پیشنهادی فروشگاه فایل کارینت
خبرخوان

شبیه سازی iMessage هیچ چیز به دلیل نگرانی های امنیتی از فروشگاه Play خارج شد

Nothing Chats، شبیه سازی iMessage که این شرکت در اوایل این هفته راه اندازی کرد، از فروشگاه Google Play خارج شده است. دلیل رسمی “چند اشکال” است که شرکت برای رفع آنها قبل از راه اندازی مجدد آن پس از مدت زمان نامحدود به زمان نیاز دارد.

ما نسخه بتای Nothing Chats را از فروشگاه Play حذف کردیم و خواهیم بود به تعویق انداختن راه اندازی تا اطلاع ثانوی برای همکاری با Sunbird برای رفع چندین باگ. ما بابت تأخیر عذرخواهی می‌کنیم و کاربران خود را درست انجام می‌دهیم.— هیچ چیز (@nothing) 18 نوامبر 2023

با این حال، شواهد کافی برای حمایت از این ایده وجود دارد که برنامه نه به دلیل “اشکالات”، همانطور که Nothing بیان می کند، بلکه بیشتر به دلیل برخی مشکلات امنیتی آشکار وجود دارد.

طبق تجزیه و تحلیل فنی کامل توسط Texts.com نویسنده ریدا اف ‘kih و کاربران توییتر @batuhan و @1ConanEdogowa، ارائه دهنده خدمات Nothing Sunbird در مورد ماهیت رمزگذاری شده سرتاسر پیام هایی که از طریق آن هدایت می شوند، دروغ می گوید سرورها.

همانطور که قبلاً فاش شد، ثبت نام برای استفاده از Nothing Chats نیاز به آواز خواندن در سرورهای Sunbird با استفاده از Apple ID خود داشت، سرورهایی که روی Mac mini با یک ماشین مجازی اجرا می شدند. همانطور که Sunbird ادعا می کند، پیام های ارسال شده به سرورها رمزگذاری شده است. با این حال، همانطور که نویسندگان فوق متوجه شدند، توکن‌های وب JSON یا JWT که سرویس تولید می‌کند، دوباره بدون رمزگذاری به سرور Sunbird دیگر بدون SSL ارسال می‌شوند و به آنها اجازه می‌دهند توسط یک مهاجم رهگیری شوند.

تیم متن نگاهی گذرا به فناوری پشت هیچ چت انداخت و متوجه شد بسیار ناامن استحتی از HTTPS استفاده نمی کند، اعتبارنامه ها از طریق متن ساده HTTP ارسال می شوندپشتیبان نمونه ای از BlueBubbles را اجرا می کند که هنوز از رمزگذاری سرتاسر پشتیبانی نمی کند pic.twitter.com/IcWyIbKE86— کیشان باگاریا (@KishanBagaria) 17 نوامبر 2023

علاوه بر این، پیام‌ها رمزگشایی می‌شوند و سپس در سرورهای Sunbird ذخیره می‌شوند و به مهاجم اجازه می‌دهد تا قبل از دسترسی کاربر به آنها دسترسی داشته باشد. Texts.com این را با ارسال چند پیام بین دو دستگاه و رهگیری JWT نشان داد که به آنها امکان دسترسی به پایگاه داده بیدرنگ Firebase را می دهد. از آن زمان، تنها 23 خط کد برای دانلود تمام اطلاعات کاربر و مکالمات لازم بود.

نویسنده همچنین یک وب سایت ارائه کرده است که در آن کاربر با دانش کافی از کد می تواند هنگام ارسال پیام بین دو دستگاه، که یکی از آنها برنامه Nothing Chats را اجرا می کند، پیام های خود را رهگیری کند.

@ridafkih @batuhan @1ConanEdogawa کمی بیشتر جستجو کرد و متوجه شد که همه متون/رسانه های دریافتی نه تنها به صورت رمزگذاری نشده ذخیره می شوند، بلکه تمام متون خروجی نیز در حال ذخیره شدن هستند. به یک سرور نگهبان در متن ساده pic.twitter.com/GOqiatPNaE— کیشان باگاریا (@KishanBagaria) 18 نوامبر 2023

برای واضح بودن، مشکل حریم خصوصی مستقیماً مقصر Sunbird است. با این حال، با انتخاب همکاری با شرکت، هیچ چیز نیز خود را در این موضوع دخیل نکرده است. علاوه بر این، پرداختن به این وضعیت نسبتاً شدید به عنوان “اشکالات” بسیار ناصادقانه بود.

باید ببینیم در چه وضعیتی سرویس دوباره ظاهر می‌شود وقتی چیزی تصمیم نگیرد برنامه را دوباره در فروشگاه قرار دهد. ناگفته نماند که احتمالاً از ابتدا نباید با Apple ID خود وارد سرورهای یک سرویس شخص ثالث شوید، حتی اگر رمزگذاری شده باشد. اما به خصوص اکنون با اعلام پشتیبانی اپل از RCS بی معنی به نظر می رسد.

منبع • از طریق

منبع: gsmarena

امتیاز بدید
‫0/5 ‫(0 نظر)
مشاهده بیشتر

تحریریه کارینت

مطالب فناوری، آموزشی، ترفند های وب و موبایل و کلی مطلب دیگه رو در وبلاگ کارینت دنبال کنید :) | ما را در تلگرام دنبال کنید (@karynet)

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا