今週初め、Nothing は予想外のことを行い、 Nothing Phone 2 用の 「Nothing Chats」アプリをリリースしました 。前提? Nothing Phone 2 を持っている人は誰でも iMessage 経由でテキストを送受信できるようにします。 Nothing Chats を機能させるために Sunbird と提携し、Nothing は基本的に Sunbird 独自のメッセージング技術 を使用して iMessage を Android に導入しました。
それは大胆なアイデアでしたが、長続きしませんでした。それは、ほぼ即座に発見された衝撃的な数のセキュリティ脆弱性のせいで、Nothing Chats はすでに(当面は)機能不全に陥っているからです。また、セキュリティの脆弱性とは、簡単に見落とされる可能性のある小さな見落としを意味するものではありません。私たちが話しているのは、Nothing Chats を使用した人の個人情報を大幅に侵害する、ゲームを壊すような重大な設計上の欠陥についてです。
何もないチャットの問題
Nothing Chats は 11 月 17 日にベータ版へのアクセスを開始しましたが、人々がアプリを手に入れてから数時間以内に、セキュリティ上の懸念が浮上し始めました。最初のレポートの 1 つは、Texts.com の創設者である Kishan Bagaria からのものでした。 Bagaria とそのチームは、Nothing Chats 経由で送信されたメッセージが HTTPS セキュリティ資格情報を使用していないことを発見しました。代わりに、メッセージははるかに安全性の低い HTTP 標準で プレーン テキストで送信されていました。
しかし、これらの脆弱性を発見したのは Bagaria だけではありません。 X (旧 Twitter) の Wukko も、Nothing Chats 経由で送信されるもの (標準的なテキスト メッセージ、画像、その他のメディア添付ファイルを含む) はすべてプレーン テキストを使用して行われ、どこを見るべきかを知っている人にははっきりと見えることを確認しました。
さらに、さらに厄介なことに、Wukko は、Nothing Chats によって送信および保存されたすべてのメッセージング データが暗号化されず、簡単にアクセスできる Firebase プラットフォームを介して送信されていることを発見しました。
これらのレポートは十分にひどいものでしたが、 9to5Google からの追加レポートは、これらの脆弱性が実際にどれほど深刻であるかをさらに繰り返しました。 9to5 自身の調査結果によれば、次のようになります。
「Dylan Roussel の調査では、ユーザーが転送中に安全でない JSON Web Token (JWT) で認証すると、Nothing Chat の Firebase データベースにアクセスし、他のユーザーから送信されたメッセージやファイルを リアルタイムで 確認できることがわかりました。プレーンテキスト。」
報告書は続けて、vCard (別名連絡先カード) にも、人の名前、番号、電子メール アドレス、その他の個人を特定できる情報を含めて完全にアクセスできた方法について言及しています。そして、それだけでは十分ではないかのように、9to5Google は、Nothing Chats アプリを提供する Sunbird の Firebase サーバーに保存されている 630,000 を超えるメディア ファイルも発見しました。
要約すると、これが私たちが見ているものです:
- 何もありません チャットはエンドツーエンドで暗号化されません
- 何もないチャットからのメッセージはプレーンテキストで送信されます
- メディアおよびその他の添付ファイルは公的にアクセス可能です
- Sunbird は、Nothing Chats から送信されたメッセージと添付ファイルにアクセスできます。
言い換えれば、これはすべて非常に悪いことです。特に 、Nothing がこれらの初期のセキュリティ上の懸念を即座に非難し 、メッセージは実際には絶対に暗号化されていないにもかかわらず、エンドツーエンドで暗号化されているとさらに主張したことを考えると、さらに悪いことです。
ここから「何もない」はどこへ行くのでしょうか?
Nothing Chats のリリースからわずか 1 日後の 11 月 18 日、Nothing は X 上で、同社が「Sunbird と協力していくつかのバグを修正できるよう、Nothing Chats アプリを Play ストアから正式に削除し、別途通知があるまでリリースを延期する」と発表しました。 」
アプリを削除し、リリースを遅らせることは、Nothing’s end の正しい判断ですが、この大失敗全体によってすでにどれほどの損害が生じている可能性があるかを誇張することはできません。
結局のところ、これらのセキュリティ問題は Sunbird のせいです。 Nothing Chats は Sunbird のバックエンドで構築されており、これらの懸念に対処するかどうかは Sunbird にかかっています。しかし、Nothing は依然として、Nothing Chats を作成して開始するために Sunbird と提携することを決定しており、同社が Nothing Chats の作成中にこれらの脆弱性をまったく発見しなかったという事実は問題です。
携帯電話に Nothing Chats アプリがまだある場合は、すぐに使用を中止することを強くお勧めします。通常の Sunbird アプリを使用している場合にも、同じ推奨事項が適用されます。 スマートフォンで iMessage を使用できるのはとても便利ですが、個人情報が大幅に侵害される危険性はありません。 Apple が 2024 年に iPhone に RCS を追加するのを 待ったほうがよいでしょう。
Nothing Chats の将来については、次に何が起こるかを言うのは困難です。発売が「遅れている」とは何も言っていないが、ここで話したすべての問題を解決するには、Sunbird はバックエンドプロセス全体を大幅に見直す必要があるだろう。ナッシングはそれが起こるのを待ちたいと思うのでしょうか、それとも損失をカットしてナッシングチャットを永久に廃止することを決定するのでしょうか?現時点では、後者の方が良い選択であるように思えます。