Ron Amadeo
Het blijkt dat bedrijven die mediaveiligheidsproblemen negeren eigenlijk geen goede beveiligingsprofessionals zijn. Afgelopen dinsdag beweerde Nothing Chats – een chat-app van Android-maker Nothing en het opkomende app-bedrijf Sunbird – stoutmoedig dat het het iMessage-protocol van Apple zou kunnen hacken en Android-gebruikers blauwe bubbels zou kunnen bezorgen. We hebben Sunbird onmiddellijk aangemerkt als een bedrijf dat al bijna een jaar loze beloftes had gedaan en laks leek te zijn op het gebied van beveiliging. De app werd vrijdag sowieso gelanceerd en werd vanwege veel beveiligingsproblemen direct uit elkaar gerukt door internet. Zaterdagochtend duurde het nog geen 24 uur voordat Nothing de app uit de Play Store haalde. Ook de Sunbird-app, waarvan Nothing Chat slechts een reskin is, is ‘gepauzeerd’.
Het aanvankelijke verkoopargument voor deze app – dat hij je zou aanmelden bij iMessage op Android als je je Apple-gebruikersnaam en -wachtwoord bekendmaakt – was een enorme veiligheidswaarschuwing, wat betekende dat Sunbird een zeer veilige infrastructuur nodig had om rampen te voorkomen. In plaats daarvan bleek de app ongeveer zo onveilig als maar kon. Hier is de verklaring van Nothing:
Niets Chat’s gesloten bericht.
Hoe ernstig zijn de veiligheidsproblemen? Zowel 9to5Google als Text.com (eigendom van Automattic, het bedrijf achter WordPress) hebben schokkend slechte beveiligingspraktijken ontdekt. Niet alleen was de app niet end-to-end gecodeerd, zoals Nothing en Sunbird herhaaldelijk beweerden, maar Sunbird registreerde en bewaarde ook berichten in platte tekst in de Sentry-software voor bugrapportage. En in een Firebase-winkel. Authenticatietokens werden via niet-versleutelde HTTP verzonden, zodat dit token kon worden onderschept en gebruikt om uw berichten te lezen.
Het onderzoek van Text.com bracht een aantal kwetsbaarheden aan het licht. De blog stelt: “Wanneer een gebruiker een bericht of bijlage ontvangt, wordt het aan de serverzijde niet gecodeerd totdat de client een verzoek verzendt om het te bevestigen en het uit de database te verwijderen. Dit betekent dat een aanvaller die is geabonneerd op de Firebase Realtime DB altijd toegang heeft tot de berichten vóór of op het moment dat ze door de gebruiker worden gelezen. op wijzigingen in de database. Dit betekende live updates van “inkomende, uitgaande berichten, accountwijzigingen, enz.”, niet alleen van henzelf, maar ook van andere gebruikers.
Text.com heeft een proof-of-concept-app uitgebracht die uw zogenaamd end-to-end gecodeerde berichten van de servers van Sunbird kan ophalen. Batuhan Içöz, een productingenieur voor Text.com, heeft ook een tool uitgebracht waarmee een deel van uw gegevens van de servers van Sunbird wordt verwijderd. Içöz raadt alle Sunbird/Nothing Chat-gebruikers aan om nu hun Apple ID’s te wijzigen, de sessie van Sunbird in te trekken en “ervan uit te gaan dat uw gegevens al zijn aangetast.”
9to5Googles Dylan Roussel onderzocht de app en ontdekte dat naast alle openbare tekstgegevens, “alle documenten (afbeeldingen, video’s, audio, pdf’s, vCards…) verzonden via Nothing Chat EN Sunbird openbaar zijn.” Roussel merkte op dat er momenteel 630.000 mediabestanden op de app staan. Sunbird zijn opgeslagen en blijkbaar had hij er toegang toe. De app van Sunbird suggereerde dat gebruikers vCards – virtuele visitekaartjes vol contactgegevens – overdragen en Roussel zegt dat de persoonlijke informatie van meer dan 2.300 gebruikers toegankelijk was. Roussel noemt het hele fiasco “waarschijnlijk de grootste ‘privacy-nachtmerrie’ die ik in jaren van een telefoonfabrikant heb gezien.”
