导读 Nothing已将NothingChats测试版从GooglePlay商店下架,并表示推迟发布直至另行通知,同时修复了几个错误。该应用程序承诺让NothingPhone2用...
Nothing已将NothingChats测试版从GooglePlay商店下架,并表示“推迟发布直至另行通知”,同时修复了“几个错误”。该应用程序承诺让NothingPhone2用户使用iMessage发短信,但它要求提供该平台的Sunbird在其自己的MacMini服务器上登录用户的iCloud帐户,这……不是很好吗?
此次删除是在用户广泛分享Texts.com的博客后进行的,该博客显示使用Sunbird系统发送的消息实际上并未进行端到端加密,而且破解它并不难。该应用程序在本周早些时候宣布后,于昨天推出了测试版。
Sunbird可以访问通过该应用程序发送和接收的每条消息。他们通过滥用@getsentry来做到这一点,@getsentry用于监视错误。
9to5Google提到了网站作者DylanRoussel的帖子,他发现Sunbird解决方案的一部分涉及使用HTTP解密消息并将其传输到Firebase云同步服务器,并以未加密的纯文本形式存储在那里。Roussel表示,该公司本身可以访问消息,因为它使用调试服务Sentry将消息记录为错误。
Sunbird昨天声称,HTTP“仅用作应用程序通知后端即将到来的iMessage连接的一次性初始请求的一部分。”
这是对有人指出Texts.com的博客检查该漏洞的回应。Texts.com写道,“订阅Firebase实时数据库的攻击者始终能够在用户读取消息之前或同时访问消息。”该博客还指出,该公司可以查看其Sentry仪表板中的消息,这直接与Nothing的常见问题解答中的说法相矛盾,即Sunbird没有人可以访问发送或接收的消息。
我们已联系Nothing寻求进一步评论,但截至发稿时该公司尚未做出回应。