Ρον Αμεντέο
Αποδεικνύεται ότι οι εταιρείες που μπλοκάρουν ερωτήσεις ασφαλείας πολυμέσων στην πραγματικότητα δεν είναι καλές στην ασφάλεια. Την περασμένη Τρίτη, το Nothing Chats, μια εφαρμογή συνομιλίας από τον κατασκευαστή Android “Nothing” και τη νέα εταιρεία εφαρμογών Sunbird, ισχυρίστηκε ευθαρσώς ότι μπορούσε να χακάρει το πρωτόκολλο iMessage της Apple και να δώσει στους χρήστες Android μπλε φυσαλίδες . Αναφέραμε αμέσως στη Sunbird μια εταιρεία που έδινε κενές υποσχέσεις για σχεδόν ένα χρόνο και φαινόταν αμελής όσον αφορά την ασφάλεια. Η εφαρμογή ξεκίνησε την Παρασκευή ούτως ή άλλως και διαλύθηκε αμέσως από το Διαδίκτυο για πολλά ζητήματα ασφαλείας. Δεν κράτησε 24 ώρες πριν το Nothing έβγαλε την εφαρμογή από το Play Store το πρωί του Σαββάτου. Η εφαρμογή Sunbird, της οποίας το Nothing Chat είναι απλώς ένα reskin, έχει επίσης “σταλεί”.
Το αρχικό βήμα πωλήσεων αυτής της εφαρμογής – ότι θα σας συνδέει στο iMessage στο Android αν παραδίδατε το όνομα χρήστη και τον κωδικό πρόσβασής σας στην Apple – ήταν μια τεράστια κόκκινη σημαία ασφαλείας που σήμαινε ότι η Sunbird θα χρειαζόταν εξαιρετικά ασφαλή υποδομή για να αποφύγει την καταστροφή. Αντίθετα, η εφαρμογή αποδείχθηκε όσο το δυνατόν πιο ανασφαλής. Εδώ είναι η δήλωση του Nothing:
Τίποτα Το μήνυμα συνομιλίας είναι κλειστό.
Πόσο σοβαρά είναι τα θέματα ασφαλείας; Το 9to5Google και το Text.com (το οποίο ανήκει στην Automattic, την εταιρεία πίσω από το WordPress) ανακάλυψαν εξαιρετικά κακές πρακτικές ασφαλείας. Όχι μόνο η εφαρμογή δεν ήταν κρυπτογραφημένη από άκρο σε άκρο, όπως ισχυρίστηκαν επανειλημμένα οι Nothing και Sunbird, αλλά η Sunbird κατέγραψε και αποθήκευσε μηνύματα σε απλό κείμενο στο λογισμικό αναφοράς σφαλμάτων Sentry. Και σε κατάστημα Firebase. Τα διακριτικά ελέγχου ταυτότητας στάλθηκαν μέσω μη κρυπτογραφημένου HTTP, ώστε αυτό το διακριτικό να μπορεί να υποκλαπεί και να χρησιμοποιηθεί για την ανάγνωση των μηνυμάτων σας.
Η έρευνα του Text.com ανακάλυψε μια σειρά από τρωτά σημεία. Το ιστολόγιο αναφέρει: «Όταν ένα μήνυμα ή συνημμένο λαμβάνεται από έναν χρήστη, δεν κρυπτογραφούνται από την πλευρά του διακομιστή έως ότου ο πελάτης στείλει ένα αίτημα για επιβεβαίωση της παραλαβής και διαγραφή τους από τη βάση δεδομένων. Αυτό σημαίνει ότι ένας εισβολέας έχει εγγραφεί στη βάση δεδομένων Firebase Realtime. θα εξακολουθεί να έχει πρόσβαση στα μηνύματα πριν ή όπως αυτά διαβάζονται από τον χρήστη.” Το Text.com μπόρεσε να υποκλέψει ένα διακριτικό ελέγχου ταυτότητας που αποστέλλεται μέσω μη κρυπτογραφημένου HTTP και να εγγραφεί στις αλλαγές που έγιναν στη βάση δεδομένων. Αυτό σήμαινε ζωντανές ενημερώσεις των “εισερχόμενων μηνυμάτων, εξερχόμενα μηνύματα, αλλαγές λογαριασμού κ.λπ.» όχι μόνο από τους ίδιους, αλλά και από άλλους χρήστες.
Το Text.com κυκλοφόρησε μια εφαρμογή proof-of-concept που μπορεί να ανακτήσει τα υποτιθέμενα κρυπτογραφημένα μηνύματά σας από τους διακομιστές της Sunbird. Batuhan Içöz, μηχανικός προϊόντων για το Text.com, κυκλοφόρησε επίσης ένα εργαλείο που θα αφαιρέσει ορισμένα από τα δεδομένα σας από τους διακομιστές της Sunbird. Ο Içöz συνιστά σε όλους τους χρήστες του Sunbird/Nothing Chat να αλλάξουν τώρα το Apple ID τους, να ανακαλέσουν τη συνεδρία Sunbird και “να υποθέσουν ότι τα δεδομένα σας έχουν ήδη παραβιαστεί”.
9to5Google Ντύλαν Ρουσέλ ερεύνησε την εφαρμογή και διαπίστωσε ότι εκτός από όλα τα δημόσια δεδομένα κειμένου, “Όλα τα έγγραφα (εικόνες, βίντεο, ήχοι, PDF, vCard…) που αποστέλλονται μέσω Nothing Chat ΚΑΙ Sunbird είναι δημόσια.” Ο Roussel ανακάλυψε ότι 630.000 αρχεία πολυμέσων αποθηκεύονται αυτήν τη στιγμή από το Sunbird και προφανώς μπορούσε να έχει πρόσβαση σε αυτά. Η εφαρμογή Sunbird προτείνει στους χρήστες να μεταφέρουν vCard (εικονικές επαγγελματικές κάρτες γεμάτες με δεδομένα επικοινωνίας) και ο Roussel ισχυρίζεται ότι τα προσωπικά στοιχεία περισσότερων από 2.300 χρηστών είναι προσβάσιμα. Ο Ρουσέλ αποκαλεί το φιάσκο «ίσως τον μεγαλύτερο «εφιάλτη ιδιωτικότητας» που έχω δει από έναν κατασκευαστή τηλεφώνων εδώ και χρόνια».
Τίποτα δεν είναι μια υπόσχεση ασφάλειας που, απίστευτα, δεν έχει τηρηθεί.
Παρά το γεγονός ότι ήταν η αιτία αυτής της τεράστιας καταστροφής, το Sunbird παρέμεινε απόκοσμα σιωπηλό σε όλο αυτό το χάος. Η σελίδα X της εφαρμογής (πρώην Twitter) εξακολουθεί να μην λέει τίποτα για το Nothing Chats ή το Sunbird που έχει κλείσει. Ίσως αυτό είναι για το καλύτερο, επειδή ορισμένες από τις αρχικές απαντήσεις της Sunbird στις ανησυχίες ασφαλείας που τέθηκαν την Παρασκευή δεν φαίνεται να προέρχονται από έναν ικανό προγραμματιστή. Αρχικά η εταιρεία υπερασπίστηκε τη χρήση του μη κρυπτογραφημένου HTTP για ορισμένες συναλλαγές ιστού, λέγοντας στον Bagaria του Text.com ότι “Το HTTP χρησιμοποιείται μόνο ως μέρος του μεμονωμένου αρχικού αιτήματος της εφαρμογής που ενημερώνει το backend για την επόμενη επανάληψη της σύνδεσης iMessage που θα ακολουθήσει μέσω ενός αυτόνομου καναλιού επικοινωνίας. Από την αρχή, η Sunbird έχει επικεντρωθεί στην ασφάλεια.Η έρευνα του Text.com διευκρίνισε ότι ήταν “ένας διακομιστής Express με ισορροπία φορτίου που δεν εφαρμόζει SSL, επομένως τα αιτήματα μπορούν εύκολα να υποκλαπούν από έναν εισβολέα.” Αυτή η χρήση του HTTP επέτρεψε στο Text.com να υποκλέψει διακριτικά ελέγχου ταυτότητας.
