Внезапное исчезновение приложения Nothing, представленного недавно и обладающего поддержкой iMessage, с площадки Google Play вызвано не обвинениями со стороны Apple, а утверждением о нарушении безопасности конфиденциальной переписки пользователей.
Официальной причиной отзыва приложения стали обнаруженные проблемы с безопасностью данных при его использовании. Эксперты портала texts.com провели исследование, выявив, что для функционирования приложения задействованы серверы компании Sunbird, а передача сообщений осуществляется по незащищенному протоколу HTTP.
Представители Sunbird утверждают, что HTTP используется только для одноразового первоначального запроса от приложения, уведомляющего сервер о предстоящем соединении с iMessage. Тем не менее, IT-эксперты утверждают, что сообщения хранятся на сервере облачной синхронизации Firebase в незашифрованном виде, что создавало уязвимость для доступа злоумышленников к чужой переписке.
Сотрудники Texts.com продемонстрировали этот сценарий на практике, перехватив токены JWT на сервере и получив доступ к пользовательской информации с использованием всего 23 строк кода. Реагируя на обнародованные уязвимости, Nothing временно сняла свое приложение с Google Play, сосредотачившись на устранении проблем безопасности. О дальнейших шагах в разработке безопасной альтернативы iMessage компания пока не сообщила.