تطبيق Nothing Chats هو عن تطبيق مراسلة تم إنشاؤه بواسطة مطور الهاتف الذكي الشهير Nothing Phone – وهو بمثابة “قاتل iPhone” آخر. وكانت نقطة البيع الرئيسية لتطبيق Nothing Chats هي الوعد بمنح مستخدمي Android القدرة على التواصل بشكل كامل باستخدام iMessage – وهو نظام مراسلة متاح لمالكي iPhone فقط.
ومع ذلك، تبين على الفور أن تطبيق Nothing Chats يحتوي على مجموعة كاملة من مشكلات الأمان والخصوصية. وكانت هذه المشكلات خطيرة للغاية لدرجة أنه كان لا بد من إزالة التطبيق بعد أقل من 24 ساعة من إصداره في متجر Google Play. لنتعمق في هذا بمزيد من التفصيل.
Nothing Chats وSunbird وiMessage لنظام Android
تم الإعلان عن برنامج المراسلة Nothing Chats في 14 نوفمبر 2023، في مقطع فيديو لمدون YouTube الشهير ماركيز براونلي (المعروف أيضًا باسم MKBHD). وتحدث كيف أن برنامج المراسلة الجديد من Nothing لديه خطط للسماح لمالكي Nothing Phone (المعتمد على نظام Android) بالتواصل مع مستخدمي iOS من خلال تطبيق iMessage.
بالمناسبة، أوصي بمشاهدة فيديو MKBHD، على الأقل لمعرفة كيفية عمل برنامج المراسلة.
يوضح الفيديو أيضًا بإيجاز كيفية عمل برنامج المراسلة من وجهة نظر فنية. للبدء، يجب على المستخدمين تزويد Nothing Chats باسم تسجيل الدخول وكلمة المرور لحساب Apple ID الخاص بهم (وإذا لم يكن لديهم حساب بعد، فسيحتاجون إلى إنشاء حساب). بعد ذلك، لاقتباس الفيديو بشكل غير مباشر، “على بعض أجهزة Mac mini في مكان ما في مزرعة خوادم”، يتم تسجيل الدخول إلى حساب Apple هذا، وبعد ذلك يعمل هذا الكمبيوتر البعيد كمرحل لنقل الرسائل من الهاتف الذكي الخاص بالمستخدم إلى نظام iMessage، والعكس صحيح.
لمنح الفضل إلى المكان المستحق، في نهاية الدقيقة السادسة، يؤكد مؤلف الفيديو على أن هذا النهج يحمل بعض المخاطر الجسيمة. وفي الواقع، يعد تسجيل الدخول باستخدام Apple ID الخاص بك على جهاز غير معروف لا ينتمي إليك، ولا أحد يعرف مكانه، فكرة سيئة للغاية لعدد من الأسباب.
لم تخف شركة Nothing حقيقة أن تطبيق “iMessage for Android” لم يكن تطويرًا خاصًا بها. دخلت الشركة في شراكة مع شركة أخرى تسمى Sunbird، لذلك كان برنامج المراسلة Nothing Chats بمثابة نسخة من تطبيق Sunbird: iMessage for Android، مع بعض التغييرات التجميلية في الواجهة. بالمناسبة، تم الإعلان عن تطبيق Sunbird للصحافة في ديسمبر 2022، لكن تم تأجيل إطلاقه الكامل للجمهور العريض باستمرار.
Nothing Chats ومسائل الأمان
بعد الإعلان، نشأت شكوك على الفور في أن Nothing وSunbird سيواجهان مشكلات خطيرة تتعلق بالخصوصية والأمان. كما ذكرنا سابقًا، فإن فكرة تسجيل الدخول باستخدام Apple ID الخاص بك على جهاز شخص آخر تعد مخاطرة كبيرة لأن هذا الحساب يمنح التحكم الكامل في قدر كبير من معلومات المستخدم وعلى الأجهزة نفسها من خلال ميزة Find My من Apple.
لطمأنة المستخدمين، أكدت كل من Sunbird وNothing على مواقعهما على الويب أن أسماء تسجيل الدخول وكلمات المرور لا يتم تخزينها في أي مكان، وأن جميع الرسائل محمية بالتشفير الشامل، وكل شيء آمن تمامًا.