Οι σύγχρονες βέλτιστες πρακτικές ασφαλείας θα έλεγαν ότι δεν είναι ποτέ αποδεκτή η χρήση μη κρυπτογραφημένου HTTP για οποιαδήποτε συναλλαγή στο Διαδίκτυο και πολλές πλατφόρμες αποκλείουν τη μετάδοση HTTP απλού κειμένου από προεπιλογή. Το Chrome εμφανίζει μια προειδοποίηση πλήρους σελίδας όταν προσπαθεί να αποκτήσει πρόσβαση σε μια σελίδα HTTP και ζητά από τον χρήστη να κάνει κλικ σε ένα προειδοποιητικό μήνυμα. Το Android απενεργοποιεί την κυκλοφορία καθαρού κειμένου από προεπιλογή και απαιτεί από έναν προγραμματιστή να ενεργοποιήσει μια ειδική σημαία για την επεξεργασία του αιτήματος. Έργα όπως το Let’s Encrypt όχι μόνο έχουν κάνει τη χρήση του HTTPS εύκολη και δωρεάν, αλλά είναι στην πραγματικότητα Ευκολότερη να κρυπτογραφήσετε τα πάντα γιατί δεν χρειάζεται να αντιμετωπίσετε όλα τα εμπόδια ασφαλείας. Αυτά είναι τα βασικά στοιχεία της χρήσης του διαδικτύου το 2023 και το να βλέπεις έναν προγραμματιστή να τους αντικρούει είναι συγκλονιστικό, ειδικά όταν αυτός ο προγραμματιστής θέλει επίσης να του εμπιστευτεί τον λογαριασμό σου στην Apple. Θα ήταν ένα πράγμα αν ήταν ένα φρικτό λάθος, αλλά η Sunbird θεώρησε ότι ήταν εντάξει!
Τίποτα δεν έμοιαζε πάντα σαν κατασκευαστής Android που να είναι πιο υπερσύγχρονο από το ουσιαστικό, αλλά τώρα μπορούμε να προσθέσουμε “απρόσεκτο” σε αυτή τη λίστα. Η εταιρεία συνδέθηκε με το Sunbird, αναβάθμισε την εφαρμογή της, δημιούργησε έναν ιστότοπο προώθησης και ένα βίντεο στο YouTube και συντόνισε μια κυκλοφορία μέσων με δημοφιλείς χρήστες YouTube, όλα αυτά χωρίς να κάνει καμία επιμέλεια για τις εφαρμογές του Sunbird ή τους ισχυρισμούς ασφαλείας του. Είναι απίστευτο ότι αυτές οι δύο εταιρείες έχουν φτάσει μέχρι εδώ: η κυκλοφορία του Nothing Chats απαιτούσε συστημική αποτυχία ασφάλειας δύο ολόκληρων εταιρειών.
Δεν υπάρχει κανένας ισχυρισμός ότι η εφαρμογή θα επιστρέψει μόλις ξεκινήσει και το Sunbird εργάζεται για να “διορθώσει πολλά σφάλματα”. Όταν ολόκληρη η εφαρμογή σας δημιουργήθηκε χωρίς ανησυχίες για την ασφάλεια, δεν καταλαβαίνω πώς μπορείτε να το διορθώσετε σε μια ή δύο εβδομάδες. Εάν το Nothing Chats επιστρέψει στο Play Store, θα εξακολουθήσει κάποιος να το εμπιστεύεται αρκετά ώστε να εισαγάγει τα διαπιστευτήριά του;