NothingChatsのベータ版はGoogle Playストアから削除されておらず、「いくつかのバグ」が修正される一方で「追って通知があるまでリリースを延期する」と述べた。このアプリケーションを使用すると、NothingPhone2 携帯電話ユーザーは iMessage プラットフォームを通じてテキスト メッセージを送信できますが、メッセージング プラットフォームを提供する Sunbird が独自の MacMini サーバー上のユーザーの iCloud アカウントにログインする必要があり、これは明らかに一部の人々の承認を少し超えています。

Texts.com のブログがこのアプリを分析したところ、Sunbird システムを使用して送信されたメッセージは実際にはエンドツーエンドで暗号化されていないため、解読するのは難しくないことがわかりました。このアプリは今週初めにリリースされた後、昨日ベータ版を開始しました。

9to5Google は、サイトの作成者である Dylan Roussel 氏の投稿を指摘しています。彼は、Sunbird のソリューションの一部に HTTP を使用して情報を復号化し、Firebase クラウド同期サーバーに送信し、そこで情報が暗号化されていないプレーン テキストとして保存されることを発見しました。 Roussel 氏は、メッセージをエラーとして記録するためにデバッグ サービス Sentry を使用しているため、同社自体もこれらの渡されたメッセージにアクセスできると投稿しました。

Sunbird は昨日、HTTP は「今後の iMessage 接続をバッ​​クエンドに通知するためのアプリによる 1 回限りの最初のリクエストにのみ使用される」と主張しました。これは誰かが脆弱性を指摘したことへの対応でした。 Texts.com は、「Firebase Realtime Database に登録している攻撃者は、ユーザーが情報を読み取る前または読み取り中に常に情報にアクセスできるようになります。」と書いています。このブログには、同社が Sentry ダッシュボードで情報を表示できるとも記載されており、これは、Sunbird の誰も送受信される情報にアクセスできないという Nothing FAQ の記述と真っ向から矛盾しています。

しかし、この記事の執筆時点では、Nothing はまだ応答していません。

関連記事:

NothingiMessage通信に対応した新しいメッセージアプリを公開