Nothing a retiré la version bêta de Nothing Chats du Google Play store, expliquant qu’elle “retarde le lancement jusqu’à nouvel ordre”, le temps de corriger “plusieurs bugs”.
L’application promettait de permettre aux utilisateurs de Nothing Phone 2 d’envoyer des SMS avec iMessage, mais il fallait pour cela que Sunbird, qui fournit la plateforme, se connecte aux comptes iCloud des utilisateurs sur ses propres serveurs Mac Mini, ce qui… n’est pas génial ?
La suppression est intervenue après que des utilisateurs ont largement partagé un blog de Texts.com montrant que les messages envoyés avec le système de Sunbird ne sont pas réellement chiffrés de bout en bout – et qu’il n’est pas difficile de les compromettre.
L’application a été lancée en version bêta hier, après avoir été annoncée en début de semaine.
Sunbird has access to every message sent and received through the app. They do this by abusing @getsentry, which is used to monitor errors.
— Dylan Roussel (@evowizz) November 18, 2023
But Sunbird logs messages, pretending they are errors.
Here are part of the requests (img 1, 3) and their entire "message" (img 2, 4) pic.twitter.com/pzwwQVWfOb
9to5Google a pointé vers un fil de discussion de l’auteur du site, Dylan Roussel, qui a découvert qu’une partie de la solution de Sunbird implique le décryptage et la transmission des messages via HTTP à un serveur de synchronisation dans le nuage Firebase et leur stockage en texte clair non crypté.
Dylan Roussel a indiqué que l’entreprise elle-même a accès aux messages car elle les enregistre comme des erreurs à l’aide de Sentry, un service de débogage.
Sunbird a affirmé hier que le protocole HTTP n’est “utilisé que dans le cadre de la demande initiale unique de l’application notifiant le back-end de la connexion iMessage à venir”.
Sunbird répondait ainsi à un internaute qui lui signalait le blog de Texts.com consacré à cette vulnérabilité. Texts.com a écrit qu'”un attaquant abonné à la base de données en temps réel de Firebase sera toujours en mesure d’accéder aux messages avant ou au moment où ils sont lus par l’utilisateur”.
Le blog souligne également que l’entreprise pourrait consulter les messages dans son tableau de bord Sentry, ce qui contredit directement l’affirmation de la FAQ de Nothing selon laquelle personne chez Sunbird ne peut accéder aux messages envoyés ou reçus.
