Rien ne l’app iMessage n’était une catastrophe de sécurité, pris en 24 heures

Il s’avère que les entreprises qui refusent de fournir des réponses aux questions de sécurité des médias ne sont pas bonnes en matière de sécurité. Mardi dernier, Nothing Chat – une application de chat de l’fabricant d’Android « Nothing » et de la jeune entreprise Sunbird – a prétendu pouvoir pirater le protocole iMessage d’Apple et donner aux utilisateurs d’Android des bulles bleues. Nous avons immédiatement signalé Sunbird comme une entreprise qui fait des promesses vides depuis presque un an et semble négliger la sécurité. L’application a quand même été lancée vendredi et a été immédiatement déchirée par Internet pour de nombreux problèmes de sécurité. Ce n’est pas duré 24 heures; Nothing a retiré l’application du Play Store samedi matin. L’application Sunbird, dont Nothing Chat n’est qu’une reskin, a également été mise « en pause ». La proposition initiale de vente de cette application – qu’elle vous permettrait de vous connecter à iMessage sur Android si vous fournissiez votre nom d’utilisateur et votre mot de passe Apple – était un drapeau rouge de sécurité énorme, ce qui signifiait que Sunbird aurait besoin d’une infrastructure ultra-sécurisée pour éviter un désastre. Au lieu de cela, l’application s’est avérée aussi peu sécurisée que nous l’avions prévu. Voici la déclaration de rien: À quel point les problèmes de sécurité sont-ils mauvais? Les deux 9to5Google et Texts.com (dont le propriétaire est Automattic, la société derrière WordPress) ont découvert des pratiques de sécurité choquantes. Non seulement l’application n’était pas chiffrée de bout en bout, comme l’ont prétendu à de nombreuses reprises Nothing et Sunbird, mais Sunbird a en fait enregistré et stocké les messages en texte brut sur le logiciel de rapport d’erreurs Sentry et dans une base de données Firebase. Les jetons d’authentification ont été envoyés via HTTP non chiffré, de sorte que ce jeton puisse être intercepté et utilisé pour lire vos messages. Texts.com a publié une application de preuve de concept qui pouvait récupérer vos messages supposément chiffrés de bout en bout à partir des serveurs Sunbird. Batuhan Içöz, un ingénieur produit pour Texts.com, a également publié un outil qui supprimera certaines de vos données des serveurs Sunbird. Içöz recommande à tous les utilisateurs de Sunbird / Nothing Chat de modifier maintenant leur mot de passe Apple, de révoquer la session Sunbird et « d’assumer que vos données ont déjà été compromises ».

Share the Post: