שום דבר לא זכה לאחרונה לתשומת לב בקהילת הטכנולוגיה על הניסיון שלו לעשות זאת להביא iMessage למשתמשי אנדרואיד עם Nothing Chats. שירות זה מבטיח מחליף משחק בהודעות מיידיות, אך כעת הוא בלב שלו דאגות בטיחות. גילוי כי ניתן לשלוח אישורי כניסה של אפל ללא הצפנה נאותה מעוררת חששות רציניים לגבי ההגנה על נתוני המשתמש.
עדכן בסוף המאמר
חששות אבטחה: iMessage עבור אנדרואיד בסיכון?
למרות הטענות הראשוניות של Nothing לגבי אבטחה והצפנת הודעות מקצה לקצה, ניתוח טכני אחרון מרמז שאישורי אפל נשלחים בצורה לא מאובטחת. מומחים בתחום אבטחת הסייבר העלו חששות ספציפיים לגבי שיטת העברת האישורים וה חוסר הצפנה. פער אבטחה זה עלול לחשוף את המשתמשים לסיכונים של התקפות אדם-באמצע או בעיות אבטחה אחרות.
בתגובה להאשמות, דבר לא סיפק הבהרה, בטענה שהאישורים מאושרים למעשה ונשמרים במסד נתונים מוצפן, מתעקשים על אבטחת המערכת שלהם. עם זאת, ההסברים הללו לא הפיגו לחלוטין את החששות לגבי אבטחת נתוני המשתמש, והותירו כמה שאלות פתוחות לגבי אמיתותם ויעילותם של אמצעי האבטחה שננקטו.
בקיצור, iMessage לאנדרואיד יכול להיות משהו מהפכני באמת, אם כי לא לגמרי תואם בין שתי המערכות האקולוגיות (אפל ואנדרואיד). מבחינת אבטחה, כידוע, התפוח הנגוס הוא אכן רכב משוריין כמו שצריך, בעוד שהמערכת האחרת, בהיותה קוד פתוח, יכולה למצוא כמה טריק לעקוף את תקנות הבטיחות הללו.
השוואת האבטחה של iMessage של אפל ליישום של Nothing Chats מדגישה הבדלים בולטים בהגנה על נתונים ובשימוש בהצפנה. בזמן iMessage ידועה באבטחה החזקה שלה, גילויים אחרונים על Nothing Chats מעלים ספקות לגבי מהימנות השירות בכל הנוגע להגנה על מידע רגיש של משתמשים.
מהן הבעיות עם iMessage עבור אנדרואיד?
למרות שתיארנו בצורה מספקת מהן הבעיות, אנו מרגישים שיש צורך ליצור דיאגרמה כדי להבהיר את הבעיות שהופיעו:
- שימוש בטכנולוגיית Sunbird: Nothing Chats משתמש בטכנולוגיית Sunbird כדי ליישם את iMessage של אפל במכשירי אנדרואיד. זה מחייב את המשתמשים לספק את מזהה Apple שלהם;
- תהליך של טוקניזציה והרס נתונים: למרות הטענות של Nothing לגבי האסימון של Apple ID במסד נתונים מוצפן וההשמדה שלאחר מכן של נתוני Apple ID המקוריים, נותרו ספקות לגבי האבטחה בפועל של תהליכים אלה;
- היעדר הצפנה יעילה מקצה לקצה: בניגוד לטענות של Nothing, נראה שההצפנה והפרטיות ממשית מקצה לקצה נפגעו;
- השתמש ב-HTTP במקום ב-HTTPS: Nothing Chats שולח אישורי משתמש דרך HTTP בטקסט רגיל, במקום להשתמש ב-HTTPS, שהוא תקן מאובטח יותר;
- שימוש בשרת BlueBubbles: הקצה האחורי של Nothing Chats מבוסס על שרת BlueBubbles ולא על Mac Mini: הראשון אינו תומך בהצפנה מקצה לקצה;
- הצהרות סותרות על BlueBubbles ו-Sunbird: שום דבר לא טען שהשימוש במונח BlueBubbles הוא רק צירוף מקרים וכי Sunbird לא משתמש בטכנולוגיית BlueBubbles. עם זאת, הם לא סיפקו הסבר לחוסר השימוש ב-HTTPS;
- שמירה על טקסט ומדיה לא מוצפנים ב-Firebase: Nothing Chats מאחסן את כל הטקסטים והמדיה הנכנסים בפורמט לא מוצפן ב-Firebase.
עדכון 19/11/2023
כפי שאתה יכול לדמיין, iMessage עבור אנדרואיד היה הוצא מחנות Play. בתחילה נראה ששום דבר לא אמר שזה נעשה עקב גילוי של מספר באגים שפשוט היה צריך לתקן. אולם נראה שהסיבה האמיתית היא אחרת, והיא גרועה יותר.
נזכיר כי האינטראקציה בין ה-Android Messenger ל-iMessage מתרחשת מצד שלישי. היא מיוצגת על ידי חברת Sunbird, המספקת לה את הפלטפורמה שדרכה מתרחש הקסם. עם זאת, התברר שמבחינת אבטחת מידע, הפלטפורמה הזו ככל הנראה גרועה בהרבה ממה שסאנבירד עצמה טענה. באופן מיוחד, אין הצפנה מקצה לקצה.
פלטפורמת Sunbird, ולפיכך אפליקציית Nothing Chats, דורשת ממשתמש חדש באפליקציה לשלוח את אישורי Apple ID שלו כדי להגדיר סנכרון. הנתונים האלה הם אז אימות בשמך באמצעות מכונה וירטואלית המריץ MacOS. הבעיה העיקרית היא שהבקשה המכילה את האישורים של המשתמש מתרחשת בערוץ לא מוצפן (HTTP).
המצב בכללותו מורכב יותר והוא רחב המתואר באתר TExt.Blog, שם מספר מומחים מסבירים כיצד הם גילו את הבעיה ומה היא. בין היתר הם מדגימים כי ניתן להשיג נתונים אישיים של משתמשים. אז למעשה, שום דבר לא יכול להיות אחראי למצב.
