A solução iMessage da Nothing pode não ser tão segura quanto pensávamos

Resumo

  • O Nothing Chats, serviço que leva o iMessage para dispositivos Android, pode ter um sério problema de segurança. Descobriu-se que não usa criptografia ao enviar credenciais de login da Apple, tornando-o potencialmente vulnerável a um ataque man-in-the-middle.
  • Nada afirma que o texto simples visto por um desenvolvedor é uma versão tokenizada das credenciais do ID Apple, em vez da senha real. A empresa afirma que o token não tem utilidade para malfeitores e garante que os dados do usuário são criptografados e seguros.
  • Nada também diz que o uso do termo “BlueBubble” na codificação dos Chats é uma coincidência e não está relacionado ao backend de chat não criptografado de mesmo nome.


O iMessage da Apple tem um controle tão forte sobre a situação das mensagens nos Estados Unidos que empresas como a Nothing sentem que precisam tomar medidas drásticas para amenizar as preocupações dos clientes em potencial com a bolha verde. No início desta semana, o mundo da tecnologia ficou boquiaberto quando a marca de smartphones focada em design anunciou que levaria o iMessage para seus dispositivos Android usando um serviço chamado Sunbird, que encaminha mensagens dos servidores da Apple para um aplicativo cliente chamado Nothing Chat. Já havíamos visto hacks de terceiros semelhantes antes, mas um OEM oferecendo essa funcionalidade gratuitamente quase parecia bom demais para ser verdade. Agora parece que pode haver um sério problema de segurança com a implementação do iMessage do Nothing.

A empresa anunciado hoje mesmo que o Nothing Chats estava disponível na Play Store, e os desenvolvedores do Texts, um serviço concorrente que oferece funcionalidade semelhante ao Sunbird, não perderam tempo investigando o código. O fundador da Texts, Kishan Bagaria, afirma que o back-end de encaminhamento de iMessage da Sunbird em telefones Nothing está sendo executado em uma instância do BlueBubbles, uma solução de código aberto destinada principalmente a usuários finais que desejam encaminhar iMessages para seus telefones que não sejam da Apple a partir de seu Mac .

Mas a revelação mais contundente, se for verdade, é que descobriu-se que a implementação do iMessage do Nothing não usa nenhum tipo de criptografia ao enviar suas credenciais de login da Apple – na verdade, Bagaria diz que esses dados extremamente confidenciais estão sendo enviados como texto simples por HTTP, não até mesmo HTTPS.

Bagaria continua explicando que o backend BlueBubble supostamente usado pelo Sunbird não suporta criptografia de ponta a ponta. No entanto, as perguntas frequentes do BlueBubble afirmam que “todas as conexões são feitas por HTTPS/WSS e utilizam criptografia TLS por padrão”, portanto, provavelmente haveria alguma forma de criptografia, talvez não em todos os pontos do trânsito.

Essas afirmações parecem contradizer diretamente as declarações feitas por Nothing antes do lançamento dos Chats. Anteriormente, a empresa havia declarado que “todas as mensagens do Chats são criptografadas de ponta a ponta, o que significa que nem nós nem o Sunbird podemos acessar as mensagens que você está enviando e recebendo”. Sobre mensagens e seu ID Apple em particular, diz “A arquitetura do Sunbird fornece um sistema para entregar uma mensagem de um usuário para outro sem nunca armazená-la em qualquer ponto de sua jornada”. Nada co-fundador Akis Evangelidis chegou a dizer que “as mensagens são criptografadas de ponta a ponta”.

Para ser justo, nem o FAQ do Nothing Chat da empresa nem o tweet de seu cofundador abordam especificamente a criptografia de credenciais, que é o foco do tweet de Bagaria. E em uma declaração ao 9to5Google, Nothing explicou que o texto simples visto por Bagaria é uma versão tokenizada das credenciais do ID Apple, em vez da senha real:

Depois que o ID Apple é fornecido, seja ele existente ou recém-criado, ele é tokenizado em um banco de dados criptografado e os dados do ID Apple são destruídos. O token não tem utilidade para malfeitores, pois não contém nenhuma informação sensível, como seu ID Apple, e os dados que você forneceu inicialmente são excluídos automaticamente, garantindo que seu ID Apple esteja seguro e em nenhum momento vulnerável a malfeitores.

Um porta-voz da Nothing também forneceu contexto sobre o uso de HTTP e BlueBubbles – em relação a este último, a empresa afirma que o código descoberto com este nome é apenas uma coincidência:

Embora o protocolo seja HTTP, todos os dados são criptografados e a chave usada para criptografar esses dados é fornecida via HTTPS para que as credenciais da Apple ou as mensagens enviadas por meio dessa solicitação HTTP sejam seguras e não abertas ao público. Todos os dados confidenciais do usuário, como credenciais e mensagens do ID Apple, são criptografados o tempo todo. O HTTP é usado apenas como parte da solicitação inicial única do aplicativo, notificando o back-end sobre a próxima iteração de conexão do iMessage que ocorrerá por meio de um canal de comunicação independente.

Em relação à outra parte de seu tweet, anos atrás, quando os servidores estavam sendo construídos, o cofundador da Sunbird os chamou de Blue Bubbles. O Sunbird/Chats não usa uma instância da tecnologia de outra pessoa – a nomenclatura é estritamente coincidência.

Enquanto isso, a Apple anunciou que adicionará a funcionalidade RCS ao iMessage em 2024, e sua implementação oferecerá suporte ao Perfil Universal e criptografia ponta a ponta. Portanto, mesmo quando você leva em consideração as explicações do Nothing, considerando há quanto tempo esperamos por uma experiência decente de mensagens entre Android e iOS, pode ser conveniente que os usuários do Nothing Phone esperem mais alguns meses e simplesmente conversem com RCS com seus colegas do iPhone.