Niets veiligheidsbeloften die, ongelooflijk, onvervuld bleven.
Ondanks dat hij de oorzaak was van deze grote ramp, bleef Sunbird gedurende de hele puinhoop vreemd stil. Op de X-pagina van de app (voorheen Twitter) staat nog steeds niets over het afsluiten van Nothing Chats of Sunbird. Misschien is dat maar het beste, omdat sommige van de eerste reacties van Sunbird op de veiligheidsproblemen die vrijdag zijn geuit, niet afkomstig lijken te zijn van een competente ontwikkelaar. Ten eerste het bedrijf verdedigde zijn pogingen van niet-versleutelde HTTP voor sommige webtransacties en vertelde Bagaria van Text.com dat “HTTP wordt alleen gebruikt als onderdeel van het eenmalige initiële verzoek van de app om de backend te informeren over de komende iteratie van de iMessage-verbinding, die zal volgen via een zelfstandig communicatiekanaal. Sunbird heeft zich vanaf het begin gefocust op veiligheid.Uit het onderzoek van Text.com bleek dat dit “een express, load-balanced server was die geen SSL implementeert, zodat verzoeken gemakkelijk kunnen worden onderschept door een aanvaller.” Door dit gebruik van HTTP kon Text.com authenticatietokens uitgeven om te onderscheppen.
Moderne best practices op het gebied van beveiliging zouden stellen dat het nooit oké is om niet-gecodeerde HTTP te gebruiken voor internettransacties, en veel platforms blokkeren standaard HTTP-transmissie in platte tekst. Chrome geeft een waarschuwing op de volledige pagina weer wanneer wordt geprobeerd toegang te krijgen tot een HTTP-pagina en vraagt de gebruiker door een waarschuwingsbericht te klikken. Android schakelt standaard tekstverkeer uit en vereist dat een ontwikkelaar een speciale vlag inschakelt zodat het verzoek kan worden doorgestuurd. Projecten als Let’s Encrypt hebben het gebruik van HTTPS niet alleen eenvoudig en gratis gemaakt, maar dat is ook daadwerkelijk zo Makkelijker versleutel alles omdat u niet met alle beveiligingsobstakels te maken krijgt. Dit zijn de basisprincipes van internetgebruik in 2023, en het is schokkend om te zien dat een ontwikkelaar daartegen in discussie gaat, vooral als die ontwikkelaar ook je Apple-account wil vertrouwen. Het zou één ding zijn als dit een vreselijke vergissing was, maar Sunbird vond het prima!
Niets leek ons altijd een Android-maker die meer een hype dan een inhoud was, maar nu kunnen we “nalatig” aan die lijst toevoegen. Het bedrijf sloot zich aan bij Sunbird, ontwierp de app opnieuw, creëerde een promotiewebsite en YouTube-video en coördineerde een persbericht met populaire YouTubers, allemaal zonder enige due diligence uit te voeren op de apps van Sunbird of de beveiligingsclaims ervan. Het is ongelooflijk dat deze twee bedrijven zo ver zijn gekomen: de lancering van Nothing Chats vereiste een systemische beveiligingsfout bij twee hele bedrijven.
Niets beweert dat de app terug zal komen zodra Sunbird en Sunbird “verschillende bugs hebben opgelost”. Als je hele app lijkt te zijn gebouwd zonder dat er sprake is van beveiliging, zie ik niet hoe je dat gemakkelijk in een week of twee kunt oplossen. Als Nothing Chats terugkomt in de Play Store, zal iemand hen dan voldoende vertrouwen om hun inloggegevens in te voeren?