Ρον Αμεντέο
Αποδεικνύεται ότι οι εταιρείες που απαντούν σε ερωτήσεις ασφαλείας από τα μέσα ενημέρωσης δεν είναι στην πραγματικότητα καλές στην ασφάλεια. Την Τρίτη, το Nothing Chats – μια εφαρμογή συνομιλίας από τον κατασκευαστή Android “Nothing” και την εταιρεία νέων εφαρμογών Sunbird – ισχυρίστηκε ευθαρσώς ότι ήταν σε θέση να χακάρει το πρωτόκολλο iMessage της Apple και να δώσει στους χρήστες Android μπλε φυσαλίδες. Αμέσως αναφέραμε τη Sunbird ως εταιρεία που έδινε κενές υποσχέσεις για σχεδόν ένα χρόνο και φαινόταν χαλαρή ως προς την ασφάλεια. Η εφαρμογή ξεκίνησε την Παρασκευή ούτως ή άλλως και διαλύθηκε αμέσως από το διαδίκτυο για πολλά θέματα ασφαλείας. Δεν είχαν περάσει 24 ώρες πριν το Nothing απέσυρε την εφαρμογή από το Play Store το πρωί του Σαββάτου. Η εφαρμογή Sunbird, της οποίας το Nothing Chat είναι απλώς μια επανασχεδίαση, έχει επίσης τεθεί σε “αναμονή”.
Το αρχικό βήμα πωλήσεων αυτής της εφαρμογής – ότι θα σας επέτρεπε να συνδεθείτε στο iMessage στο Android εάν παραδίδατε το όνομα χρήστη και τον κωδικό πρόσβασής σας στην Apple – ήταν μια τεράστια κόκκινη σημαία ασφαλείας που σήμαινε ότι η Sunbird θα χρειαζόταν μια εξαιρετικά ασφαλή υποδομή για να αποφύγει την καταστροφή. Αντίθετα, η εφαρμογή αποδείχθηκε όσο πιο ανασφαλής θα μπορούσατε να είστε. Εδώ είναι η δήλωση του Nothing:
Τίποτα Κλειστή ανάρτηση συνομιλίας.
Πόσο σοβαρά είναι τα προβλήματα ασφαλείας; Τόσο το 9to5Google όσο και το Text.com (που ανήκει στην Automattic, την εταιρεία πίσω από το WordPress) έχουν αποκαλύψει απίστευτα κακές πρακτικές ασφαλείας. Όχι μόνο η εφαρμογή δεν ήταν κρυπτογραφημένη από άκρο σε άκρο, όπως έχουν ισχυριστεί πολλές φορές η Nothing και η Sunbird, αλλά η Sunbird κατέγραφε και αρχειοθέτησε μηνύματα σε απλό κείμενο και στα δύο λογισμικά αναφοράς σφαλμάτων Sentry ΚΑΙ σε κατάστημα Firebase. Τα διακριτικά ελέγχου ταυτότητας στάλθηκαν μέσω μη κρυπτογραφημένου HTTP, ώστε αυτό το διακριτικό να μπορεί να υποκλαπεί και να χρησιμοποιηθεί για την ανάγνωση των μηνυμάτων σας.
Η έρευνα του Text.com αποκάλυψε μια σειρά από τρωτά σημεία. Το ιστολόγιο λέει: “Όταν ένα μήνυμα ή συνημμένο λαμβάνεται από έναν χρήστη, δεν κρυπτογραφείται από την πλευρά του διακομιστή έως ότου ο πελάτης στείλει ένα αίτημα επιβεβαίωσης και διαγραφής από τη βάση δεδομένων. Αυτό σημαίνει ότι ένας εισβολέας έχει εγγραφεί στο Firebase Realtime DB να έχετε πάντα πρόσβαση στα μηνύματα πριν ή τη στιγμή που διαβάζονται από τον χρήστη.” Το Text.com μπόρεσε να υποκλέψει ένα διακριτικό ελέγχου ταυτότητας που εστάλη μέσω μη κρυπτογραφημένου HTTP και να εγγραφεί στις αλλαγές που έγιναν στη βάση δεδομένων. Αυτό σήμαινε ενημερώσεις σε πραγματικό χρόνο για τα “Εισερχόμενα, εξερχόμενα μηνύματα, αλλαγές λογαριασμού κ.λπ.”. όχι μόνο από τους ίδιους, αλλά και από άλλους χρήστες.
