Nothing’in iMessage kopyası güvenlik endişeleri sebebiyle Play Store’dan çekildi. Daha çok genç olan bir akıllı telefon markası Nothing tarafından, Android işletim sisteminin uygulama mağazası Play Store’da erişime açılan ve Android kullanıcılarının iPhone kullanan arkadaşlarıyla tıpkı iMessage kullanıyormuş gibi mesajlaşmalarına imkan tanıyan Nothing uygulaması, güvenlik riskleri sebebiyle Play Store’dan engellendi.
Henüz 2 yaşında olmasına rağmen, piyasaya sürdüğü akıllı telefonlarla dikkatleri üzerine toplamayı başaran Nothing markası, OnePlus’ın kurucu ortaklarından biri tarafından, 2021 yılında kurulmuştu. Amacı yenilikçi akıllı telefonlar tasarlayıp, bunları herkesin erişebileceği fiyatlarla sunmak olan Nothing, geçen bu süre zarfında satışa sunduğu az sayıda modelle tüketicileri etkilemeyi başardı. Şimdi marka, geliştirdiği yazılımlarla da adından söz ettirmek istiyor ve iMessage’ı Android’e getiren uygulaması da bunlardan bir tanesi. Fakat bir sorun var, Nothing’in iMessage kopyası güvenlik endişeleri sebebiyle Play Store’dan çekildi.
Nothing’in iMessage kopyası güvenlik endişeleri sebebiyle Play Store’dan çekildi, uygulama yazışmalarınızı saklıyor
GİYİLEBİLİR KATEGORİSİNDEN İLGİNİZİ ÇEKEBİLİR: Galaxy Fit3’ün Renk Seçenekleri Sızdı!
DONANIM KATEGORİSİNDEN İLGİNİZİ ÇEKEBİLİR: MediaTek Dimensity 8300 Önümüzdeki Hafta Tanıtılacak!
Akıllı telefon markası Nothing, geçtiğimiz hafta başında Google Play uygulama mağazası üzerinden kendi Apple iMessage’ı Nothing Chats uygulamasını erişime açmıştı. İnsanların kendi aralarında rahatça mesaj gönderip alabilmelerine imkan sağlayan Nothing Chats, yayınlanalı daha birkaç gün olmuşken, Play Store’dan çekildi. Ama merak etmeyin, bu geçici bir veda değil.
Nothing, söz konusu gelişmeyi resmi X (Twitter) hesabı üzerinden duyurdu. Markanın uygulamanın yayından kalkmasına karşılık sunduğu resmi gerekçe, şirketin uygulamayı tekrar yayına almadan önce çözmesi gereken birtakım hatalar olduğu yönünde.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Fakat uygulamanın kaldırılmasının nedeni, bize Nothing’in söylediği kadar basit değil gibi görünüyor. Öyle ki Nothing Chats’in, Nothing’in ifade ettiği gibi “hatalar” nedeniyle değil, bazı göze çarpan güvenlik sorunları nedeniyle kaldırıldığı fikrini destekleyecek fazlaca veri elimizde mevcut.
Texts.com yazarı Rida F’kih ve Twitter kullanıcıları @batuhan ve @1ConanEdogowa tarafından yapılan kapsamlı bir teknik analize göre , Nothing’in servis sağlayıcısı Sunbird, sunucuları üzerinden yönlendirilen mesajların uçtan uca şifrelenmesi konusunda biraz sorumsuz davranıyor.
Nothing Chats için iMessage’ın bir kopyası demiştik hatırlarsanız, işte konu da tam burada başlıyor.
Nothing Chats’i kullanmak amacıyla uygulamaya kayıt olmak için, daha önce açıklandığı gibi uygulama etkinleştirildiğinde, karşınıza çıkan sanal bir Mac Mini üzerinden Apple Kimliğinizle oturum açma ekranından, öncelikle Apple ID bilgilerinizi girmeniz gerekiyor. Kişisel bilgilerinizi girdikten sonra bu bilgiler, Sunbird sunucularından geçerek uygulamayı kullanmanıza imkan sağlıyor ve Sunbird ile aranızdaki iletişim, bundan böyle kesintisiz şekilde devam ediyor.
Sunbird’in sözünü ettiği gibi sunucuya gönderilen mesajlar herhangi bir sorun olmaksızın şifreleniyor. Ancak yukarıda adı geçen yazarların keşfettiği gibi, hizmetin ürettiği JSON Web Tokenları veya JWT, SSL olmadan başka bir Sunbird sunucusuna şifrelenmemiş olarak gönderilerek bunların bir saldırgan tarafından ele geçirilmesine olanak tanıyor. Yani bilgileriniz, bu güvenlik açığı sebebiyle kötü niyetli bilgisayar korsanlarının erişimine açık hale geliyor.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
Sorun bununla sınırlı değil, aynı zamanda, sunucuya gönderilen mesajların şifresi çözülüyor ve bu mesajlar, açık şekilde depolanmaya devam ediyor. Bu sayede, saldırganların yazışmalarınıza sizden önce erişebilmesi için fırsat tanınıyor. Texts.com bu durumu, iki cihaz arasında birkaç mesaj göndererek ve JWT’ye müdahale ederek, onlara Firebase gerçek zamanlı veri tabanına erişim sağlayarak kanıtladı.
Bu noktaya kadar ulaştıktan sonra kullanıcı verilerini elde etmek için yapmanız gereken tek şey, 23 satırlık bir kod yazmak. İşte bu kadar. Bu açığı detaylandıran yazar, ek olarak kod hakkında yeterli bilgiye sahip bir kullanıcının, biri Nothing Chats uygulamasını çalıştıran iki cihaz arasında mesaj gönderirken kendi mesajlarına müdahale edebileceği bir web sitesi de tasarladı.
@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/media are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) November 18, 2023
Burada yaşanan gizlilik sorununun temel sebebi Nothing değil, sunucu hizmetini sağlayan Sunbird, öncelikle bunu belirtmek gerek. Fakat bu firmayla çalışmayı seçen Nothing de, görünüşe göre Sunbird hakkında herhangi bir araştırma yapmamış. Tabii, görmezden gelme ihtimalleri de söz konusu ancak bunu niye görmezden gelirsin o da ayrı konu.
Nothing, Nothing Chats uygulamasını tekrar ne zaman yayunlar bu bilinmez. Öte yandan firmanın, uygulamada gizlilik odaklı nasıl değişiklikler yaptığını da bekleyip görmemiz gerekecek.
Tabii ki bir not olarak aklınızda bulunsun, verileriniz şifrelenmiş olsa bile, üçüncü taraf bir platform aracılığıyla Apple Kimliğinize giriş yapmak riskli ve bundan olabildiğince uzak durmanız çok önemli. Zaten Apple da, RCS standardını önümüzdeki yıl itibariyle destekleyeceğini açıkladığından böyle şeylere ihtiyaç kalmayacak gibi görünüyor.
Nothing’in iMessage kopyası güvenlik endişeleri sebebiyle Play Store’dan çekildi, peki siz bu konu hakkında ne düşünüyorsunuz? Fikirlerinizi lütfen yorumlar bölümünden bizimle paylaşın.
