Nothing отключила совместимость с iMessage после сообщений о небезопасности технологии

Nothing удалила из Google Play приложение Nothing Chats, в котором реализована совместимость с мессенджером iMessage через инфраструктуру партнёра, компании Sunbird. Сервис проработал около суток.

На сайтах Sunbird и Nothing утверждается, что технология предусматривает сквозное шифрование данных, и ни один из посредников не имеет доступа к пересылаемым сообщениям.

Однако 17 ноября основатель Texts.com Кишан Багария обнаружил, что инфраструктура Sunbird работает на базе технологии BlueBubbles, которая пока не поддерживает оконечное шифрование. Кроме того, Sunbird и Nothing Chats не используют даже защищённый протокол HTTPS, а вместо этого передают данные по сети в открытом виде.

Из исследования Android-разработчика Дилана Русселя следует, что Sunbird имеет доступ ко всем сообщениям пользователей, в том числе изображениям, видео, документам и карточкам контактов. Все данные отправляются на облачный сервер Firebase. Выводы подтвердил ещё один исследователь под ником @uwukko.

Представители Sunbird ответили на претензии Багария. В компании пояснили, что не используют BlueBubbles, а HTTP-соединение применяется только для первоначального запроса к серверной части, тогда как соединение с iMessage происходит через «автономный канал связи». Но даже так есть риск утечки пользовательских данных, считает Руссель.

В итоге Nothing объявила об удалении Nothing Chats из Google Play и переносе запуска сервиса, чтобы «совместно с Sunbird исправить несколько ошибок».