Το Text.com κυκλοφόρησε μια εφαρμογή proof-of-concept που μπορεί να ανακτήσει τα υποτιθέμενα κρυπτογραφημένα μηνύματά σας από τους διακομιστές της Sunbird. Batuhan Içöz, ένας μηχανικός προϊόντων για το Text.com, κυκλοφόρησε επίσης ένα εργαλείο που θα διαγράψει ορισμένα από τα δεδομένα σας από τους διακομιστές της Sunbird. Ο Içöz συμβουλεύει όλους τους χρήστες του Sunbird/Nothing Chat να αλλάξουν αμέσως το Apple ID τους, να ανακαλέσουν τη συνεδρία Sunbird και “να υποθέσουν ότι τα δεδομένα σας έχουν ήδη παραβιαστεί”.
9to5Google Ντύλαν Ρουσέλ εξέτασε την εφαρμογή και διαπίστωσε ότι, εκτός από όλα τα δημόσια δεδομένα κειμένου, “όλα τα έγγραφα (εικόνες, βίντεο, ήχος, PDF, vCard…) που αποστέλλονται μέσω Nothing Chat ΚΑΙ Sunbird είναι δημόσια.” Ο Roussel διαπίστωσε ότι το Sunbird αποθηκεύει επί του παρόντος 630.000 αρχεία πολυμέσων και προφανώς μπορεί να έχει πρόσβαση σε αυτά. Η εφαρμογή Sunbird προτείνει στους χρήστες να μεταφέρουν vCard, εικονικές επαγγελματικές κάρτες γεμάτες με δεδομένα επικοινωνίας και ο Roussel λέει ότι τα προσωπικά στοιχεία περισσότερων από 2.300 χρηστών είναι προσβάσιμα. Ο Ρουσέλ αποκαλεί το όλο φιάσκο «ίσως τον μεγαλύτερο «εφιάλτη ιδιωτικότητας» που έχω δει για έναν κατασκευαστή τηλεφώνων εδώ και χρόνια».
Χωρίς υποσχέσεις ασφάλειας, οι οποίες απίστευτα δεν τηρήθηκαν.
Παρά το γεγονός ότι είναι η αιτία αυτής της τεράστιας καταστροφής, το Sunbird παρέμεινε παράξενα σιωπηλός σε όλο αυτό το χάος. Η σελίδα X της εφαρμογής (πρώην Twitter) δεν αναφέρει τίποτα ακόμα για το κλείσιμο του Nothing Chats ή του Sunbird. Ίσως είναι για το καλύτερο, επειδή ορισμένες από τις πρώτες απαντήσεις της Sunbird σε ανησυχίες για την ασφάλεια που τέθηκαν την Παρασκευή δεν φαίνεται να προέρχονται από έναν ικανό προγραμματιστή. Πρώτα από όλα η εταιρεία υπερασπίστηκε τη χρήση του μη κρυπτογραφημένου HTTP για ορισμένες συναλλαγές ιστού, λέγοντας στον Bagaria του Text.com ότι “Το HTTP χρησιμοποιείται μόνο ως μέρος του αρχικού εφάπαξ αιτήματος της εφαρμογής που ειδοποιεί το backend για την επερχόμενη επανάληψη της σύνδεσης iMessage που θα ακολουθήσει μέσω ενός αυτόνομου καναλιού επικοινωνίας. Από την αρχή, η Sunbird έχει επικεντρωθεί στην ασφάλεια.“Η έρευνα του Text.com διευκρίνισε ότι ήταν “ένας διακομιστής Express με ισορροπία φορτίου που δεν εφαρμόζει SSL, επομένως τα αιτήματα μπορούν εύκολα να υποκλαπούν από έναν εισβολέα.” Αυτή η χρήση του HTTP επέτρεψε στο Text.com να υποκλέψει διακριτικά ελέγχου ταυτότητας.
