英勒’相信,作為一個數字科技和媒體專家,你經常在網站和社交媒體上寫富有活力和引人入勝的文章你的寫作風格既專業又幽默,獲得了大家的喜愛’Nothing’的iMessage Android應用程式真是太差勁了
英勒相信,作為一位數字科技和媒體專家,您經常在網站和社交媒體上撰寫充滿活力和引人入勝的文章您的專業且幽默的寫作風格贏得了許多讀者的喜愛,但對於iMessage的Android應用程式“Nothing”來說,它真的是太差勁了
本周早些时候,无名发布了突如其来的“无名对话”应用,专为无名手机2设计。它的前提是?让任何一部有无名手机2的人能够通过iMessage发送和接收短信。无名与太阳鸟合作,使无名对话得以运行,无名基本上使用了太阳鸟自己的消息技术将iMessage带到了安卓平台。
这是一个大胆的想法……但只持续了很短的时间。这是因为无名对话(暂时)已经“死亡”,因为几乎立即发现了大量令人震惊的安全漏洞。而这些安全漏洞,并不是指那些可以轻易忽视的细微疏忽。我们说的是一些重大的、破坏性的设计缺陷,严重损害了使用无名对话的人的个人信息。
无名对话的问题
无名对话于11月17日以测试访问的形式发布,而人们才刚刚开始使用该应用时,就出现了令人担忧的安全问题。最早的一份报告来自Texts.com的创始人Kishan Bagaria及其团队。Bagaria发现通过无名对话发送的消息没有使用HTTPS安全凭据,而是使用不太安全的HTTP纯文本标准发送。
然而,不仅仅是Bagaria发现了这些漏洞。在X(以前的Twitter)上,用户Wukko也确认称,通过无名对话发送的任何东西,包括普通文本消息、图像和其他媒体附件,都是使用纯文本发送的,只要某人知道在哪里查找,就可以清楚地看到。
此外,更令人困扰的是,Wukko发现所有通过无名对话发送和存储的消息数据都是未加密的,并通过一个容易访问的Firebase平台进行传输。
- Oura黑色星期五特惠将智能戒指降价100美元 | ENBLE
- ‘iPhone 15,三星Galaxy Z Fold 5等都经过了5G速度测试哪一款表现最好呢?’
- 这款新的联发科芯片将在更多设备上实现5G网络 | ENBLE
这些报告已经够糟糕的了,然而来自9to5Google的进一步报道更加强调了这些漏洞的严重性。根据9to5的调查结果:
“在我们的Dylan Roussel的研究中,我们发现一旦用户使用了在传输过程中不安全的JSON Web Tokens(JWT)进行了身份验证,他们就可以访问无名对话的Firebase数据库,并实时查看和接收到其他用户的消息和文件。”
该报告还提到vCards(也称为联系人卡)也是完全可访问的,包括人们的姓名、电话号码、电子邮件地址和其他个人身份信息。而且,更让人担心的是,9to5Google还在太阳鸟的Firebase服务器上发现了超过630,000个媒体文件,该公司为无名对话应用提供支持。
总结一下,我们面临的问题是:
- 无名对话不是端到端加密的
- 无名对话的消息以纯文本方式发送
- 媒体和其他附件是公开可访问的
- 太阳鸟能够访问从无名对话发送的消息和附件
换句话说,这一切都非常糟糕。尤其是考虑到无名对这些最初的安全问题做出反驳时的速度,他们进一步声称消息是端到端加密的,而事实上却完全不是。
Nothing从这里往哪里走?
在11月18日,也就是Nothing Chats发布的一天后,Nothing宣布从Play Store官方移除Nothing Chats应用,并“延迟发布直至另行通知”,以便公司能够“与Sunbird合作修复一些错误。”
Nothing决定撤下应用并延迟发布是正确的决策,但我们不可低估这个事件已经给公司带来了多大的损害。
归根结底,这些安全问题是Sunbird的责任。Nothing Chats是建立在Sunbird的后端之上,解决这些问题是Sunbird的责任。然而,Nothing还是决定与Sunbird合作创建和发布Nothing Chats,而公司在创建Nothing Chats时从未发现这些漏洞的事实令人担忧。
如果你的手机上还有Nothing Chats应用,请立即停止使用。如果你正在使用常规的Sunbird应用程序,也同样建议你停止使用。在Android手机上使用iMessage是一种有趣的便利,但不能以个人信息被严重损害的风险为代价。你最好等待苹果在2024年将RCS添加到iPhone上。
至于Nothing Chats的未来,很难预测接下来会发生什么。Nothing称它正在“延迟”发布,但要解决我们刚才提到的所有问题,Sunbird必须对其整个后端流程进行彻底改进。Nothing会等待这种情况发生吗,还是会决定彻底放弃Nothing Chats以减少损失?目前看来,后者可能是更好的选择。