مع ذلك، فإن الواقع كان بعيدًا حتى عن أكثر التوقعات تشككًا. وبمجرد أن أصبح التطبيق متاحًا، سرعان ما أصبح من الواضح أنه فشل تمامًا في الوفاء بوعوده فيما يتعلق بالتشفير الشامل. والأسوأ من ذلك، أن جميع الرسائل والملفات التي تم إرسالها أو استلامها بواسطة المستخدم تم تسليمها بواسطة Nothing Chats في نموذج غير مشفر إلى خدمتين في وقت واحد – قاعدة بيانات Google Firebase وخدمة مراقبة الأخطاء Sentry، حيث يستطيع موظفو Sunbird الوصول إلى هذه الرسائل.
وإذا لم يكن ذلك كافيًا، فلن يتمكن موظفو Sunbird فحسب، بل أي شخص مهتم، من قراءة الرسائل. وكانت المشكلة أن الرمز المميز المطلوب للمصادقة في Firebase تم إرساله بواسطة التطبيق عبر اتصال غير محمي (HTTP)، وبالتالي يمكن اعتراضه. وبعد ذلك، أتاح هذا الرمز إمكانية الوصول إلى جميع الرسائل والملفات الخاصة بجميع مستخدمي برنامج المراسلة – كما ذكرنا سابقًا، تم إرسال كل هذه البيانات إلى Firebase في شكل نص عادي.
مرة أخرى: على الرغم من التأكيدات على استخدام التشفير من طرف إلى طرف، يستطيع أي شخص اعتراض أي رسالة من أي مستخدم على Nothing وجميع الملفات المرسلة منه – الصور ومقاطع الفيديو وما إلى ذلك.
أنشأ أحد الباحثين المشاركين في تحليل الثغرات الأمنية في تطبيق Nothing Chats/Sunbird موقع ويب بسيطًا كدليل على جدوى الهجوم، مما يسمح لأي شخص برؤية أن رسائله في iMessage for Android يمكن اعتراضها بسهولة.
بعد فترة وجيزة من الإعلان عن الثغرات الأمنية، قررت شركة Nothing إزالة تطبيقها من متجر Google Play “لإصلاح بعض الأخطاء”. ومع ذلك، حتى لو عاد تطبيق Nothing Chats أو Sunbird: iMessage for Android إلى المتجر، فمن الأفضل تجنبهما – وكذلك أي تطبيقات مماثلة. توضح هذه القصة بوضوح أنه عند إنشاء خدمة وسيطة تسمح بالوصول إلى iMessage، فمن السهل جدًا ارتكاب أخطاء كارثية تعرض بيانات المستخدمين لخطر شديد.
ما الذي يجب على مستخدمي Nothing Chats فعله الآن؟
إذا كنت قد استخدمت تطبيق Nothing Chats، فيجب عليك تنفيذ ما يلي:
- تسجيل الدخول إلى حساب Apple ID الخاص بك من جهاز موثوق به، وابحث عن الصفحة التي تحتوي على جلسات نشطة (الأجهزة التي سجلت الدخول إليها)، واحذف الجلسة المرتبطة بتطبيق Nothing Chats/Sunbird.
- قم بتغيير كلمة مرور Apple ID الخاص بك. هذا حساب مهم للغاية، لذا يُنصح باستخدام تسلسل طويل جدًا وعشوائي من الأحرف – يستطيع Kaspersky Password Manager مساعدتك في إنشاء كلمة مرور موثوقة وتخزينها بشكل آمن.
- قم بإلغاء تثبيت تطبيق Nothing Chats.
- يمكنك بعد ذلك استخدام أداة تم إنشاؤها بواسطة أحد الباحثين لإزالة معلوماتك من قاعدة بيانات Firebase الخاصة بشركة Sunbird.
- إذا كنت قد أرسلت أي معلومات حساسة من خلال Nothing Chats، فيجب عليك التعامل معها كمعلومات تعرضت للاختراق واتخاذ الإجراءات المناسبة: تغيير كلمات المرور، وإعادة إصدار البطاقات، وما إلى ذلك. وسيساعدك Kaspersky Premium على تتبع التسريبات المحتملة لبياناتك الشخصية المرتبطة بعناوين البريد الإلكتروني أو أرقام الهواتف.