Không có gì đã rút phiên bản beta NothingChat khỏi Cửa hàng Google Play và cho biết họ đang "hoãn phát hành cho đến khi có thông báo mới" đồng thời sửa "một số lỗi". Ứng dụng này cho phép người dùng điện thoại di động NothingPhone2 gửi tin nhắn văn bản thông qua nền tảng iMessage, nhưng nó yêu cầu Sunbird, công ty cung cấp nền tảng nhắn tin, phải đăng nhập vào tài khoản iCloud của người dùng trên máy chủ MacMini của chính nó, điều này rõ ràng là hơi vượt quá sự chấp thuận của một số người.
Texts.com Một blog đã phân tích ứng dụng và nhận thấy rằng các tin nhắn được gửi bằng hệ thống Sunbird thực tế không được mã hóa hai đầu nên sẽ không khó để bẻ khóa nó. Ứng dụng đã ra mắt phiên bản beta ngày hôm qua sau khi được phát hành vào đầu tuần này.
9to5Google chỉ vào bài đăng của tác giả trang web, Dylan Roussel, người đã phát hiện ra rằng một phần giải pháp của Sunbird liên quan đến việc sử dụng HTTP để giải mã và truyền thông tin đến máy chủ đồng bộ hóa đám mây Firebase, nơi thông tin sau đó được lưu trữ dưới dạng văn bản thuần túy không được mã hóa. Roussel đăng rằng bản thân công ty cũng có quyền truy cập vào các tin nhắn đã chuyển này vì họ sử dụng dịch vụ gỡ lỗi Sentry để ghi lại các tin nhắn là lỗi.
Sunbird ngày hôm qua đã tuyên bố rằng HTTP "chỉ được ứng dụng sử dụng cho yêu cầu ban đầu một lần để thông báo cho chương trình phụ trợ rằng kết nối iMessage sắp diễn ra." Điều này là để đáp lại việc ai đó chỉ ra một lỗ hổng. Texts.com viết: "Kẻ tấn công đăng ký Cơ sở dữ liệu thời gian thực Firebase sẽ luôn có thể truy cập thông tin trước hoặc trong khi người dùng đọc thông tin." Blog cũng tuyên bố rằng công ty có thể xem thông tin trong bảng điều khiển Sentry của mình, điều này mâu thuẫn trực tiếp với tuyên bố trong Câu hỏi thường gặp về Không có gì rằng không ai tại Sunbird có quyền truy cập vào thông tin được gửi hoặc nhận.
Nhưng tính đến thời điểm báo chí, vẫn chưa có gì phản hồi.
Bài viết liên quan: