山雀——那个 Android 应用里不靠谱的 iMessage,已经关闭了 | ENBLE
山雀——该 Android 应用中不可靠的 iMessage 已关闭 | ENBLE
本应是安卓智能手机用户的iMessage替代品,却迅速陷入了一片混乱的安全和绝对疏忽之中。就在Nothing Chats应用从应用商店下架几天后,其基础技术提供方Sunbird也宣布无限期离职,加剧了人们对事情出了严重问题的怀疑。
Sunbird去年年底首次出现在我们的视野中,承诺为安卓和iPhone之间的消息提供蓝色气泡。它还承诺将所有消息应用程序捆绑成一个集群,有点像Beeper。Nothing采用了Sunbird技术,将其捆绑到了自己的Nothing Phone 2应用中,并通过一段雄心勃勃的视频进行了发布。“对不起,Tim。”这是Nothing CEO Carl Pei发送的信息。
周末期间,我注意到Sunbird应用在Google Play商店的页面变成了空白。我最初以为这是由于某些地理限制导致的。公司并未对此做出公开宣布,除了在Sunbird的Discord频道通知成员。
“我们在进行详细安全分析时,暂时关闭了Sunbird应用。”警告说,并表示在确定了“确切发生情况”后将提供进一步的详细信息。
有趣的是,这个消息最初是在Sunbird的Discord网络的dev-announcements频道中发布的。“出于谨慎起见,为了保护您的机密数据,我们暂时关闭了Sunbird。”它说。
- “在安卓上实现iMessage的梦想实际上是一场噩梦”
- iPad Mini,iPad Air和iPad 10.2在黑色星期五特惠销售中| ENBLE
- “三星Galaxy S23 Ultra在2023年黑色星期五打折25%| ENBLE”
我无法理解的是为什么要花一天时间将相同的信息在公众频道中公开。最重要的是,为什么Sunbird没有在其活跃的Facebook和X(原Twitter)账号上发布公告呢?
在今天出现在公共Discord频道中的一条消息中,Sunbird只是说“有很多事情正在进行中”,但没有提供任何进一步的技术细节或风险缓解的进展。“我们决定暂停使用Sunbird,以便我们调查安全问题。”消息中说道。
ENBLE已联系Sunbird的技术负责人Garin,以获取更多信息,并将在他们回应后尽快更新此故事。
Sunbird只通过应用内消息开始向用户通知。今天早些时候,9to5Google注意到来自Sunbird用户发布在Reddit上的应用内通知,通知他们应用程序暂时搁置了。这条消息首先在Discord社区中共享。
安全风险
Texts的安全专家发现,消息应用程序Nothing Chats没有使用HTTPS安全协议来加密其消息。相反,它使用了不太安全的HTTP标准,以未加密的纯文本形式传输消息。如果历史教会我们任何关于数字安全的东西,那就是纯文本是个坏消息。
另一项调查发现,Nothing Chats的所有通信类型(包括文本、图像和其他媒体)都以这种不安全、易于被看见的格式发送。此外,还发现所有在Nothing Chats上发送和存储的消息都没有加密,并且托管在一个容易访问的Firebase平台上。
进一步的发现显示,用户在使用JSON Web Tokens(JWT)进行身份验证时(在传输过程中并不安全),他们可以访问Nothing Chat的Firebase数据库。这种访问权限允许他们查看其他用户的消息和文件,这些消息和文件以实时的纯文本形式发送和存储。
所有这些都对Sunbird(和Nothings Chats)应用程序引发了巨大的安全警报。当它要求您提供您的Apple ID凭据时,这一点特别令人担忧,Apple ID凭据是将您的电子邮件、个人照片和银行详细信息等所有东西联系在一起的魔法令牌。
看看Nothing和Sunbird接下来会走向何方会很有趣。但是,由于苹果采用了RCS技术,并填补了Android和iPhone之间的消息功能差距,我认为为了获得蓝色聊天气泡而冒险损害您的隐私和数据安全是不值得的。
