Pasirodo, kad įmonės, trukdančios žiniasklaidos saugumo klausimams, iš tikrųjų nėra tokios geros saugumo srityje. Praėjusį antradienį „Nothing Chats“ – pokalbių programa iš „Android“ gamintojo „Nothing“ ir programų paleidimo „Sunbird“ – teigė, kad gali nulaužti „Apple“ iMessage protokolą ir suteikti „Android“ naudotojams mėlynus burbulus. Mes iš karto pažymėjome „Sunbird“ kaip įmonę, kuri maždaug metus žadėjo tuščius pažadus ir atrodė aplaidžia, kai kalbama apie saugumą. Programėlė vis tiek buvo paleista penktadienį ir dėl daugybės saugumo problemų ją iškart suplėšė internetas. Neprireikė 24 valandų, kol „Niekas“ šeštadienio rytą iš „Play“ parduotuvės ištraukė programą. „Sunbird“, kurio „Nothing Chat“ yra tik perdarytas dizainas, taip pat buvo „pristabdytas“.

Pradinis šios programos pardavimo pasiūlymas – kad ji prisijungtų prie „iMessage“ sistemoje „Android“, jei pateiktumėte „Apple“ naudotojo vardą ir slaptažodį – buvo didžiulė raudona saugumo vėliavėlė, o tai reiškia, kad „Sunbird“ reikės itin saugios infrastruktūros, kad būtų išvengta nelaimės. Vietoj to, programa pasirodė ne tokia saugi, kokia galėtų būti. Štai teiginys apie nieko:

Kiek blogos saugumo problemos? abu jie 9to 5Google Ir Text.com (kuris jam priklauso automatinis, „WordPress“ įmonė) atskleidė labai prastą saugos praktiką. Programa ne tik nebuvo visiškai užšifruota, kaip Nothing ir Sunbird kelis kartus tvirtino, bet Sunbird iš tikrųjų užregistravo pranešimus ir išsaugo juos paprastu tekstu abiejose pranešimų apie klaidas programose. sargybinis Ir „Firebase“ parduotuvėje. Autentifikavimo prieigos raktai siunčiami per nešifruotą HTTP, todėl šį prieigos raktą galima perimti ir naudoti jūsų pranešimams skaityti.

Text.com tyrimas atskleidė krūvą pažeidžiamumų. Tinklaraštyje rašoma: „Kai vartotojas gauna pranešimą ar priedą, jis nėra užšifruojamas serverio pusėje, kol klientas neišsiunčia prašymo jį patvirtinti ir ištrinti iš duomenų bazės. Tai reiškia, kad užpuolikas, užsiprenumeravęs Firebase Realtime DB visada turėti galimybę pasiekti pranešimus prieš arba tuo metu, kai perskaitė vartotojas. Text.com sugebėjo perimti autentifikavimo kodą, išsiųstą per nešifruotą HTTP, ir užsiprenumeruoti duomenų bazėje vykstančius pakeitimus. Tai reiškia tiesioginius „gaunamų ir siunčiamų pranešimų, paskyros pakeitimų ir kt.“ atnaujinimus ne tik iš jų pačių, bet ir iš kitų vartotojų.

Text.com išleido a Koncepcijos įrodymas Programa, kuri gali gauti jūsų tariamai šifruotus pranešimus iš „Sunbird“ serverių. Batuhan Ikuz, Text.com produktų inžinierius, taip pat išleido įrankį, kuris ištrins kai kuriuos jūsų duomenis iš Sunbird serverių. „Içöz“ rekomenduoja visiems „Sunbird“ / „Nothing Chat“ naudotojams dabar pakeisti savo „Apple ID“, atšaukti „Sunbird“ seansą ir „manyti, kad jūsų duomenys jau buvo pažeisti“.

