Nothing Chats-da Ucdan uca şifrələmənin üzə çıxan realizasiyası
Nothing Chats Beta tətbiqi bir sıra səhvləri aradan qaldırmaq üçün müvəqqəti olaraq Google Play-dən silinib. Tətbiq Nothing Phone (2) istifadəçilərinin, iMessage istifadə etdiyi iPhone istifadəçiləri ilə mesaj ötürülməsi üçün nəzərdə tutulub. Bununla belə, tətbiqin təhlükəsizliyi, xüsusən də platforma provayderi Sunbird ilə bağlı çətinliklər yaranıb. Texts.com bloqunda qeyd olunana görə, Sunbird sistemi vasitəsilə göndərilən mesajlarda ucdan uca şifrələmə (E2EE) yoxdur. Bloq həmçinin Sunbird-un Firebase serverinə mesaj ötürmək üçün HTTP-dən istifadə etməsi ilə bağlı problemləri vurğuladı.
Bundan əvvəl Nothing tərəfindən istifadəçinin Apple ID məlumatları və mesajların həmişə şifrləndiyi qeyd olunmuşdur
Sunbird isə iddia edir ki
“HTTP yalnız qarşıdan gələn iMessage bağlantısının arxa ucunu bildirən proqramdan birdəfəlik ilkin sorğuda istifadə olunur”.
Tətbiq haqqında
Nothing Chats, Sunbird ilə birgə hazırlanmış tətbiqdir ki, bu da Nothing smartfonun sahiblərinə digər iMessage istifadəçilərinə mesaj göndərməyə imkan verir. Qısacası, iPhone yerinə məsələn Nothing Phone (2) istifadə edirsinizsə, Nothing Chats-ın köməyi ilə hətta iPhone istifadəçiləri ilə yazışa bilərsiniz. Ayrı tətbiq olmasına baxmayaraq, Nothing Chats istifadə etmək üçün Apple ID hesabına ehtiyacınız olacaq, belə ki, tətbiqin ilk növbədə işləməsini təmin edən məs həmin hesabdır.
Artıq 1000-dən çox istifadəçi tətbiqi Google Play mağazasından yükləyib. Bu o qədər də çox deyil, lakin nəzərə almaq lazımdır ki, bu tətbiq hal-hazırda məhduddur və yalnız yuxarıda qeyd olunan smartfon sahibləri tərəfindən yüklənilə bilər.
Struktura dair araşdırma
Fransalı Android proqramçı Dylan Roussel şəxsi araşdırmasında aşkar etdi ki, etibarlı olmayan JSON Veb Tokenlərindən (JWT) istifadə edərək istifadəçinin autentifikasiyasından sonra siz Firebase-də Nothing Chat verilənlər bazasına daxil ola və bütün istifadəçilərin yazışmalarını və fayllarını sadə mətn şəklində görə bilərsiniz. O, birbaşa istifadəçi adlarını, telefon nömrələrini, e-poçt ünvanlarını və hətta digər şəxsi məlumatları ehtiva edən vCard-ları xüsusi qeyd edir.
Roussel bildirir ki, Sunbird hazırda Firebase vasitəsilə şəkillər, videolar, PDF sənədlər, audio və s. daxil olmaqla 630,000-dən çox media faylı saxlayır. Beləliklə, Sunbird istifadəçi məlumatlarını serverlərində saxlamadığını iddia etsə də, onlar serverdə saxlanılır, özü də necə.
Sistemin zəiflikləri
Məlumatların ötürülməsi
Sunbird JWT-ni təhlükəsiz kanal üzərindən göndərdiyini iddia etsə də, sonradan onu SSL tətbiqi olmadan Express serverdə başqa Sunbird xidmətinə ötürərək onu ələ keçirməyə imkan yaradır. JWT-nin bu cür ötürülməsi ciddi riskdir, belə ki, bu token, müddəti bitənə qədər bütün istifadəçi məlumatlarına məhdudiyyətsiz girişi təmin edir.
Məlumatların saxlanılması
Sunbird E2EE-ni tətbiq etməyə çalışır, lakin onların realizasiyası məlumatların öz bazalarında şifrlənməyərək saxlanmasını nəzərdə tutur.
İstifadəçinin mesaj və faylları, istifadəçi tərəfindən təsdiqlənib bazadan silmək üçün sorğu göndərənə qədər serverdə şifrlənmirlər. Bu o deməkdir ki, Firebase bazasına gerçək rejimlə abunə olan haker, mesajları asanlıqla oxuya bilər.
Şifrlənir, amma şifrlənmir
Sunbird və ya Nothing Chats-dan istifadə edərək göndərilən mesajla bağlı məlumatlar Sunbird-un Sentry sazlama platformasına göndərilir. İş ondadır kı, bu məlumatlar sonra müəyyən səlahiyyəti olan şirkət əməkdaşları tərəfindən baxıla bilər.
E2EE
E2EE (End-To-End Encryption), yəni Ucdan uca şifrələmə - yalnız yazışmada iştirak edən istifadəçilərin mesajlara çıxışını təmin edən məlumat ötürmə üsuludur. Yəni mesaj göndəricidən alıcıya qədər bütün yolu şifrlənmiş formada keçir, buna görə də onu sizdən başqa heç kim oxuya bilməz.
Android ekosistemində nisbətən kiçik oyunçu olan Nothing üçün, tətbiqinin bu problemli buraxılışı vacib bir aspektdır. Brendə qarşı etibarlıq çox önəmlidir və belə hallar onun nüfuzunu əhəmiyyətli şəkildə endirə bilər.