Nothing'in iMessage klonu güvenlik endişeleri nedeniyle Play Store'dan kaldırıldı

Nothing'in iMessage klonu güvenlik endişeleri nedeniyle Play Store'dan kaldırıldı

Şirketin bu hafta başında piyasaya sürdüğü iMessage klonu Nothing Chats, Google Play Store'dan çekildi. Resmi gerekçe, şirketin belirsiz bir süre sonra tekrar piyasaya sürmeden önce düzeltmek için zamana ihtiyaç duyduğu "birkaç hata".

Bununla birlikte, uygulamanın Nothing'in ifade ettiği gibi "hatalar" nedeniyle değil, daha ziyade bazı göze batan güvenlik sorunları nedeniyle çekildiği fikrini desteklemek için yeterli kanıt var.

Texts.com yazarı Rida F'kih ve Twitter kullanıcıları @batuhan ve @1ConanEdogowa tarafından yapılan kapsamlı bir teknik analize göre, Nothing'in hizmet sağlayıcısı Sunbird, sunucuları üzerinden yönlendirilen mesajların uçtan uca şifrelenmiş doğası hakkında yalan söylerken yakalandı.

Daha önce de açıklandığı gibi, Nothing Chats'i kullanmak için kaydolmak, sanal bir makine çalıştıran bir Mac mini üzerinde çalıştırılan Apple Kimliğinizi kullanarak Sunbird sunucularına şarkı söylemeyi gerektiriyordu. Sunbird tarafından iddia edildiği gibi sunuculara gönderilen mesajlar şifrelenmiştir. Ancak, yukarıda bahsi geçen yazarların keşfettiği gibi, hizmetin ürettiği JSON Web Tokens ya da JWT, SSL olmadan başka bir Sunbird sunucusuna tekrar şifrelenmeden gönderilerek bir saldırgan tarafından ele geçirilebilmektedir.

Dahası, mesajların şifresi çözüldükten sonra Sunbird sunucularında depolanarak bir saldırganın kullanıcıdan önce mesajlara erişmesi için zaman tanınıyor. Texts.com bunu iki cihaz arasında birkaç mesaj göndererek ve Firebase gerçek zamanlı veritabanına erişim sağlayan JWT'yi ele geçirerek gösterdi. Bu noktadan sonra, tüm kullanıcı bilgilerini ve konuşmaları indirmek için tek gereken 23 satır koddu.

Yazar ayrıca, kod hakkında yeterli bilgiye sahip bir kullanıcının, biri Nothing Chats uygulamasını çalıştıran iki cihaz arasında mesaj gönderdiğinde kendi mesajlarını yakalayabileceği bir web sitesi de sağladı.

Açık olmak gerekirse, gizlilik sorunu doğrudan Sunbird'ün hatasıdır. Ancak, bu şirketle çalışmayı tercih ederek Nothing de kendisini bu konuya dahil etmiş oldu. Dahası, bu oldukça vahim durumu "hatalar" olarak ele almak son derece dürüstçe değildi.

Nothing uygulamayı mağazaya geri koymaya karar verdiğinde hizmetin ne durumda olduğunu görmemiz gerekecek. Şifrelenmiş olsa bile, üçüncü taraf bir hizmetin sunucularına Apple Kimliğinizle giriş yapmamanız gerektiğini söylemeye gerek yok. Ancak Apple'ın RCS desteğini duyurduğu şu günlerde özellikle anlamsız görünüyor.

Teknoloji Haberleri
Samsung Galaxy S24 serisi sızıntıları tasarım, teknik özellikler ve ısı dağıtımı iyileştirmelerini ortaya koyuyor
Samsung Galaxy S24 serisi sızıntıları tasarım, teknik özellikler ve ısı dağıtımı iyileştirmelerini ortaya koyuyor
Cybepunk 2077 beklenen yeni özelliklerle büyük bir güncelleme alacak! Listeye bakın
Cybepunk 2077 beklenen yeni özelliklerle büyük bir güncelleme alacak! Listeye bakın
Sam Altman OpenAI CEO'su olarak resmen geri döndü
Sam Altman OpenAI CEO'su olarak resmen geri döndü
Google Play Store Pix'i ödeme yöntemi olarak ekleyecek
Google Play Store Pix'i ödeme yöntemi olarak ekleyecek
GTA 6'nın ilk fragmanı 5 Aralık'ta yayınlanacak
GTA 6'nın ilk fragmanı 5 Aralık'ta yayınlanacak
Steam macOS Mojave ve 32-Bit Oyunlar için Desteğini Sonlandıracak
Steam macOS Mojave ve 32-Bit Oyunlar için Desteğini Sonlandıracak
Apple iOS 17.1.2 ve iPadOS 17.1.2'yi yayınladı
Apple iOS 17.1.2 ve iPadOS 17.1.2'yi yayınladı
WhatsApp'ın yeni özelliği, arama çubuğuna bir şifre girdikten sonra kilitli sohbetleri gösteriyor
WhatsApp'ın yeni özelliği, arama çubuğuna bir şifre girdikten sonra kilitli sohbetleri gösteriyor