Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Почему приложение Nothing Chats небезопасно | Блог Касперского

Почему приложение Nothing Chats небезопасно | Блог Касперского

Приложение Nothing Chats обещало дать пользователям Android доступ к iMessage, но оказалось настолько небезопасным, что через 24 часа его убрали из Google Play.

Приложение Nothing Chats — мессенджер от компании-разработчика довольно известного смартфона под названием Nothing Phone, очередного «убийцы айфона». Основной фишкой Nothing Chats было обещание дать пользователям Android возможность полноценно общаться с помощью iMessage — системы обмена сообщениями, ранее доступной только владельцам айфонов.

Однако практически сразу у Nothing Chats обнаружили целый ряд проблем с безопасностью и приватностью. Проблемы были настолько серьезные, что менее чем через 24 часа после публикации в магазине приложение пришлось убрать из Google Play Store. Рассказываем обо всем этом подробнее.

Nothing Chats, Sunbird и iMessage для Android

Появление мессенджера Nothing Chats было анонсировано 14 ноября 2023 года в ролике известного YouTube-блогера Маркеза Браунли (aka MKBHD). Он рассказал о том, что с помощью нового мессенджера Nothing собирается дать возможность пользователям Android общаться с пользователями iOS посредством iMessage. Впрочем, не всем подряд — предполагалось, что новый мессенджер станет эксклюзивным для владельцев Nothing Phone (2).

Собственно, вот это видео авторства MKBHD, рекомендую его посмотреть хотя бы для того, чтобы увидеть, как работал мессенджер.

В ролике также в общих чертах описано, как организована работа мессенджера с технической точки зрения. Для начала пользователям придется передать в Nothing Chats логин и пароль от своей учетной записи Apple ID (а если у них таковой еще нет, то завести ее). После этого, цитируя видео, «на неком Mac mini где-то на серверной ферме» происходит вход в данный Apple-аккаунт, и в итоге все сообщения пересылаются между смартфоном пользователя и системой iMessage через этот удаленный компьютер.

Стоит отдать автору ролика должное: в конце шестой минуты видео он отдельно подчеркивает, что такой подход несет в себе серьезные риски. Действительно, логиниться со своим Apple ID на какое-то неведомо где расположенное устройство, которое вам не принадлежит, — это очень, очень плохая идея по целому ряду причин.

Тизер мессенджера Nothing Chats

Заветные голубые облачка сообщений iMessage — основное обещание Nothing Chats

В Nothing не особенно скрывали, что «iMessage для Android» не является собственной разработкой. Компания заключила партнерство с некой Sunbird, так что мессенджер Nothing Chats представлял собой клон приложения Sunbird: iMessage for Android с декоративными изменениями интерфейса. Приложение от Sunbird, кстати, было анонсировано прессе еще в декабре 2022-го, но его полноценный запуск для широкой аудитории постоянно откладывался.

Nothing Chats и проблемы с безопасностью

Сразу после анонса возникли подозрения, что у Nothing и Sunbird будут серьезные проблемы с приватностью и безопасностью. Как уже было сказано выше, идея логиниться со своим Apple ID в чужом устройстве — очень опасная, поскольку эта учетная запись дает полный контроль над большим объемом информации пользователя и над самими устройствами через функцию Apple Find my…

Чтобы успокоить пользователей, и Sunbird, и Nothing на своих сайтах заверяли в том, что логины и пароли нигде не хранятся, все сообщения защищены сквозным шифрованием и все точно-точно безопасно.

Заверения в безопасности на сайте Sunbird

Сайт Sunbird заверяет в безопасности и приватности iMessage for Android, а также в использовании сквозного шифрования (спойлер: это неправда)

Однако реальность превзошла даже самые скептические прогнозы. После того как приложение стало доступно, довольно быстро выяснилось, что оно совершенно не выполняло обещания по части сквозного шифрования. Хуже того, все сообщения и файлы, отосланные или полученные пользователем, приложение Nothing Chats отправляло в незашифрованном виде сразу в два сервиса — базу данных Google Firebase и сервис для мониторинга ошибок Sentry, где к этим сообщениям могли получить доступ сотрудники Sunbird.

Заверения в безопасности на сайте Nothing

В секции FAQ официальной страницы Nothing Chats также в явном виде упоминается сквозное шифрование

Что еще хуже, на самом деле сообщения могли читать не только сотрудники Sunbird, но и любой желающий. Дело в том, что необходимый для аутентификации в Firebase токен передавался приложением по незащищенному подключению (HTTP) и поэтому мог быть перехвачен. После чего этот токен давал доступ ко всем сообщениям и файлам всех пользователей мессенджера — как уже было сказано, все эти данные отправлялись в Firebase в открытом виде.

Еще раз: несмотря на заверения в использовании сквозного шифрования, все сообщения всех пользователей Nothing Chats и все отправленные ими файлы — фотографии, видео и так далее — мог перехватывать любой желающий.

Страница Nothing Chats утверждает, что сообщения пользователя нигде и никогда не хранятся

Также в FAQ страницы Nothing Chats утверждается, что сообщения нигде и никогда не хранятся, — на этом месте хочется заплакать

Один из исследователей, участвовавших в разборе уязвимостей Nothing Chats/Sunbird, создал простенький сайт с доказательством осуществимости атаки, который позволял любому желающему убедиться в том, что его сообщения в «iMessage для Android» действительно могут быть с легкостью перехвачены.

Достаточно быстро после обнародования информации об уязвимостях в Nothing решили убрать свое приложение из Google Play Store «для исправления нескольких ошибок». Однако даже если Nothing Chats или Sunbird: iMessage for Android вернутся в магазин, лучше их избегать — как и других подобных приложений. Данная история отлично демонстрирует, что при создании сервиса-посредника, позволяющего получить доступ к iMessage, очень легко допустить катастрофические ошибки, которые подвергают данные пользователей крайне серьезной опасности.

Что делать пользователям Nothing Chats

Если вы пользовались приложением Nothing Chats, вам следует сделать следующее:

  • Войдите в вашу учетную запись Apple ID с доверенного устройства, найдите страницу с активными сессиями (устройствами, на которых вы залогинены) и удалите сессию, которая относится к Nothing Chats/Sunbird.
  • Поменяйте пароль от Apple ID. Поскольку это крайне важный аккаунт, желательно использовать очень длинную и случайную последовательность символов — сгенерировать надежный пароль и безопасно его сохранить поможет Kaspersky Password Manager.
  • Удалите приложение Nothing Chats.
  • После этого вы можете воспользоваться инструментом, созданным одним из исследователей, для того чтобы удалить свою информацию из базы данных Firebase, принадлежащей Sunbird.
  • Если вы отправляли через Nothing Chats какую-то важную информацию, то к ней стоит относиться как к скомпрометированной и предпринять соответствующие действия: поменять пароли, перевыпустить карту и так далее. Kaspersky Premium поможет вам отследить возможные утечки ваших персональных данных, привязанных к адресам электронной почты или номерам телефонов.

Источник: Лаборатория Касперского

25.11.2023