9to 5Google Dylanas Raselas Peržiūrėjau programą ir pastebėjau, kad, be visų viešųjų tekstinių duomenų, „visi dokumentai (nuotraukos, vaizdo įrašai, garso įrašai, pdf, vCards…), išsiųsti per Nothing Chat ir Sunbird, yra vieši“. Russellas išsiaiškino, kad „Sunbird“ šiuo metu saugo 630 000 medijos failų ir atrodo, kad jis gali pasiekti kai kuriuos iš jų. „Sunbird“ programa pasiūlė vartotojams perkelti „vCard“ – virtualias vizitines korteles, užpildytas kontaktine informacija, o Russellas sako, kad galima pasiekti daugiau nei 2300 vartotojų asmeninę informaciją. Russellas visą fiasko vadina „turbūt didžiausiu privatumo košmaru, kokį mačiau iš telefonų gamintojo per daugelį metų“.

Nepaisant to, kad Sunbird buvo šios didžiulės nelaimės priežastis, per visą šią netvarką jis buvo keistai ramus. Programos X (buvęs „Twitter“) puslapis vis dar nieko nesako apie „Nothing Chats“ ar „Sunbird“ išjungimą. Tai tikriausiai geriausia, nes neatrodo, kad kai kurie „Sunbird“ ankstyvieji atsakymai į penktadienį iškeltus saugumo klausimus buvo gauti iš kompetentingo kūrėjo. Pradžioje įmonė Ginti jo naudojimą Nešifruotas HTTP kai kurioms žiniatinklio operacijoms, sakė Text.com Bajaria „HTTP naudojamas tik kaip pradinės vienkartinės programos užklausos dalis, siekiant informuoti užpakalinę dalį apie kitą „iMessage“ ryšio dažnį, kuris bus sekamas atskiru ryšio kanalu. Nuo pat pradžių Sunbird daugiausia dėmesio skyrė saugumui.„Text.com tyrimas paaiškino, kad tai buvo „subalansuotas Express serveris, neįdiegęs SSL, todėl užpuolikas galėjo lengvai perimti užklausas“.“ Šis HTTP naudojimas leido Text.com perimti autentifikavimo prieigos raktus.

Šiuolaikinės saugos geriausios praktikos teigia, kad niekada nepriimtina naudoti nešifruotą HTTP bet kokiai operacijai internetu, o daugelis platformų pagal numatytuosius nustatymus visiškai blokuoja paprasto teksto HTTP perdavimą. „Chrome“ rodo viso puslapio įspėjimą, kai bando pasiekti HTTP puslapį, ir ragina vartotoją spustelėti įspėjimo pranešimą. Android Išjungti aiškų tekstą srautas pagal numatytuosius nustatymus, todėl kūrėjas turi paleisti specialią žymą, kad užklausa būtų perduota. Tokie projektai kaip Let’s Encrypt ne tik palengvino ir nemoka HTTPS, bet ir iš tikrųjų Lengviau Norėdami užšifruoti viską, nes jums nereikia susidurti su visomis saugumo kliūtimis. Tai yra 2023 m. interneto naudojimo pagrindai, ir matyti, kad bet kuris kūrėjas jiems prieštarauja, yra šokiruojantis, ypač kai tas kūrėjas taip pat nori, kad jam būtų patikėta jūsų „Apple“ paskyra. Būtų kitaip, jei tai būtų didžiulė klaida, bet Sunbird manė, kad tai gerai!

Ne visada atrodė, kad „Android“ gamintojas buvo labiau ažiotažas nei esmė, bet dabar į šį sąrašą galime įtraukti žodį „aplaidus“. Bendrovė suvienijo jėgas su Sunbird, perkūrė savo programėlę ir sukūrė portfelį Reklaminė svetainė Ir YouTube vaizdo įrašasIr jis derino pranešimą žiniasklaidai su Įžymūs „YouTube“ naudotojaiVisa tai neatliekant nė menkiausio „Sunbird“ programų ar saugumo reikalavimų patikrinimo. Neįtikėtina, kad šios dvi įmonės galėjo pasiekti taip toli, nes norint paleisti Nothing Chats reikėjo sisteminio saugumo gedimo visose dviejose įmonėse.

Niekas neteigia, kad programa grįš, kai „Sunbird“ „ištaisys kelias klaidas“. Kai visa jūsų programa buvo sukurta nesirūpinant saugumu, nesuprantu, kaip galite tai išspręsti per savaitę ar dvi. Jei „Nothing Chats“ grįš į „Play“ parduotuvę, ar kas nors vis tiek pasitikės ja, kad įvestų savo kredencialus?