Bu hafta başlarında piyasaya sürülen iMessage alternatifi Nothing Chats uygulaması, Google Play Store‘dan kaldırıldı. Uygulamanın ardındaki şirket Nothing, başlangıçta kaldırmanın “düzeltilmesi gereken birkaç hatadan” kaynaklandığını belirtti.
Ancak, güvenlik araştırmacıları tarafından yapılan kapsamlı bir teknik tahlil, uygulamanın kaldırılmasının muhtemelen değerli güvenlik tasalarından kaynaklandığını öne sürüyor. Texts.com’un Kurucusu Kishan Bagaria, bu tasaları birinci olarak X/Twitter’da lisana getirdi. Daha sonra Texts.com takımı, uygulamanın güvenlik açıklarını detaylı bir biçimde anlatan bir blog yayımladı.
Yapılan inceleme, Nothing’in servis sağlayıcısı Sunbird’in, sunucularından yönlendirilen iletilerin uçtan uca şifrelemesi hakkında kullanıcıları yanılttığını ortaya çıkardı. Sunbird’in sunucularına gönderilen bildiriler şifrelenmiş olsa da, hizmet tarafından oluşturulan JSON Web Token’lar (JWT) öbür bir Sunbird sunucusuna şifrelenmemiş olarak gönderildi ve böylelikle ortaya girme riskine açık hale geldi.
Nothing’e büyük şok: Güvenlik nedeniyle kaldırıldı!
Ayrıca, iletiler Sunbird sunucularında şifresiz olarak depolandı ve böylelikle yetkisiz erişime açık bırakıldı. Texts.com, iki aygıt ortasında değiştirilen JWT’ları ele geçirerek Firebase gerçek vakitli veritabanına erişim sağlayarak bunu kanıtladı. Araştırmacılar, yalnızca 23 satır kod kullanarak JWT token’larını ele geçirebilir ve kullanıcı bilgilerine ve sohbetlere erişebilirler.
Gizlilik sıkıntıları direkt Sunbird’e atfedilebilirken, Nothing şirketi, bu şirketle çalışmayı tercih ettiği ve durumu “hatalar” olarak küçümseyerek durumun ciddiyetini azalttığı için eleştirildi. Apple’ın RCS takviyesi duyurusuyla birlikte, Nothing Chats uygulamasının cazibesi daha da azaldı. Kullanıcılar, Apple ID’leriyle üçüncü taraf hizmetlerine giriş yaparken, şifreleme vaat edilse bile dikkatli olmalıdırlar.
Nothing Chats’ın bu güvenlik tasalarını ele alıp Play Store’a başarılı bir formda geri dönüp dönemeyeceği şimdi meçhul.
Honor 100 serisinin tüm özellikleri netleşti
Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.