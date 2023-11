Все пользовательские файлы и изображения доступны в открытом виде.

Приложение Nothing Chats на базе Sunbird, оказалось опасным в плане конфиденциальности. Все сообщения и фотографии находятся в незашифрованном, открытом виде.

Компания Sunbird уже около года обещает поддержку iMessage для операционной системы Android, но их обещания всегда носили сомнительный характер, сообщают СМИ. Теперь, после запуска приложения Nothing Chats, построенного на базе Sunbird, все увидели кошмар, связанный с конфиденциальностью - приложение не только не имеет шифрования, как было обещано, но и файлы изображений пользователей оказались в свободном доступе.

Функция Nothing Chats состоит в том, чтобы обеспечить поддержку iMessage на Андроид. Для этого пользователям необходимо войти в свой Apple ID через приложение, которое направляет их через серверную часть Mac. Этот метод не является уникальным, но его отличительной особенностью является то, что Sunbird заявляет, что на протяжении всего процесса сохраняется сквозное шифрование.

На сайте Sunbird говорится прямо о том, что их серверы не хранят данные пользователей, обеспечивая безопасную, надежную и приватную среду обмена сообщениями и, благодаря сквозному шифрованию и конфиденциальному обмену сообщениями Sunbird полностью безопасен и приватен.

Добавив шифрование между Android и iMessage, где его в настоящее время на самом деле нет, Sunbird стал первым в своем роде приложением, обеспечивающим единую и безопасную среду обмена сообщениями для пользователей Android.

На своей странице Nothing Chats компания Nothing утверждает что, "Nothing Chats построен на платформе Sunbird, и все сообщения в чатах зашифрованы". То есть никто не может получить доступ к посторонним сообщениям. Однако это просто неправда.

Новые пугающие данные свидетельствуют о том, что Sunbird и Nothing Chats фактически является не зашифрованными, и пользовательские данные могут быть доступны в виде обычного текста.

"Wukko" в Twitter/X выложил данные о том, что Nothing Chats отправляет все файлы в Sentry, но ссылки на эти вложения видны в открытом текстовом виде. Кроме того, все данные отправляются и хранятся через Firebase, и они также полностью не зашифрованы.

В ходе исследования Android-разработчик из Франции Дилан Руссель (Dylan Roussel) обнаружил, что после аутентификации юзера с помощью небезопасных при передаче веб-токенов JSON (JWT) можно получить доступ к базе Nothing Chat в Firebase и преспокойно увидеть переписку и файлы всех пользователей в виде обычного текста. Особое внимание он обращает на vCards, где напрямую содержатся имена пользователей, номера телефонов, адреса электронной почты, а иногда и другие персональные данные.

Руссель сообщает, что в настоящее время в Sunbird через Firebase хранится более 630 000 медиафайлов, включая изображения, видео, PDF, аудио и т.д. Таким образом, несмотря на то, что Sunbird заявляет, что не хранит данные пользователей на своих серверах, на самом деле они очень даже там хранятся.

Напомним, Nothing Chats - это приложение, созданное компанией Nothing с функционалом мессенджера iMessage (Apple) для устройств с операционной системой Android.