Bu hafta başlarında piyasaya sürülen iMessage alternatifi Nothing Chats uygulaması, Google Play Store‘dan kaldırıldı. Uygulamanın arkasındaki şirket Nothing, başlangıçta kaldırmanın “düzeltilmesi gereken birkaç hatadan” kaynaklandığını belirtti.
Ancak, güvenlik araştırmacıları tarafından yapılan kapsamlı bir teknik analiz, uygulamanın kaldırılmasının muhtemelen önemli güvenlik endişelerinden kaynaklandığını öne sürüyor. Texts.com’un Kurucusu Kishan Bagaria, bu endişeleri ilk olarak X/Twitter’da dile getirdi. Daha sonra Texts.com ekibi, uygulamanın güvenlik açıklarını ayrıntılı bir şekilde anlatan bir blog yayımladı.
Yapılan inceleme, Nothing’in servis sağlayıcısı Sunbird’in, sunucularından yönlendirilen mesajların uçtan uca şifrelemesi hakkında kullanıcıları yanılttığını ortaya çıkardı. Sunbird’in sunucularına gönderilen mesajlar şifrelenmiş olsa da, hizmet tarafından oluşturulan JSON Web Token’lar (JWT) başka bir Sunbird sunucusuna şifrelenmemiş olarak gönderildi ve böylece araya girme riskine açık hale geldi.
Nothing’e büyük şok: Güvenlik nedeniyle kaldırıldı!
Ayrıca, mesajlar Sunbird sunucularında şifresiz olarak depolandı ve böylece yetkisiz erişime açık bırakıldı. Texts.com, iki cihaz arasında değiştirilen JWT’ları ele geçirerek Firebase gerçek zamanlı veritabanına erişim sağlayarak bunu kanıtladı. Araştırmacılar, sadece 23 satır kod kullanarak JWT token’larını ele geçirebilir ve kullanıcı bilgilerine ve sohbetlere erişebilirler.
Gizlilik sorunları doğrudan Sunbird’e atfedilebilirken, Nothing şirketi, bu şirketle çalışmayı tercih ettiği ve durumu “hatalar” olarak küçümseyerek durumun ciddiyetini azalttığı için eleştirildi. Apple’ın RCS desteği duyurusuyla birlikte, Nothing Chats uygulamasının cazibesi daha da azaldı. Kullanıcılar, Apple ID’leriyle üçüncü taraf hizmetlerine giriş yaparken, şifreleme vaat edilse bile dikkatli olmalıdırlar.
Nothing Chats’ın bu güvenlik endişelerini ele alıp Play Store’a başarılı bir şekilde geri dönüp dönemeyeceği henüz belirsiz.