Nothing已经从Google Play商店撤下了Nothing Chats测试版,并表示在修复"几个bug"的同时"推迟发布,直到另行通知"。该应用可以让 Nothing Phone 2 手机用户通过 iMessage 平台发短信,但需要让提供该消息平台的 Sunbird 在自己的 Mac Mini 服务器上登录用户的 iCloud 账户,这显然有点超出了一些人的认同。
Texts.com 的一篇博客分析了这款应用,发现使用 Sunbird 系统发送的信息实际上并没有端到端加密,因此要破解它并不难。该应用在本周早些时候发布后,昨天推出了测试版。
9to5Google指出了该网站作者迪伦-鲁塞尔(Dylan Roussel)的一个帖子,他发现Sunbird的部分解决方案涉及使用HTTP将信息解密并传输到Firebase云同步服务器,然后以未加密的纯文本形式存储在那里。Roussel 发布消息称,该公司本身也可以访问这些传递的消息,因为它使用调试服务 Sentry 将消息记录为错误。
Sunbird昨天对此声称,HTTP"仅用于应用程序通知后端即将进行 iMessage 连接的一次性初始请求"。这是对有人指出存在漏洞的回应。Texts.com写道:"订阅了Firebase实时数据库的攻击者总是能够在用户读取信息之前或读取信息之时访问这些信息"。该博客还指出,该公司可以查看其 Sentry 仪表板中的信息,这与 Nothing 常见问题解答中的说法直接矛盾,即Sunbird没有人可以访问发送或接收的信息。
但截至发稿时,Nothing公司尚未做出回应。