Mesajları kendi Mac‘iniz üzerinden veya uzak bir sunucu grubu aracılığıyla yönlendirerek iMessage‘ı Android‘e getirmek için pek çok yöntem bulacaksınız, ancak bir telefon üreticisi olarak Nothing‘in ağırlığını bu çözümlerden birinin arkasına koyması kesinlikle riski artırıyor.
Nothing Sohbetler‘in başlatılmasının ardından ilk güvenlik endişelerinin çevrimiçi olarak ortaya çıkması yalnızca birkaç saat sürdü. Şimdi, uygulamanın Play Store‘a gelmesinden sadece bir gün sonra, Nothing Sohbetler rüyası bir kabusa dönüşüyor gibi görünüyor.
Nothing, en başından beri, Beeper veya AirMessage gibi benzer uygulamalara rakip olan ürününün, iMessage kullanıcılarına uçtan uca şifrelenmiş mesajlar göndermenin bir yolu olarak reklamını yapmıyordu. Dün, uygulamanın Play Store‘da piyasaya sürülmesinin ardından Kishan Bagaria (başka bir rakip hizmet olan Texts’in kurucusu), platformun kimlik bilgilerini HTTPS yerine düz metin HTTP üzerinden gönderdiğini tweetledi. Nothing, yaptığı açıklamada bu bulguları küçümsemedi ve şifreleme anahtarlarının HTTPS kullanması nedeniyle her şeyin orantısız olduğunu iddia etti.
9to5Google ekibi bu sabah sert bir makale yayınladı ve kendi bulgularını Twitter kullanıcısı Wukko‘ya bağlayarak işlerin düşündüğünüzden çok daha kötü olduğunu kanıtladı. Bu, her bir mesajı düz metin olarak kaydetmek için Sentry adlı bir geliştirici sorun giderme uygulamasını kullanan ve aynı zamanda bu verileri neredeyse herkesin bulması için Firebase‘de şifrelenmemiş olarak depolayan bir gizlilik çözümü. Bu yalnızca kısa mesajlarınız değil; resimler, videolar, kullanıcı adları, telefon numaraları ve doğrudan uygulama aracılığıyla gönderilen diğer her şeyi içeriyor. Ve Nothing Sohbetler‘in, kullanıcılarından verilerini vCard aracılığıyla kişilere göndermelerini özellikle talep ettiği göz önüne alındığında, bu çok büyük bir sorun.
9to5Google‘dan Dylan Roussel, bulgularını bir Twitter başlığında daha ayrıntılı bir şekilde açıkladı ve 600.000’den fazla medya parçasının fiilen kamuya açık olduğunu vurguladı. Bu sayıya resimler, PDF’ler ve daha fazlasının yanı sıra tamamı Nothing’s Firebase sunucusundan indirilebilen 2.300 vCard dahil. Bu raporun ortaya koyduğu gibi tüm bu veriler, uygulamanın güvenli olmayan JSON Web Belirteçleri ile kimlik doğrulaması yapan herhangi bir kullanıcı tarafından gerçek zamanlı olarak mevcut ve erişilebilir durumda. Texts ayrıca kendi ilk bulgularını da genişleterek bu güvenlik açıklarını kapsamlı bir blog gönderisinde gösterdi.
9to5Google‘a göre yayın, Cuma gecesi keşfettikten sonra bu güvenlik kusurlarına ilişkin uyarıda bulundu. Şirket, Reddit‘teki raporlara göre başlangıçta uygulamasına yönelik herhangi bir spesifik eylem duyurmasa da, konumlarına bağlı olarak Nothing Sohbetler‘e erişimi olması gereken kullanıcılar, uygulamayı Play Store‘dan indiremedi. Tabii ki, bu hikayenin yayınlanmasından kısa bir süre önce, Twitter‘da hiçbir şey lansmanın “birkaç hatayı” düzeltmek için “geciktirildiğini” belirten bir açıklamada doğrulanmadı.
Eğer bir Nothing Phone 2 kullanıcısıysanız, olayların bu gidişatından dolayı üzgün hissediyorsanız, Cuma günü mesaj göndermeye çalışırken Nothing Sohbetler‘in genel olarak oldukça bozuk göründüğünü belirtmekte fayda var.
Nothing‘in, mesajlaşma platformunun burada yarattığı büyük güven ihlalini aşması zor olacak. Büyük Android ekosisteminde çok daha küçük bir marka olarak Nothing, teknoloji meraklısı kullanıcılara ve yorumcuların donanımını düzenli alıcılara tavsiye etmesine bağlı değil ve bunun gibi başarısız bir sunum, bunu çok daha zorlaştırıyor.
iMessage geçici çözümü konusunda Sunbird‘e güvenmek, genel anlamda büyük bir yanlış adım gibi görünüyor; daha da kötüsü, web’deki kullanıcıların güvenlikteki bu açıkları ne kadar çabuk bulduğu. Ya mesajlaşma uygulamasının şifrelendiği konusunda Nothing yalan söylemedi ya da bu protokolleri kendisi için test etmek zaman almadı. Her iki durumda da, çok çok kötü bir tablo var.
Tamamen açık olmak gerekirse, Play Store‘da mevcut olsun veya olmasın, Nothing Sohbetler veya Sunbird‘ü kullanmamalısınız.
