Bu hafta başlarında piyasaya sürülen iMessage alternatifi Nothing Chats uygulaması, Google Play Store‘dan kaldırıldı. Uygulamanın gerisindeki şirket Nothing, başlangıçta kaldırmanın ‘düzeltilmesi gereken birkaç hatadan’ kaynaklandığını belirtti.
Ancak, güvenlik araştırmacıları tarafından yapılan kapsamlı bir teknik tahlil, uygulamanın kaldırılmasının muhtemelen kıymetli güvenlik telaşlarından kaynaklandığını öne sürüyor. Texts.com’un Kurucusu Kishan Bagaria, bu tasaları birinci olarak X/Twitter’da lisana getirdi. Daha sonra Texts.com grubu, uygulamanın güvenlik açıklarını detaylı bir formda anlatan bir blog yayımladı.
Yapılan inceleme, Nothing’in servis sağlayıcısı Sunbird’in, sunucularından yönlendirilen bildirilerin uçtan uca şifrelemesi hakkında kullanıcıları yanılttığını ortaya çıkardı. Sunbird’in sunucularına gönderilen iletiler şifrelenmiş olsa da, hizmet tarafından oluşturulan JSON Web Token’lar (JWT) öteki bir Sunbird sunucusuna şifrelenmemiş olarak gönderildi ve böylelikle ortaya girme riskine açık hale geldi.
Nothing’e büyük şok: Güvenlik nedeniyle kaldırıldı!
Ayrıca, bildiriler Sunbird sunucularında şifresiz olarak depolandı ve böylelikle yetkisiz erişime açık bırakıldı. Texts.com, iki aygıt ortasında değiştirilen JWT’ları ele geçirerek Firebase gerçek vakitli veritabanına erişim sağlayarak bunu kanıtladı. Araştırmacılar, yalnızca 23 satır kod kullanarak JWT token’larını ele geçirebilir ve kullanıcı bilgilerine ve sohbetlere erişebilirler.
Gizlilik sıkıntıları direkt Sunbird’e atfedilebilirken, Nothing şirketi, bu şirketle çalışmayı tercih ettiği ve durumu ‘hatalar’ olarak küçümseyerek durumun ciddiyetini azalttığı için eleştirildi. Apple’ın RCS dayanağı duyurusuyla birlikte, Nothing Chats uygulamasının cazibesi daha da azaldı. Kullanıcılar, Apple ID’leriyle üçüncü taraf hizmetlerine giriş yaparken, şifreleme vaat edilse bile dikkatli olmalıdırlar.
Nothing Chats’ın bu güvenlik tasalarını ele alıp Play Store’a başarılı bir halde geri dönüp dönemeyeceği şimdi meçhul.
Kaynak; https://www.teknolojioku.com/mobil/nothinge-buyuk-sok-guvenlik-nedeniyle-kaldirildi-655b1d9bcc4ce84af504cc5a
