رون أماديو
لقد تبين أن الشركات التي تعرقل طرح الأسئلة الأمنية لوسائل الإعلام ليست في الواقع الأفضل في مجال الأمن. يوم الثلاثاء الماضي، ادعى تطبيق Nothing Chats – وهو تطبيق دردشة من الشركة المصنعة لنظام Android Nothing وشركة التطبيقات الناشئة Sunbird – أنه يمكنه اختراق بروتوكول iMessage الخاص بشركة Apple وتقديم فقاعات زرقاء لمستخدمي Android. قمنا على الفور بوضع علامة على Sunbird كشركة تقدم وعودًا فارغة لمدة عام تقريبًا وكانت مهملة فيما يتعلق بالأمن. تم إطلاق التطبيق يوم الجمعة على أي حال، وتم انتقاده على الفور من قبل الإنترنت بسبب العديد من المشكلات الأمنية. لم يستمر الأمر 24 ساعة، ولم يسحب أي شيء التطبيق من متجر Play صباح يوم السبت. تطبيق Sunbird، Nothing Chat هو مجرد نسخة معدلة وقد تم وضعه في وضع “الإيقاف المؤقت”.
كان العرض الأولي للمبيعات للتطبيق – والذي سيسمح لك بتسجيل الدخول إلى iMessage على Android إذا سلمت اسم المستخدم وكلمة المرور الخاصين بك على Apple – علامة حمراء أمنية ضخمة، مما يعني أن Sunbird ستحتاج إلى بنية تحتية أكثر أمانًا لتجنب الكارثة. وبدلاً من ذلك، تصبح التطبيقات غير آمنة قدر الإمكان. لم يتم الإبلاغ عن أي شيء هنا:
لا شيء مغلق الدردشة.
ما مدى سوء القضايا الأمنية؟ كلاهما 9to5Google و text.com (انه ينتمي تلقائي، الشركة التي تقف وراء WordPress) كشفت عن ممارسات أمنية سيئة بشكل مثير للصدمة. كما ذكر Nothing وSunbird عدة مرات، لم يكن التطبيق غير مشفر من طرف إلى طرف فحسب، بل قامت Sunbird بالفعل بتسجيل الرسائل وتخزينها بنص عادي في كلا برنامجي الإبلاغ عن الأخطاء. خفير و في متجر فايرفوكس. نظرًا لأنه يتم إرسال رموز المصادقة المميزة عبر HTTP غير مشفر، فيمكن استخدام هذا الرمز المميز لاعتراض رسائلك وقراءتها.
وجد تحقيق Text.com كومة من نقاط الضعف. تقول المدونة، “عندما يتلقى مستخدم رسالة أو مرفقًا، فإنه يظل غير مشفر على جانب الخادم حتى يرسل العميل طلبًا ويحذفه من قاعدة البيانات. وهذا يعني أن المهاجم قد اشترك في قاعدة بيانات Firebase Realtime. دائمًا يمكن الوصول.” تمكن Text.com من اعتراض رمز المصادقة الذي تم إرساله عبر HTTP غير المشفر والاشتراك في التغييرات في قاعدة البيانات. سيكون لديه تحديثات مباشرة لـ “الرسائل الواردة والصادرة وتغييرات الحساب وما إلى ذلك” ليس فقط من أنفسهم ولكن أيضًا من المستخدمين الآخرين.
Text.com نشره أ إثبات المفهوم تطبيق يمكنه تلقي رسائل مشفرة من طرف إلى طرف من خوادم Sunbird. باتوهان إيكوز، وهو مهندس منتج في Text.com، أصدر أيضًا أداة تزيل بعض بياناتك من خوادم Sunbird. يوصي Içöz مستخدمي Sunbird/NothingChat بتغيير معرفات Apple الخاصة بهم الآن، وسحب جلسة Sunbird الخاصة بهم، و”افتراض أن بياناتك قد تم اختراقها بالفعل”.
9to5Google ديلان روسيل استكشاف التطبيق، بالإضافة إلى جميع البيانات النصية العامة، “جميع المستندات (الصور ومقاطع الفيديو والتسجيلات الصوتية وملفات pdf وvCards…) المرسلة عبر NothingChat وSunbird متاحة للعامة.” وجد روسيل أنه تم تخزين 630 ألف ملف وسائط حاليًا بواسطة Sunbird، ويمكنه الوصول إلى بعضها. يقول روسيل إن تطبيق Sunbird اقترح على المستخدمين تبادل بطاقات vCards – وهي بطاقات عمل افتراضية مليئة ببيانات الاتصال – والوصول إلى المعلومات الشخصية لأكثر من 2300 مستخدم. يصف روسيل الكارثة برمتها بأنها “أكبر كابوس للخصوصية” رأيته من قبل شركة تصنيع الهواتف منذ سنوات.
لا توجد وعود أمنية لم يتم تجريدها بشكل لا يصدق.
على الرغم من كونه سبب هذه الكارثة الهائلة، ظل طائر الشمس هادئًا بشكل غريب خلال هذه الفوضى برمتها. لم تذكر صفحة X (Twitter سابقًا) الخاصة بالتطبيق شيئًا عن NothingChats أو إيقاف تشغيل Sunbird. ربما للأفضل، بعض ردود Sunbird الأولية على المخاوف الأمنية التي أثيرت يوم الجمعة لا يبدو أنها جاءت من مطور مختص. أولا، الشركة محمية استخدامه HTTP غير المشفر لبعض المعاملات عبر الإنترنت، إلى Bagaria of Text.com “يتم استخدام HTTP فقط كجزء من طلب التهيئة الذي يُعلم الواجهة الخلفية لاتصال اتصال iMessage من التطبيق. منذ البداية، ركزت شركة Sunbird على السلامة.“في التحقيق الذي أجراه Text.com، كان هذا خادمًا سريعًا متوازن التحميل ولا يطبق طبقة المقابس الآمنة (SSL)، لذا يمكن للمهاجمين اعتراض الطلبات بسهولة.” سمح استخدام HTTP لـ Text.com باعتراض رموز المصادقة المميزة.
تنص أفضل ممارسات الأمان الحديثة على أنه من غير المقبول أبدًا استخدام HTTP غير المشفر لأي معاملة عبر الإنترنت، والعديد من أنظمة التشغيل تحظر إرسال HTTP للنص العادي افتراضيًا. يعرض Chrome تحذيرًا بصفحة كاملة عند محاولة الوصول إلى صفحة HTTP ويطلب من المستخدم النقر فوق رسالة التحذير. ذكري المظهر تعطيل النص الواضح افتراضيًا، يُطلب من المطور تمكين علامة خاصة لتمرير حركة المرور والطلب. لا تجعل برامج مثل Let’s Encrypt استخدام HTTPS سهلاً ومجانيًا فحسب، بل إنها كذلك بالفعل بسهولة قم بتشفير كل شيء حتى لا تضطر إلى التعامل مع جميع الحواجز الأمنية. هذه هي أساسيات الويب في عام 2023، ومن المثير للصدمة أن نرى أي مطور يجادل ضدها، خاصة عندما يريد هذا المطور أيضًا الوثوق بحساب Apple الخاص بك. قد يكون الأمر أمرًا واحدًا إذا كان خطأً فادحًا، لكن صنبيرد اعتقد أنه لا بأس به!
لم يبدو أي شيء على الإطلاق وكأنه صانع Android كان أكثر ضجيجًا من الجوهر، ولكن الآن يمكنك إضافة “اللامبالاة” إلى تلك القائمة. تعاونت الشركة مع Sunbird، لتجديد تطبيقها وتطويره موقع اعلاني و فيديو يوتيوبوتنسيق بيان إعلامي اليوتيوبرز المشهورين، مع القليل من الاهتمام لاستخدامات Sunbird أو ادعاءات السلامة الخاصة بها. إنه أمر لا يصدق أن هاتين الشركتين قد وصلتا إلى هذا الحد، فقد تطلب إطلاق NothingChats اختراقًا أمنيًا منهجيًا لشركتين بالكامل.
لا شيء يشير إلى أن التطبيق سيعود بمجرد أن يعمل Sunbird على “إصلاح مجموعة من الأخطاء”. لا أرى كيف يمكنك تصحيحه في غضون أسبوعين عندما يتم إنشاء تطبيقك بالكامل دون القلق بشأن الأمان. إذا عادت Nothing Chats إلى متجر Play، فهل سيثق بها أي شخص ويدخل بيانات الاعتماد الخاصة به؟
