اپلیکیشن Nothing Chats به دلایل امنیتی از گوگل پلی حذف شد
پیامها در این اپلیکیشن ظاهراً رمزگذاریشده نبودند و بهراحتی رهگیری میشدند. اپ Nothing Chats که دسترسی به iMessage را در گوشی ناتینگ فون (2) ممکن میکند، هفته قبل معرفی شد. اما تنها یک روز پس از عرضه، این اپلیکیشن حالا از گوگل پلی حذف...
پیامها در این اپلیکیشن ظاهراً رمزگذاریشده نبودند و بهراحتی رهگیری میشدند.
اپ Nothing Chats که دسترسی به iMessage را در گوشی ناتینگ فون (2) ممکن میکند، هفته قبل معرفی شد. اما تنها یک روز پس از عرضه، این اپلیکیشن حالا از گوگل پلی حذف شده است. براساس آنچه شرکت ناتینگ رسماً اعلام کرده، این اپ چند باگ دارد و برای عرضه دوباره آن نیاز به زمان بیشتری است تا اشکالات رفع شوند. پیشازاین کاربران نگران استفاده از اپ Nothing Chats بودند چون بهنظر میآمد که چندان امن نیست.
براساس گزارش سایت ورج، حذف «ناتینگ چتس» پس از انتشار گسترده پستی از سایت Texts.com صورت گرفت. این پست نشان میداد که پیامهای ارسالشده با سیستم Sunbird در این اپلیکیشن درواقع رمزگذاریشده نیستند و بهآسانی میتوان آنها را مشاهده کرد. این برنامه پس از معرفی در هفته گذشته، روز جمعه با نسخه بتا عرضه شد.
اپ Nothing Chats و نقصهای آن
با آنکه شرکت ناتینگ صرفاً علت حذف این اپ را «چند باگ» بیان کرده، اما بهاحتمالقوی این اقدام بهعلت بررسی نقصهای امنیتی این اپ انجام شده است. براساس تحلیل فنی سایت Texts و کاربران دیگر، ناتینگ در مورد ماهیت رمزگذاریشده پیامهایی که در سرورهای آن مدیریت میشود، ظاهراً دروغ گفته است.
همانطور که قبلاً فاش شد، برای استفاده از Nothing Chats باید کاربر از طریق Apple ID وارد شود و این برنامه حساب او را به یک کامپیوتر مجازی از مک مینیهای Sunbird وصل میکند. همانطور که Sunbird ادعا میکند، پیامهای ارسالشده به سرورها رمزگذاری شدهاند. بااینحال، توکنهای وب JSON یا JWT این برنامه، بدون رمزگذاری به سرور Sunbird بدون SSL ارسال میشوند و میتوان آنها را رهگیری کرد.
درباره مسئله حریم خصوصی، بهنظر میرسد که مقصر شرکت Sunbird است. بااینحال، وقتی ناتینگ این شرکت را برای همکاری انتخاب کرده، پس هر دو را باید در این مسئله دخیل دانست. علاوهبراین، چنین موضوع امنیتی مهمی را صرفاً «چند باگ» دانستن، بهنظر رویکرد مناسبی نیست. ناگفته نماند که بهطور کلی نیز توصیه نمیشود کاربر با Apple ID خود وارد سرورهای یک سرویس شخص ثالث شود؛ حتی اگر آن سرویس رمزگذاری شده باشد.