Rien n'a récemment retenu l'attention de la communauté technologique pour sa tentative de apporter iMessage aux utilisateurs d'Android avec Nothing Chats. Ce service promet de changer la donne dans la messagerie instantanée, mais il en est désormais le cœur Les préoccupations de sécurité. découverte Le fait que les identifiants de connexion Apple puissent être envoyés sans cryptage adéquat soulève de sérieuses inquiétudes quant à la protection des données des utilisateurs.
MISE À JOUR À LA FIN DE L'ARTICLE
Problèmes de sécurité : iMessage pour Android en danger ?
Malgré les affirmations initiales de Nothing en matière de sécurité et de cryptage de bout en bout des messages, une analyse technique récente suggère que les informations d'identification Apple sont envoyées de manière non sécurisée. Les experts dans le domaine de la cybersécurité ont exprimé des préoccupations spécifiques concernant la méthode de transmission des informations d'identification et la manque de cryptage. Cette faille de sécurité pourrait exposer les utilisateurs à des risques d'attaques de l'homme du milieu ou à d'autres problèmes de sécurité.
En réponse aux allégations, Nothing a fourni des éclaircissements, affirmant que les informations d'identification sont effectivement tokenisées et conservées dans une base de données cryptée, insistant sur la sécurité de leur système. Cependant, ces explications n’ont pas complètement apaisé les craintes concernant la sécurité des données des utilisateurs, laissant ouvertes certaines questions sur la véracité et l’efficacité des mesures de sécurité adoptées.
En bref, iMessage pour Android pourrait être quelque chose de vraiment révolutionnaire, même s'il n'est pas totalement compatible entre les deux écosystèmes (Apple et Android). En matière de sécurité, on le sait, la pomme croquée est bel et bien véhicule blindé correctement, tandis que l'autre système, étant open source, pourrait trouver des astuce pour contourner ces règles de sécurité.
La comparaison de la sécurité d'iMessage d'Apple avec la mise en œuvre de Nothing Chats met en évidence des différences notables dans la protection des données et l'utilisation du cryptage. Pendant iMessage est connu pour sa sécurité robuste, les récentes révélations sur Nothing Chats soulèvent des doutes sur la fiabilité du service en matière de protection des informations sensibles des utilisateurs.
Quels sont les problèmes avec iMessage pour Android ?
Bien que nous ayons décrit de manière adéquate les problèmes, nous pensons qu'il est nécessaire de faire un diagramme pour rendre plus clairs les problèmes qui sont apparus :
- utilisation de la technologie Sunbird: Nothing Chats utilise la technologie Sunbird pour implémenter iMessage d'Apple sur les appareils Android. Cela nécessite que les utilisateurs fournissent leur identifiant Apple ;
- processus de tokenisation et de destruction des données: Malgré les affirmations de Nothing concernant la tokenisation de l'identifiant Apple dans une base de données cryptée et la destruction ultérieure des données d'identification Apple originales, des doutes subsistent quant à la sécurité réelle de ces processus ;
- manque de chiffrement de bout en bout efficace: Contrairement aux affirmations de Nothing, le chiffrement de bout en bout et la confidentialité semblent être compromis ;
- utiliser HTTP au lieu de HTTPS: Nothing Chats envoie les informations d'identification de l'utilisateur via HTTP en texte brut, plutôt que d'utiliser HTTPS, qui est une norme plus sécurisée ;
- utilisation du serveur BlueBubbles: Le backend de Nothing Chats est basé sur un serveur BlueBubbles plutôt que sur un Mac Mini : le premier ne prend pas en charge le cryptage de bout en bout ;
- déclarations contradictoires sur BlueBubbles et Sunbird: Rien ne permet d'affirmer que l'utilisation du terme BlueBubbles n'est qu'une coïncidence et que Sunbird n'utilise pas la technologie BlueBubbles. Cependant, ils n’ont fourni aucune explication sur le manque d’utilisation de HTTPS ;
- Préserver le texte et les médias non chiffrés sur Firebase: Nothing Chats stocke tous les textes et médias entrants dans un format non chiffré sur Firebase.
MISE À JOUR 19 / 11 / 2023
Comme vous pouvez l'imaginer, iMessage pour Android était retiré du Play Store. Au départ, rien ne semblait indiquer que cela était dû à la découverte de plusieurs bugs qui devaient simplement être corrigés. Cependant, il semble que la vraie raison soit autre, et elle est pire.
Rappelons que l'interaction entre la messagerie Android et iMessage a lieu à partir d'un tiers. Elle est représentée par la société Sunbird, qui met à sa disposition sa plateforme grâce à laquelle la magie opère. Cependant, il s’est avéré qu’en termes de sécurité des données, cette plate-forme est apparemment bien pire que ce que Sunbird lui-même prétendait. En particulier, il n'y a pas de cryptage de bout en bout.
La plate-forme Sunbird, et donc l'application Nothing Chats, nécessite qu'un nouvel utilisateur de l'application soumette ses informations d'identification Apple pour configurer la synchronisation. Ces données sont alors authentifiez-vous en votre nom à l'aide d'une machine virtuelle exécutant MacOS. Le principal problème est que la requête contenant les informations d'identification de l'utilisateur s'effectue via un canal non crypté (HTTP).
La situation dans son ensemble est plus complexe et largement décrit sur le site Text.Blog, où plusieurs spécialistes expliquent comment ils ont découvert le problème et de quoi il s'agit. Ils démontrent entre autres qu’il est possible d’obtenir les données personnelles des utilisateurs. donc en fait, Rien ne peut être responsable de la situation.
