您现在的位置是:主页 > 行业动态 >
TokenPocket钱包app安卓版|出于安全考虑,没有任何 iMessage 克隆产品从 Play 商店下架
2023-11-19 08:30行业动态 人已围观
简介Nothing Chats 是该公司本周早些时候推出的 iMessage 克隆产品,现已从 Google Play 商店下架。 官方的理由是,公司需要时间修复“几个错误”,然后才能在无限期的时间后再次推出。 我们已...
Nothing Chats 是该公司本周早些时候推出的 iMessage 克隆产品,现已从 Google Play 商店下架。 官方的理由是,公司需要时间修复“几个错误”,然后才能在无限期的时间后再次推出。
我们已从 Play 商店中删除了 Nothing Chats 测试版,并将推迟发布,直至另行通知,以便与 Sunbird 合作修复多个错误。
对于延迟,我们深表歉意,并将为我们的用户做正确的事。
– 没什么 (@nothing) 2023 年 11 月 18 日
然而,有足够的证据支持这一观点,即该应用程序被下架并不是因为“错误”,正如Nothing所说,而是因为一些明显的安全问题。
根据 Texts.com 作者 Rida F’kih 以及 Twitter 用户 @batuhan 和 @1ConanEdogowa 的全面技术分析,Nothing 的服务提供商 Sunbird 在通过其服务器路由的消息的端到端加密货币特性方面被发现撒谎。
推荐阅读 1OpenAI 重组,实体高管在争议中被罢免
2小时前 2贝莱德现货以太坊 ETF 申请是否标志着新一轮加密货币牛市的开始? 什么是最好的加密货币投资?
2小时前正如之前所披露的,注册使用 Nothing Chats 需要使用你的 Apple ID 登录 Sunbird 服务器,该服务器在运行虚拟机的 Mac mini 上运行。 正如 Sunbird 声称的那样,发送到服务器的消息是加密的。 然而,正如上述作者发现的那样,该服务生成的 JSON Web 令牌或 JWT 会再次以未加密的方式发送到另一个没有 SSL 的 Sunbird 服务器,从而使攻击者能够拦截它们。
短信团队快速浏览了无聊天背后的技术,发现它非常不安全
它甚至不使用 HTTPS,凭据是通过纯文本 HTTP 发送的
后端正在运行 BlueBubbles 的实例,该实例尚不支持端到端加密货币 pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) 2023 年 11 月 17 日
此外,这些消息会被解密,然后存储在 Sunbird 服务器上,从而使攻击者有时间在用户之前访问它们。 Texts.com 通过在两个设备之间发送一些消息并拦截 JWT 来演示这一点,这使它们能够访问 Firebase 实时数据库。 从那时起,只需 23 行代码即可下载所有用户信息和对话。
作者还提供了一个网站,足够了解代码的用户可以在两个设备之间发送消息时拦截自己的消息,其中一个设备运行 Nothing Chats 应用程序。
@ridafkih @batuhan @1ConanEdokawa 进一步挖矿,发现所有传入的文本/媒体不仅以未加密的方式存储,而且所有传出的文本都以明文形式泄露到哨兵服务器 pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) 2023 年 11 月 18 日
需要明确的是,隐私问题直接是 Sunbird 的过错。 然而,Nothing选择与该公司合作,也将自己成交量入了此事。 而且,将这种相当严重的情况称为“bug”是极其不诚实的。
当 Nothing 决定将应用程序放回到商店时,我们必须看看该服务以什么状态重新出现。 不用说,你可能一开始就不应该使用你的 Apple ID 登录第三方服务的服务器,即使它已加密货币。 但现在随着苹果宣布支持 RCS,这似乎毫无意义。
Tags: