|
|
Мы в социальных сетях
YouTube 610 472
ВКонтакте 68 847
Telegram | Скидки50 953
Telegram | Новости44 996
Лысый из МТ 43 045
Яндекс.Дзен36 701
|
Nothing сделала клиент iMessage для Android, но очень опасный18 ноября 2023, 20:56
Несколько дней назад Nothing анонсировала приложение Nothing Chats, позволяющее отправлять сообщения в мессенджер iMessage (встроен в стандартный SMS-клиент на устройствах Apple) — получатели на стороне iPhone будут получать их на синем фоне, а не на зелёном, как обычные SMS (и, с 2024 года, RCS-сообщения). Это не первое подобное приложение, и принцип их работы одинаков: ваше сообщение отправляется на промежуточное устройство от Apple (обычно Mac mini), откуда переотправляется в iMessage. Полученные ответы перенаправляются обратно вам через Nothing Chats. Подобная схема должна подразумевать высокий уровень доверия к посреднику, коим в данном случае выступила компания Sunbird.  Однако, как оказалось, Sunbird не только не предусмотрела минимальные меры информационной безопасности, но и осознанно добавила «закладки» для чтения всех сообщений, отправляемых через Nothing Chat. Об этом рассказал в своём теперь-не-твиттере разработчик Дилан Руссел (@evowizz). Его первой находкой при знакомстве стало то, что вход в Apple ID осуществляется по незашифрованному протоколу HTTP (без какого-либо шифрования данных), что позволяет злоумышленникам узнать ваш e-mail в момент авторизации. После этого открытия он решил изучение приложение получше, и нашёл несколько других странностей. 
 В частности, разработчики приложения нашли странное применение библиотеке Sentry, используемой для отслеживания ошибок: они генерируют ошибку при каждой успешной отправке сообщения, из-за чего в логи Sentry попадают тексты всех отправляемых сообщений. Аналогично используется и библиотека отслеживания пользовательского опыта Firebase: в её логи складываются все отправляемые через Nothing Chats файлы. В силу устройства Firebase, это позволяет любому желающему получить список этих файлов (на момент исследования их было свыше 637 780) и загрузить любой из них. Помимо фото, видео, аудио и PDF, среди файлов есть карточки контактов vCard, содержащие пары e-mail—номер телефона, высоко ценящиеся у мошенников.  По всей видимости, руководство Nothing доверилось Sunbird в вопросе безопасности разработанного решения и не стало проверять продукт, выпускаемый под собственным брендом. Только после опубликования информации об утечке Nothings согласилась скрыть приложение из Play Store и «отложить запуск до отдельного уведомления», чтобы «исправить несколько багов». Согласно европейскому законодательству, Nothing обязана уведомить всех пользователей и власти Великобритании о допущенной утечке персональных данных, однако пока компания этого не сделала. © Илья Нерыбов. Mobiltelefon По материалам Nothing и @evowizz Новости по теме:
|
Обзор Honor Magic 6 Pro
Обзор Redmi Watch 4
Обзор Tecno Pova 6 Pro 5G
Обзор Яндекс Станция Миди
Обзор vivo V30
Обзор Realme 12 Pro и 12 Pro+ |
