Nothing Chats一度聲稱是Android上的iMessage,承諾為Android用戶提供完整的iMessage,但是不到24小時,該應用程式便由於嚴重的保安及私隱問題而從Google Play上下架,到底哪裡是問題所在?先看其運作方式與潛在風險。
Nothing Chats和Sunbird的Android版iMessage
Nothing Chats通訊軟件在2023年11月14日被公佈,知名的Youtuber Marques Brownlee對軟件作出介紹,講解了Nothing Chats準備如何讓Android的用戶透過iMessage與iOS用戶進行通訊,影片簡單地介紹了技術層面的運作方法,首先用戶要把自己的Apple ID交給Nothing Chats(如果沒有,便需要創立一個帳號),然後在某處的伺服器的Mac上登入,之後就是這台遙距電腦把用戶智能手機的訊息發送到iMessage系統,反之亦然 。
不過在影片的末端,Marques也強調這種處理方式存在重大風險,因為在不屬於自己的不明位置的裝置上,登入自己的Apple ID絕對是非常差勁的主意。而推出Nothing Chats的公司Nothing也承議Android版的iMessage並非由他們自己開發,該公司與另一家公司Sunbird合作,所以Nothing Chats其實是Sunbird: iMessage for Android的複製版,只進行了一些花巧的界面更換,而Sunbird在2022年12月時已公佈有關應用程式,但正式版卻持續延期。
Nothing Chats的保安問題
在影片公開之後,Nothing和Sunbird立即面對嚴重的私隱和保安問題的質疑,正如上文提到,從其他人的質置上登入自己的AppleID十分高風險,因為帳號內含有大量用戶資料,以及Apple的尋找裝置功能。Nothing和Sunbird在他們的網站有提到,所有登入和密碼不會儲存,所有訊息受到點對點加密保護,保證全部安全。可惜現實與預期可課相差十萬八千里,當應用程式上架後,很快便被發現說好的點對點加密完全失效,更甚者是訊息及檔案的收發是經由Nothing Chats以未加密的方式同時向兩個服(Google Firebase和Sentry)務傳送,而Sunbird的員工能夠存取這些訊息。
而這尚未算最差,因為不僅是Sunbird員工,而是所有人都能夠閱覽訊息,因為在Firebase認證用的Token會透過應用程式經由未受保護連線(HTTP)傳送,所以能夠同時攔截,結果持有該token就能存取所有用戶訊息的內通訊和檔案,Nothing承諾的點對點加密在結果而言並未能保護用戶的通訊內容。甚至有研究人員創建了一個簡單網站,證明攻擊者可以輕鬆地攔截和閱覽iMessage for Android收發的訊息。
在安全漏洞被公開後不久,Nothing以修復少許臭蟲為由決定從Google Play上把應用程式下架,不過即使它重新上架也最好敬而遠之。
Nothing Chats用戶現在該做的事
如果不幸地閣下曾經使用Nothing Chats應用程式,便應該採取以下行動:
- 在可信任的裝置登入AppleID,查看其他已登入的裝置,刪除與Nothing Chats或Sunbird有關的裝置。
- 更改AppleID的密碼,應該要由複雜字符及有一定長度所組成。
- 移除Nothing Chats應用程式
- 使用由其中一位研究人員創建的工具從Sunbird的Firebase資料庫移除自己的資料
- 如果曾經過Nothing Chats傳送敏感資料,應該視之為資料外洩,需要更改密碼、重發新卡等等。
資料來源:Kaspersky Blog
