روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اپ Nothing Chats ساخت شرکت Nothing Phone وعده داده بود چیزی شبیه به آی‌مسیج اندروید –سیستم پیام که پیشتر فقط برای دارندگان آیفون موجود بود-باشد اما به دلیل عدم امنیت شدید در کمتر از 24 ساعت از گوگل پلی حذف شد. در ادامه با ما همراه شوید تا این اتفاق را بررسی کنیم.

Nothing Chats، Sunbird و iMessage برای اندروید

مسنجر Nothing Chats 14 نوامبر 2023 در ویدیویی منتشر شده توسط بلاگر معروف یوتیوب به نام مارکس برانلی (همان MKBHD) اعلام شد. او در مورد این مسنجر جدید ساخت شرکت Nothing برنامه داشت به دارندگان Nothing Phone (که مبتنی بر اندروید است) اجازه دهد از طریق آی‌مسیج با کاربران آی‌اواسی ارتباط بگیرند.

در این ویدیو همچنین مختصراً توضیح داده شد که چطور این مسنجر از نقطه نگاه فنی کار می‌کند. برای شروع، کاربران باید به  Nothing Chats لاگین و رمزعبور به حساب اکانت اپل آی‌دی را بدهند (و اگر آن را هنوز ندارند باید یکی بسازند). بعد از آن، برای غیرمستقیم نقل قول کردن این ویدیو، به این اکانت اپل لاگین می‌شود و بعد از آن هم کامپیوتر ریموت حکم یک رله برای انتقال پیام‌ها از اسمار‌ت‌فون کاربر در سیستم آی مسیج را دارد و بالعکس. برای اعتبار بخشیدن به جایی که باید اعتبار باشد در پایان دقیقه ششم، نویسنده ویدیو تأکید می‌کند که این رویکرد یک سری ریسک‌های جدی دارد. در واقع، لاگین کردن به اپل آی دی روی دستگاه ناشناس که به شما تعلق ندارد (و کسی هم نمی‌داند لوکیشن آن کجاست) به دلایل زیادی ایده بدی است.

شرکت Nothing این حقیقت را از کسی پوشیده نگه نداشته که آی مسیجِ اندروید، ساخت خودش نبوده. این شرکت با شرکت دیگری به نام Sunbird مشارکت داشته پس مسنجر Nothing Chats نوعی شبیه‌سازی سانبرد بود: آی‌مسیج برای کاربرد اندرویدی با تغییراتی در رابط آن. به هر روی، اپ sunbird دسامبر 2022 در مطبوعات اعلام شد اما لانچ اولیه‌ی آن برای طیف وسیعتری از مخاطبین مدام به عقب می‌افتاد.

Nothing Chats و مشکلات امنیتی

بعد از اعلام شدنش، فوراً این شک و شبهات پیش آمد که Nothing و Sunbird با مشکلات جدی امنیت و حریم خصوصی مواجه خواهند شد. همانطور که پیشتر گفتیم، ایده لاگین با اپل آی‌دی روی دستگاه کس دیگری به شدت خطرناک است زیرا این اکانت کنترل کامل روی مقدار قابل توجهی از اطلاعات کاربری می‌دهد (از طریق قابلیت اپل به نام Find My Device). برای اطمینان دادن به کاربران، هم سانبرد و هم ناتینگ روی وبسایت‌های خود اعلام کردند که لاگین‌ها و پسوردها هیچ جایی ذخیره نمی‌شوند، همه پیام‌ها توسط رمزگذاری پایان به پایان محافظت می‌شود و همه‌چیز در امنیت کامل است. با این وجود، واقعیت حتی برنده‌تر و تلخ‌تر از بدترین پیش‌بینی‌ها بود: وقتی این اپ موجود شد خیلی سریع همه پی بردند که یک شکست واقعی بوده و اصلاً چیزی به نام رمزگذاری پایان به پایان در مورد آن وجود نداشته. از این بدتر، همه پیام‌ها و فایل‌های ارسالی یا دریافتی توسط کاربر در قالب رمزگذاری‌نشده همزمان به دو سرویس (پایگاه داده Google Firebase و سرویس نظارت خطای  Sentry جایی که کارمندان سانبرد می‌توانستند به این پیام‌ها دسترسی داشته باشند) توسط Nothing Chats منتقل می‌شده است.

