via HTTP in platte tekst, in plaats van HTTPS te gebruiken, wat een veiligere standaard is;
- gebruik van de BlueBubbles-server: De backend van Nothing Chats is gebaseerd op een BlueBubbles-server in plaats van op een Mac Mini: de eerste ondersteunt geen end-to-end-codering;
- tegenstrijdige uitspraken over BlueBubbles en Sunbird: Niets heeft betoogd dat het gebruik van de term BlueBubbles slechts toeval is en dat Sunbird geen BlueBubbles-technologie gebruikt. Ze gaven echter geen verklaring voor het gebrek aan HTTPS-gebruik;
- Niet-versleutelde tekst en media behouden op Firebase: Nothing Chats slaat alle inkomende teksten en media op in een niet-gecodeerd formaat op Firebase.
UPDATE 19-11-2023
Zoals je je misschien kunt voorstellen, was iMessage voor Android dat wel teruggetrokken uit de Play Store. Aanvankelijk leek niets erop te wijzen dat dit werd gedaan vanwege de ontdekking van verschillende bugs die eenvoudigweg moesten worden opgelost. Het lijkt er echter op dat de echte reden een andere is, en die is nog erger.
Bedenk dat de interactie tussen de Android-messenger en iMessage vindt plaats van een derde partij. Ze wordt vertegenwoordigd door het bedrijf Sunbird, dat haar platform biedt waarmee de magie gebeurt. Het bleek echter dat dit platform qua databeveiliging blijkbaar veel slechter is dan Sunbird zelf beweerde. In het bijzonder, er is geen end-to-end-encryptie.
Het Sunbird-platform, en dus de Nothing Chats-app, vereist dat een nieuwe app-gebruiker zijn of haar Apple ID-gegevens invoert om de synchronisatie in te stellen. Deze gegevens zijn dan namens u authenticeren met behulp van een virtuele machine met MacOS. Het grootste probleem is dat het verzoek met de inloggegevens van de gebruiker plaatsvindt via een niet-gecodeerd kanaal (HTTP).
De situatie als geheel is complexer en wijdverspreider beschreven op de T-websiteext.Blog, waar verschillende specialisten uitleggen hoe ze het probleem hebben ontdekt en wat het is. Ze tonen onder meer aan dat het mogelijk is om persoonsgegevens van gebruikers te verkrijgen. dus eigenlijk Niets kan niet verantwoordelijk zijn voor de situatie.
