Bazen her şey ismin içindedir. Hiçbir Şey Sohbetleri beta, arkasındaki şirketin (şifrelenmemiş) mesajlarınıza erişebildiğini bildirdikten sonra Google Play Store’dan çekildi.
Hiçbir Şey Telefonu 2 sahiplerine, Sunbird ile ortaklaşa geliştirilen ve diğer iMessage kullanıcılarına Hiçbir Şey Telefonlarındaki mavi baloncuklar aracılığıyla mesaj göndermelerine olanak tanıyan türünün ilk örneği bir uygulama sözü verildi.
Ve söz verildiği gibi beta sürümü 17 Kasım 2023 Cuma günü Play Store’da indirilmeye sunuldu. Ancak bugün Hiçbir Şey Sohbetleri sayfası şunu söylüyor:
Hiçbir Şey Sohbetleri beta sürümünü Play Store’dan kaldırdık ve çeşitli hataları düzeltmek için Sunbird ile birlikte çalışmak üzere lansmanı bir sonraki duyuruya kadar erteleyeceğiz. Gecikme için özür dileriz ve kullanıcılarımız adına gereğini yapacağız.
Artık beta sürümlerde düzeltilmesi gereken bazı hataların olması oldukça normal. İşte bunun için betadalar. Ancak bunlar biraz can sıkıcı hatalar değildi.
Temel olarak, Hiçbir Şey Sohbetleri, şu anda Google Play Store’da mevcut olan mevcut Sunbird uygulamasının yalnızca yeniden tasarlanmış bir sürümüdür. Aslında Hiçbir Şey Sohbetleri uygulaması mesajlarınızı, onları iMessages olarak gönderen bir macOS sanal makinesi aracılığıyla yönlendirir. Ancak bunu yapmak için, Nothing Chats uygulamasının sizin adınıza kimlik doğrulaması yapabilmesi için Apple ID kimlik bilgilerinizi sunucularına göndermesi gerekir.
Nothing’e göre Sunbird’ün mimarisi, bir mesajı yolculuğunun hiçbir noktasında saklamadan bir kullanıcıdan diğerine iletecek bir sistem sağlıyor. Ancak beta sürümün yayınlanmasından yalnızca bir gün sonra Texts.com, Sunbird / ‘Hiçbir Şey Sohbeti’ Güvenli Değil başlıklı bir blog yayınladı.
Texts.com tersine mühendislik ekibinin üyeleri, Sunbird uygulamasına ve güvenlik uygulamalarına göz atmayı görev edindiler ve birkaç güvenlik açığı ve uygulama sorunu buldular.
Sunbird uçtan uca şifrelemeyi (E2EE) uygulamaya çalışırken, şifrenin çözülmesi ve ardından şifrelenmemiş yüklerin veritabanında saklanması nedeniyle uygulanması gölgede kalıyor.
Uygulamalar, iletişim bilgileri, mesaj içerikleri ve ek URL’ler de dahil olmak üzere Sunbird ve Nothing Chat tarafından gönderilen bir mesajla ilgili tüm verileri Sunbird’s Sentry’ye yönlendirir. Bu Sentry, şirket içindeki yetkili tarafların verilere düz metin olarak erişmesine olanak tanıyan bir hata ayıklama platformu görevi görür.
Hiçbir Şey’in vaat ettiği şey bu değil:
Tüm Sohbet mesajları uçtan uca şifrelenmiştir; bu, gönderdiğiniz ve aldığınız mesajlara ne biz ne de Sunbird’ün erişemeyeceği anlamına gelir.
Diğer araştırmacılar, Hiçbir Şey Sohbetleri’nin, kullanıcı görselleri de dahil olmak üzere tüm medya eklerini, bu eklere olan bağlantıları düz metin olarak görünür şekilde Sentry’ye gönderdiğini buldu.
Hiçbir Şey Sohbetleri, kullanıcı görüntüleri de dahil olmak üzere tüm medya eklerini, bu eklerin bağlantılarını düz metin olarak görünür şekilde Sentry’ye gönderir. Ayrıca araştırmacılar tüm verilerin Firebase aracılığıyla gönderildiğini ve saklandığını buldu. Şu anda Sunbird tarafından Firebase aracılığıyla depolanan resimler, videolar, PDF’ler, ses ve daha fazlasını içeren 630.000’den fazla medya dosyası buldular. Dolayısıyla Sunbird’ün kullanıcı verilerini kendi sunucularında saklamadığı doğru olsa da veriler depolanır.
Bu herkes için büyük bir sorun değil ama kimlik doğrulama öyle. Apple kimliğimizi üçüncü taraf bir hizmete göndererek yalnızca metinlerimiz konusunda üçüncü tarafa güvenmiş olmuyoruz, aynı zamanda bunların ele geçirilmesi durumunda fotoğraflarımız, videolarımız, kişilerimiz, notlarımız, anahtarlığımız ve daha fazlası risk altına giriyor.
Hassas verilerin yayılmasından endişe duyan kullanıcılar kılavuzumuzu okumalıdır: Veri ihlaline mi karıştınız? İşte bilmeniz gerekenler.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.