و اگر همه این رسوایی‌ها کافی نبوده بگذارید این را هم اضافه کنیم که نه تنها کارمندان سانبرد بلکه هر کسی علاقمند که علاقمند بوده می توانسته به این پیام‌ها دسترسی داشته باشد! ماجرا این بود که توکن لازم برای احراز در فایربیس توسط این اپ روی کانکشن محافظت شده منتقل می‌شده و از این رو می توانسته رهگیری شود. به تعاقب آن، این توکن به همه پیام‌ها و فایل‌های کاربران مسنجر دسترسی می‌داده است (همانطور که بالاتر گفتیم، همه این داده‌ها در قالب متن ساده به فایربیس ارسال می‌شدند). باری دیگر بگوییم که: باوجود اطمینان از استفاده رمزگذاری پایان به پایان، هر پیامی از سوی کاربر روی Nothing Chats و همه فایل‌های ارسال‌شده توسط آن‌ها (عکس‌ها، ویدیوها و غیره) می‌توانستند توسط همه رهگیری شوند.

یکی از محققینی که در تجزیه و تحلیل آسیب‌پذیری‌های Nothing Chats/Sunbird شرکت داشت، یک وب‌سایت ساده را به عنوان اثبات امکان‌پذیری حمله ایجاد کرد، که به هر کسی اجازه می‌داد ببیند که پیام‌های آنها در iMessage برای اندروید واقعاً می‌تواند به راحتی رهگیری شود. مدت کوتاهی پس از عمومی شدن این آسیب‌پذیری‌ها، Nothing تصمیم گرفت برنامه خود را از فروشگاه Google Play حذف کند «برای رفع چند باگ». با این حال، حتی اگر Nothing Chats یا Sunbird: iMessage برای Android به فروشگاه بازگردد، بهتر است از آنها اجتناب کنید - و همچنین هر برنامه مشابه. این داستان آشکارا نشان داد دادن اجازه برای دسترسی به آی‌مسیج اشتباه بزرگی است و داده‌های کاربری را به خطرات جدی می‌اندازد.

اگر کاربر Nothing Chats هستی این کارها را انجام نده!

•         از یک دستگاه مطمئن وارد حساب Apple ID خود شوید، صفحه دارای سشن فعال (دستگاه‌هایی که وارد آن شده‌اید) را پیدا و سشن مربوط به Nothing Chats/Sunbird را حذف کنید.
•         رمز عبور Apple ID خود را تغییر دهید. این یک اکانت بسیار مهم است، بنابراین توصیه می‌شود از یک توالی بسیار طولانی و تصادفی از کاراکترها استفاده کنید - Kaspersky Password Manager می‌تواند به شما کمک کند یک رمز عبور قابل اعتماد ایجاد و آن را به صورت ایمن ذخیره کنید.
•         برنامه Nothing Chats را حذف نصب کنید.
•         سپس می توانید از ابزاری استفاده کنید که توسط یکی از محققان ایجاد شده است تا اطلاعات خود را از پایگاه داده Sunbird's Firebase حذف کنید.
•         اگر اطلاعات حساسی را از طریق Nothing Chats ارسال کرده اید، باید آن را به عنوان در معرض خطر تلقی کنید و اقدامات مناسب را انجام دهید: تغییر رمز عبور، صدور مجدد کارت و غیره. Kaspersky Premium به شما کمک می‌کند نشت‌های احتمالی داده‌های شخصی خود را که به آدرس‌های ایمیل یا شماره تلفن مرتبط هستند، ردیابی کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.