Несколько дней назад Nothing анонсировала приложение Nothing Chats, позволяющее отправлять сообщения в мессенджер iMessage (встроен в стандартный SMS-клиент на устройствах Apple) — получатели на стороне iPhone будут получать их на синем фоне, а не на зелёном, как обычные SMS (и, с 2024 года, RCS-сообщения). Это не первое подобное приложение, и принцип их работы одинаков: ваше сообщение отправляется на промежуточное устройство от Apple (обычно Mac mini), откуда переотправляется в iMessage. Полученные ответы перенаправляются обратно вам через Nothing Chats. Подобная схема должна подразумевать высокий уровень доверия к посреднику, коим в данном случае выступила компания Sunbird.
Однако, как оказалось, Sunbird не только не предусмотрела минимальные меры информационной безопасности, но и осознанно добавила «закладки» для чтения всех сообщений, отправляемых через Nothing Chat. Об этом рассказал в своём теперь-не-твиттере разработчик Дилан Руссел (@evowizz). Его первой находкой при знакомстве стало то, что вход в Apple ID осуществляется по незашифрованному протоколу HTTP (без какого-либо шифрования данных), что позволяет злоумышленникам узнать ваш e-mail в момент авторизации. После этого открытия он решил изучение приложение получше, и нашёл несколько других странностей.
В частности, разработчики приложения нашли странное применение библиотеке Sentry, используемой для отслеживания ошибок: они генерируют ошибку при каждой успешной отправке сообщения, из-за чего в логи Sentry попадают тексты всех отправляемых сообщений. Аналогично используется и библиотека отслеживания пользовательского опыта Firebase: в её логи складываются все отправляемые через Nothing Chats файлы. В силу устройства Firebase, это позволяет любому желающему получить список этих файлов (на момент исследования их было свыше 637 780) и загрузить любой из них. Помимо фото, видео, аудио и PDF, среди файлов есть карточки контактов vCard, содержащие пары e-mail—номер телефона, высоко ценящиеся у мошенников.
По всей видимости, руководство Nothing доверилось Sunbird в вопросе безопасности разработанного решения и не стало проверять продукт, выпускаемый под собственным брендом. Только после опубликования информации об утечке Nothings согласилась скрыть приложение из Play Store и «отложить запуск до отдельного уведомления», чтобы «исправить несколько багов». Согласно европейскому законодательству, Nothing обязана уведомить всех пользователей и власти Великобритании о допущенной утечке персональных данных, однако пока компания этого не сделала.
© Илья Нерыбов. Mobiltelefon
По материалам Nothing и @evowizz
