Nothingin iMessage-sovellus paljastui täydeksi fiaskoksi – vedettiin pois saatavilta järkyttävien tietoturvaongelmien takia

Nothing Chats.

Älypuhelimistaan ja kuulokkeistaan parhaimmin tunnettu Nothing julkisti 14. marraskuuta uuden Nothing Chats -viestisovelluksen, joka on luotu tuomaan tuki Applen iMessage-viesteille Nothing-puhelimeen.

Erityisesti Pohjois-Amerikassa suosittujen Applen iMessage-viestien rajautuminen vain Applen laitteisiin on merkittävä ongelma, sillä iPhonet eivät ole suoraan tukeneet viestintää modernilla tavalla Android-puhelinten kanssa. Esimerkiksi Euroopassa, mukaan lukien Suomessa, iMessage ei ole niin suosittu ihmisten käyttäessä muita viestisovelluksia.

Nothing Chats -sovellus julkaistiin beetatestileiman alla Phone (2) -älypuhelimelle perjantaina 17. marraskuuta, mutta jo lauantaina 18. marraskuuta Nothing päätyi vetämään sovelluksen pois saatavilta sen jälkeen, kun sovelluksen toteutuksesta paljastui vakavia tietoturvaongelmia, jotka jopa paljastivat sovelluksen käyttäjien viestit ja tiedostot ulkopuolisille.

Nothing Chats on toteutettu yhteistyössä jo aiemmin itsenäisesti Android-puhelimille iMessage-tuen tuoneen sovelluksen julkaisseen Sunbirdin kanssa.

Nothing markkinoi Nothing Chatsin olevan päästä päähän salattu viestintäratkaisu, mikä tarkoittaisi, ettei palvelulla – siis Nothingilla tai Sunbirdillä – ole pääsyä viesteihin, mutta tämä väite ei todellisuudessa pitänyt paikkansa. Nothing ilmiselvästi valehteli julkaiseman sovelluksensa toiminnasta – joskin todennäköisesti tiedostamatta, luottaen kumppaninsa Sunbirdin kertomaan.

iMessage-viestien tukeminen vaatii ulkopuolisilta sovelluksilta jo lähtökohtaisesti erikoistemppuja, sillä Apple ei tietenkään tarjoa mitään valmiita mahdollisuuksia tuen toteuttamiseen. Käytännössä iMessage-tuki muun muassa Nothing Chatsissa olikin toteutettu niin, että käyttäjä antaa Apple ID -tunnuksensa sovellukselle, joka ohjaa ne palvelun hallitsemalle Mac-tietokoneelle, joka sitten taustalla ohjaa viestit eteenpäin Nothing Chats -sovellukseen.

Jo Apple ID -tunnuksen luovuttamiseen tällä tavalla palvelulle liittyy riskinsä, mutta se on kuitenkin nyt osoittautunut vain vähäiseksi huoleksi verrattuna Nothing Chats -sovelluksen kokonaisuutena tietoturvan kannalta luokattoman huonoon toteutukseen.

Nimimerkillä wukko esiintyvä käyttäjä kertoi ensimmäisenä X-palvelussa, kuinka Nothing Chats ei toimi luvatulla tavalla. Hänen mukaansa Nothing Chats lähettää kaikkien viesteihin liitettyjen mediatiedostojen, esimerkiksi kuvien, linkit Sentry-palveluun, minkä lisäksi kaikki tiedot – mukaan lukien viestit – lähetetään Firebase-tietokantapalveluun, eikä niitä ole salattu mitenkään.

Myös 9to5Google-sivuston Dylan Roussel vahvisti löydökset Nothing Chatsin puutteellisesta – tai jopa olemattomasta – tietoturvasta.

Thread time!

Summary:
– Sunbird has access to every message sent and received through the app on your device.

MAINOS (ARTIKKELI JATKUU ALLA)

– All of the documents (images, videos, audios, pdfs, vCards…) sent through Nothing Chat AND Sunbird are public.

– Nothing Chats is not end-to-end encrypted.

— Dylan Roussel (@evowizz) November 18, 2023

Nothing Chatsissa käytetyt JSON Web Token (JWT) -tunnisteet siirretään salaamattomana ja niillä tunnistautumisen jälkeen käyttäjä on voinut päästä Nothing Chatsin taustalla toimivassa Firebase-tietokannassa käsiksi reaaliajassa muiden käyttäjien viesteihin ja tiedostoihin täysin salaamattomassa muodossa. Mukana on myös käyttäjien vCard-yhteystietopaketteja, jotka voivat sisältää esimerkiksi puhelinnumeron ja sähköpostiosoitteen.

9to5Google ilmoitti löydösten jälkeen asiasta Nothingille, joka päätyi poistamaan sovelluksen saatavilta Google Playsta. Samoin Sunbird on poistanut oman sovelluksensa saatavilta.

”Olemme poistaneet Nothing Chats -betaversion Play-Kaupasta ja lykkäämme julkaisua toistaiseksi tehdäksemme yhteistyötä Sunbirdin kanssa useiden bugien korjaamiseksi. Pahoittelemme viivästystä ja toimimme oikein käyttäjiemme kannalta”, Nothing on kommentoinut.

We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.

We apologise for the delay and will do right by our users.

— Nothing (@nothing) November 18, 2023

Käytännössä kyse ongelmissa ei kuitenkaan ollut oikeastaan bugeista, kuten Nothing sanoo, vaan sovelluksen taustatoteutus on ollut perustavaa laatua olevalla puutteellinen tietoturvan kannalta.

Aiheellisesti onkin nostettu esiin, kuinka Nothingin valvonta ulkopuolisen kumppanin kanssa kehitetyn ja sen nimissä julkaistun sovelluksen toteutuksen osalta on täysin pettänyt. Vakavat ongelmat paljastuivat heti sovelluksen jälkeen, mutta Nothingilla ne eivät nähtävästi herättäneet huolta kehitystyön aikana.

Nothingille iMessage-tuen sen älypuhelimessa mahdollistava Nothing Chats -sovellus oli lähinnä jälleen yksi markkinointitemppu, joka kuitenkin nyt kostautui pahalla tavalla heittäen ikävän varjon Nothingin brändin ylle.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla