L’application iMessage de Nothing était une catastrophe de sécurité, supprimée en 24 heures

Il s’avère que les entreprises qui bloquent les questions de sécurité des médias ne sont en réalité pas bonnes en matière de sécurité. Mardi dernier, Nothing Chats, une application de chat du fabricant Android « Nothing » et de la nouvelle société d’applications Sunbird, a prétendu effrontément être capable de pirater le protocole iMessage d’Apple et de donner des bulles bleues aux utilisateurs d’Android. Nous avons immédiatement signalé à Sunbird une entreprise qui faisait des promesses creuses depuis près d’un an et qui semblait négligente en matière de sécurité. L’application a quand même été lancée vendredi et a été immédiatement réduite en lambeaux par Internet pour de nombreux problèmes de sécurité. Cela n’a pas duré 24 heures ; Rien n’a retiré l’application du Play Store samedi matin. L’application Sunbird, dont Nothing Chat n’est qu’un relookage, a également été mise « en pause ».

L’argumentaire de vente initial de cette application – selon lequel elle vous connecterait à iMessage sur Android si vous communiquiez votre nom d’utilisateur et votre mot de passe Apple – était un énorme signal d’alarme en matière de sécurité qui signifiait que Sunbird aurait besoin d’une infrastructure ultra-sécurisée pour éviter un désastre. Au lieu de cela, l’application s’est avérée aussi peu sécurisée que prévu. Voici la déclaration de Nothing :

À quel point les problèmes de sécurité sont-ils graves ? 9to5Google et Text.com (qui appartient à Automattic , la société derrière WordPress) ont découvert des pratiques de sécurité extrêmement mauvaises . Non seulement l’application n’était pas chiffrée de bout en bout, comme le prétendaient à plusieurs reprises Nothing et Sunbird, mais Sunbird enregistrait et stockait les messages en texte brut à la fois sur le logiciel de rapport d’erreurs Sentry et dans un magasin Firebase. Les jetons d’authentification ont été envoyés via HTTP non chiffré afin que ce jeton puisse être intercepté et utilisé pour lire vos messages.

Text.com a publié une application de validation de principe capable de récupérer vos messages soi-disant cryptés de bout en bout sur les serveurs de Sunbird. Batuhan Içöz , ingénieur produit pour Text.com, a également publié un outil qui supprimera certaines de vos données des serveurs de Sunbird. Içöz recommande à tous les utilisateurs de Sunbird/Nothing Chat de changer leur mot de passe Apple maintenant, de révoquer la session de Sunbird et de « supposer que vos données sont déjà compromises ».

Dylan Roussel de 9to5Google a enquêté sur l’application et a découvert qu’en plus de toutes les données textuelles publiques, « tous les documents (images, vidéos, audios, pdf, vCards…) envoyés via Nothing Chat ET Sunbird sont publics. » Roussel a trouvé 630 000 les fichiers multimédias sont actuellement stockés par Sunbird, et apparemment il pourrait y accéder. L’application de Sunbird suggère aux utilisateurs de transférer des vCards (des cartes de visite virtuelles remplies de données de contact) et Roussel affirme que les informations personnelles de plus de 2 300 utilisateurs sont accessibles. Roussel qualifie ce fiasco de « probablement le plus grand ‘cauchemar en matière de confidentialité’ que j’ai vu chez un fabricant de téléphones depuis des années ».