Nothing удалила из Google Play приложение, совместимое с iMessage

В компании сообщили, что удалили бета-версию и отложили запуск сервиса «до дальнейшего уведомления, чтобы совместно с Sunbird исправить несколько ошибок».

Nothing — первый производитель Android-устройств, который добавил поддержку iMessage. Для этого в приложение Nothing Chats внедрили Sunbird — программу ретрансляции сообщений Sunbird. Новая система позволяет получать сообщения iMessage на Android и наоборот.

Однако в Nothing Chats были обнаружены проблемы с конфиденциальностью, сообщает The Verge. Удаление приложения из Google Play произошло после массового обращения внимания пользователей на статью сайта Texts.com, владельцем которого является Кишан Багария.

В этом материал доказывают отсутствие сквозного шифрования в отправляемых через Nothing Chats сообщениях:

Чтобы продемонстрировать это, я отправил себе сообщение со своего настоящего iPhone на учётную запись, связанную с Nothing Chats, а затем запросил соответствующие данные из Sunbird, запустив скрипт. Видно, что оно отображается открытым текстом, без шифрования, — рассказывает автор расследования.

Эксперт Дилан Руссель рассказал в X (ex-Twitter), что часть решения Sunbird заключается в расшифровке и передаче сообщений по протоколу HTTP на сервер облачной синхронизации Firebase, при этом они хранятся там в незашифрованном виде в формате обычного текста.

По его словам, Sunbird при этом имеет доступ к сообщениям, в том числе изображениям, видео, документам и карточкам контактов, поскольку регистрирует их как ошибки с помощью отладочного сервиса Sentry:

Sunbird имеет доступ ко всем сообщениям, отправленным и полученным через приложение. Они делают это, злоупотребляя [функциями] Sentry. [...] Но Sunbird регистрирует сообщения, притворяясь, что это ошибки.

На Texts.com также пишется, что «злоумышленник, подписанный на базу данных Firebase в реальном времени, всегда сможет получить доступ к сообщениям до или в момент их прочтения пользователем», а возможность просмотра сообщений через Sentry противоречит утверждениям Nothing, что никто в Sunbird не может получить доступ к сообщениям.

В Sunbird позднее в ответ на материал Texts.com заявили, что HTTP используется лишь «в рамках одноразового начального запроса от приложения» которое уведомляет бэкенд о предстоящем подключении к iMessage.