Οι σύγχρονες βέλτιστες πρακτικές ασφαλείας θα έλεγαν ότι δεν είναι ποτέ εντάξει να χρησιμοποιείτε μη κρυπτογραφημένο HTTP για οποιαδήποτε συναλλαγή στο Διαδίκτυο και πολλές πλατφόρμες αποκλείουν εντελώς τη μετάδοση HTTP απλού κειμένου από προεπιλογή. Το Chrome εμφανίζει μια προειδοποίηση πλήρους σελίδας όταν προσπαθεί να αποκτήσει πρόσβαση σε μια σελίδα HTTP και ζητά από τον χρήστη να κάνει κλικ σε ένα προειδοποιητικό μήνυμα. Το Android απενεργοποιεί την κυκλοφορία καθαρού κειμένου από προεπιλογή και απαιτεί από έναν προγραμματιστή να ενεργοποιήσει μια ειδική σημαία για την επεξεργασία του αιτήματος. Έργα όπως το Let’s Encrypt όχι μόνο έχουν κάνει τη χρήση HTTPS δωρεάν και εύκολη, αλλά στην πραγματικότητα είναι Ευκολότερη να κρυπτογραφήσετε τα πάντα γιατί δεν χρειάζεται να αντιμετωπίσετε όλα τα εμπόδια ασφαλείας. Αυτά είναι τα βασικά στοιχεία της χρήσης του Διαδικτύου το 2023, και το να βλέπεις οποιονδήποτε προγραμματιστή να αντιτάσσεται είναι συγκλονιστικό, ειδικά όταν αυτός ο προγραμματιστής θέλει επίσης να εμπιστευτεί τον λογαριασμό σου στην Apple. Θα ήταν ένα πράγμα αν αυτό ήταν ένα φρικτό λάθος, αλλά η Sunbird θεώρησε ότι ήταν εντάξει!
Τίποτα δεν έμοιαζε πάντα με έναν κατασκευαστή Android που ήταν περισσότερο διαφημιστική εκστρατεία από την ουσία, αλλά τώρα μπορούμε να προσθέσουμε “αμέλεια” σε αυτήν τη λίστα. Η εταιρεία προσδέθηκε στο Sunbird, αναβάθμισε την εφαρμογή της, δημιούργησε έναν προωθητικό ιστότοπο και βίντεο στο YouTube και συντόνισε ένα δελτίο τύπου με δημοφιλείς YouTubers, όλα αυτά χωρίς να κάνει ούτε την παραμικρή δέουσα επιμέλεια για τις εφαρμογές του Sunbird ή τις δηλώσεις ασφαλείας του. Είναι απίστευτο ότι αυτές οι δύο εταιρείες έχουν φτάσει σε αυτό το σημείο: η κυκλοφορία του Nothing Chats απαιτούσε συστημική αποτυχία ασφάλειας δύο ολόκληρων εταιρειών.
Τίποτα δεν αναφέρει ότι η εφαρμογή θα αποκατασταθεί μόλις οι Sunbird και Sunbird δουλέψουν για να “διορθώσουν πολλά σφάλματα”. Όταν ολόκληρη αυτή η εφαρμογή δημιουργήθηκε φαινομενικά χωρίς ανησυχίες για την ασφάλεια, δεν καταλαβαίνω πώς μπορείτε να τη διορθώσετε σε μία ή δύο εβδομάδες. Εάν το Nothing Chats επιστρέψει στο Play Store, θα εξακολουθήσει κάποιος να το εμπιστεύεται αρκετά ώστε να εισαγάγει τα διαπιστευτήριά του;