- 9,320
- 18
- 8 Ноя 2022
Разработчики говорят о нескольких незначительных «ошибках», но аналитики выяснили кое-что интересное…
Разработчики говорят о нескольких незначительных «ошибках», но аналитики выяснили кое-что интересное…
Сервис обмена сообщениями Nothing Chats с поддержкой iMessage, недавно выпущенный компанией Nothing, Для просмотра ссылки Войдиили Зарегистрируйся из Google Play . По официальной версии, это связано с «несколькими ошибками», которые разработчикам нужно исправить. Однако есть основания полагать, что настоящей причиной стали серьезные проблемы с безопасностью.
Как выяснили эксперты, поставщик услуг Nothing Chats — компания Sunbird — лжет о том, что использует сквозное шифрование .
Для использования платформы пользователям нужно было авторизоваться через Apple ID на серверах Sunbird, работающих на виртуальной машине. Sunbird утверждает, что сообщения, отправляемые на эти серверы, зашифрованы. Но на самом деле сгенерированные сервисом токены аутентификации передаются на другой сервер компании в незашифрованном виде и без использования SSL. Потенциальному злоумышленнику не составило бы труда перехватить их.
Некоторое время сообщения хранятся на серверах Sunbird, также в открытом виде. Это дает хакеру возможность обдумать стратегию и получить доступ к данным даже раньше, чем это сделает жертва.
Исследование проводили создатели ресурса Texts.com: известный специалист Для просмотра ссылки Войдиили Зарегистрируйся и пользователи платформы X под никами Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Им удалось перехватить токены аутентификации при отправке сообщений между двумя устройствами и получить доступ к базам сервиса всего за 23 строки кода. Фких даже Для просмотра ссылки Войди или Зарегистрируйся , где любой желающий может повторить эту процедуру.
Пока неясно, что изменится в мессенджере и когда его можно будет скачать снова. Случай с Nothing Chats еще раз подчеркивает риски, связанные с использованием учетных данных Apple ID для авторизации на сторонних платформах. Тем более сейчас iMessage от самого Apple поддерживает стандарт RCS, который представляется более надежным методом защиты переписки.
Разработчики говорят о нескольких незначительных «ошибках», но аналитики выяснили кое-что интересное…
Сервис обмена сообщениями Nothing Chats с поддержкой iMessage, недавно выпущенный компанией Nothing, Для просмотра ссылки Войди
Как выяснили эксперты, поставщик услуг Nothing Chats — компания Sunbird — лжет о том, что использует сквозное шифрование .
Для использования платформы пользователям нужно было авторизоваться через Apple ID на серверах Sunbird, работающих на виртуальной машине. Sunbird утверждает, что сообщения, отправляемые на эти серверы, зашифрованы. Но на самом деле сгенерированные сервисом токены аутентификации передаются на другой сервер компании в незашифрованном виде и без использования SSL. Потенциальному злоумышленнику не составило бы труда перехватить их.
Некоторое время сообщения хранятся на серверах Sunbird, также в открытом виде. Это дает хакеру возможность обдумать стратегию и получить доступ к данным даже раньше, чем это сделает жертва.
Исследование проводили создатели ресурса Texts.com: известный специалист Для просмотра ссылки Войди
Пока неясно, что изменится в мессенджере и когда его можно будет скачать снова. Случай с Nothing Chats еще раз подчеркивает риски, связанные с использованием учетных данных Apple ID для авторизации на сторонних платформах. Тем более сейчас iMessage от самого Apple поддерживает стандарт RCS, который представляется более надежным методом защиты переписки.
- Источник новости
- www.securitylab.ru
