Nothing 公司的測試版應用程式 Nothing Chats 因隱私問題,已被 Google Play 商店暫時下架。該應用程式原旨在為 Nothing Phone 2 使用者提供一種使用 iMessage 發送短訊的方式,但其運作方式引發了安全疑慮。
Nothing Chats 的功能依賴於第三方平臺 Sunbird,需求用戶在 Mac Mini 伺服器上登入其 iCloud 帳戶,這一做法在隱私保護方面存在嚴重問題。一篇由 Texts.com 發布的文章指出,透過 Sunbird 傳送的訊息並非端到端加密,且易於破解。這篇文章迅速被轉發,進而引發了廣泛關注。
9to5Google 網站作者 Dylan Roussel 進一步發現,Sunbird 解決方案的一部分涉及使用 HTTP 解密訊息,並將其傳輸至 Firebase 雲同步伺服器,而且訊息儲存為未加密的純文本形式。這意味著,該公司有可能透過其錯誤記錄服務 Sentry 訪問這些訊息。
So… Yesterday, Sunbird replied to @KishanBagaria, saying that using HTTP is fine! Because it's part of an initial request and that's it.
No it's not fine, it still leaks users' email addresses. But at least it pushed me to look deeper.https://t.co/JnLrGgp1iN
— Dylan Roussel (@evowizz) November 18, 2023
對於外界的質疑,Sunbird 在昨日回應稱,HTTP 僅用於應用程式通知後端, iMessage 連線的一次性初始請求。然而,這並未消除公眾的隱私擔憂。
Texts.com 的文章指出,任何訂閱 Firebase 實時資料庫的攻擊者都能夠在使用者讀取資料之前或同時獲取到這些資料。此外,該文章還指出,Nothing 公司可以在其 Sentry 儀表板中檢視訊息,這與其 FAQ 中聲稱的 Sunbird 無法訪問發送或接收的訊息相矛盾。
目前,Nothing 公司尚未對此事件做出進一步回應,媒體對於該公司的聯繫也未獲得回應。
資料來源:TheVerge