Kürzlich hat das Unternehmen Nothing beschlossen, seinen neuesten Messenger, Nothing Chats, aus dem Play Store zu entfernen. Dies geschah nur wenige Tage nach dessen offiziellem Start. Kurz gesagt: Es geht um Datenschutz. Um es genauer zu sagen, stellte sich heraus, dass die Plattform Sunbird, über die Nothing Chats funktioniert, sehr schlecht im Bereich der Verschlüsselung ist. Wie schlecht? Katastrophal schlecht. Sogar so sehr, dass Nachrichten vollständig unverschlüsselt übertragen und gespeichert werden.
Diese App war einzigartig, da sie Android-Nutzern iMessage-Funktionalitäten bot. Dazu nutzte sie die Apple ID der Benutzer, um Nachrichten ähnlich wie bei iMessage zu senden. Trotz der Behauptungen der Entwickler über eine Ende-zu-Ende-Verschlüsselung stellte sich bald heraus, dass die Datensicherheit zu wünschen übrig ließ.
Ende letzter Woche enthüllte ein Twitter-Nutzer unter dem Pseudonym Wukko, dass die App unverschlüsselte Daten auf der Plattform Firebase speichert. Außerdem übermittelte sie Nachrichtentexte und Anhänge im Klartextformat an den Dienst Sentry, was die Vertraulichkeit der Benutzerdaten gefährdete.
nothing chats app (skinned sunbird) is an absolute privacy nightmare that sends/stores ALL data unencrypted on firebase
— wukko (@uwukko) November 18, 2023
and for whatever reason it also sends ALL messages and attachments to sentry (again, in plain text) pic.twitter.com/CxBS7TZwCl
Diese Informationen wurden durch eine Untersuchung von 9to5Google bestätigt, die zeigte, dass der Dienst Sunbird Zugriff auf alle über Nothing Chat ausgetauschten Nachrichten hatte. Darüber hinaus waren alle übertragenen Dateien – seien es Bilder, Videos, Audiodateien oder PDF-Dokumente – öffentlich einsehbar.
Gestern gab Nothing bekannt, dass sie die Beta-Version der App entfernt haben, um in Zusammenarbeit mit Sunbird eine Reihe von Problemen zu beheben, wie in ihrem Twitter-Account berichtet wird.
Es ist erwähnenswert, dass Apple sich bisher nicht öffentlich zu Nothing Chat geäußert hat. Jedoch gab es diese Woche eine überraschende Wende, als Apple plötzlich Pläne ankündigte, den Rich Communications Services (RCS) im Jahr 2024 zu unterstützen.
Gestern schrieb Sunbird einige Tweets, in denen sie das Vorhandensein von Sicherheitsproblemen bestritt und ihre Sicherheitsmaßnahmen verteidigte, indem sie das Augenmerk auf ihre Sicherheit verdoppelte.
Texts.blog hat gemeinsam mit Batuhan İçöz und 1Conan eine Untersuchung durchgeführt und bewiesen, dass die Plattform extrem unsicher ist. Daraufhin erklärte Sunbird Folgendes (kurz gefasst):
- Sunbird besitzt das ISO27001-Zertifikat, das ihr Engagement für Sicherheit bestätigt.
- Der HTTP-Anfrage, die Anlass zur Sorge gibt, ist nur eine einmalige Anfrage zur Benachrichtigung über die iMessage-Verbindung, die dann über einen gesicherten Kanal erfolgt.
- Die Daten werden vor dem Senden über HTTP mit einem Schlüssel verschlüsselt, der über HTTPS bereitgestellt wird.
3/4
— Sunbirdapp (@sunbirdapp) November 17, 2023
The HTTP is only used as part of the one-off initial request from the app notifying back-end of the upcoming iMessage connection iteration that will follow via a stand alone communication channel.From the start, Sunbird has been focused on security.
Texts.blog erklärte jedoch, warum dies nicht funktioniert, und 9to5Google kam zu demselben Schluss.
Die Plattform ist unsicher, und es ist besser, sie nicht zu verwenden.