Nothing Chats, клон iMessage, запущенный компанией в начале этой недели, был удалён из Google Play Store. Компания уточнила, что ей нужно больше времени на исправление багов, прежде чем этот мессенджер снова станет доступным.
Однако есть достаточно доказательств в пользу того, что приложение было удалено не из-за “ошибок”, как утверждает Nothing, а из-за вопиющих проблем с безопасностью.
Согласно тщательному анализу, компания скрыла от пользователей факт сквозного шифрования сообщений, которые проходят через сервера Sunbird, интернет-провайдера Nothing. Было доказано, что получаемые на сервер сообщения, затем отправляются в незашифрованном виде на другой сервер Sunbird без SSL, что позволяет перехватить их злоумышленникам.
Компания Texts.com проверила эту лазейку в действии, отправив несколько сообщений между двумя устройствами, перехватив JSON Web Token (токен доступа), что дало ей доступ к базе данных Firebase в режиме реального времени. Этого вполне достаточно, чтобы узнать всю информацию о пользователе и его разговорах.
