Nothing Chats uygulaması, bir başka “iPhone katili” olan oldukça popüler akıllı telefon Nothing Phone‘un geliştiricisi tarafından yaratılmış bir mesajlaşma uygulamasıdır. Nothing Chats‘in ana satış noktası, Android kullanıcılarına daha önce yalnızca iPhone sahiplerinin kullanabildiği bir mesajlaşma sistemi olan iMessage’ı kullanarak iletişim kurma olanağı sağlama vaadiydi.
Ancak çok kısa süre içinde Nothing Chats‘in bir dizi güvenlik ve gizlilik sorunu olduğu tespit edildi. Bu sorunlar o kadar ciddiydi ki Google Play Store’da yayınlanmasının üzerinden 24 saat geçmeden uygulama kaldırılmak zorunda kaldı. Bu konuyu daha ayrıntılı olarak inceleyelim.
Android için Nothing Chats, Sunbird ve iMessage
Nothing Chats mesajlaşma uygulaması, 14 Kasım 2023’te tanınmış YouTube blog yazarı Marques Brownlee (diğer adıyla MKBHD) tarafından bir video ile duyuruldu. Nothing‘in yeni mesajlaşma uygulamasının, Android tabanlı Nothing Phone sahiplerinin iMessage aracılığıyla iOS kullanıcılarıyla iletişim kurmasını nasıl mümkün kılacağından planladığından bahsetti.
Bu arada, en azından mesajlaşma uygulamasının nasıl çalıştığını görmek için MKBHD’nin videosunu izlemenizi tavsiye ederim.
Videoda mesajlaşma uygulamasının teknik açıdan nasıl çalıştığı da kısaca özetleniyor. Başlamak için, kullanıcıların Nothing Chats‘e Apple hesaplarının kullanıcı adı ve parolasını vermeleri gerekiyor (eğer Apple ID hesapları yoksa da bir hesap oluşturmaları gerekiyor). Bundan sonra, videodan dolaylı olarak alıntı yapmak gerekirse, “bir sunucu çiftliğindeki bir Mac mini’de”, bu Apple hesabına giriş yapılır ve ardından bu uzak bilgisayar, kullanıcının akıllı telefonundan iMessage sistemine ve aynı şekilde ters yönde de mesajlar ileten bir aracı görevi görür.
Hakkını teslim etmek gerekirse, videonun yazarı altıncı dakikanın sonunda bu yaklaşımın bazı ciddi riskler taşıdığını vurguluyor. Gerçekten de, size ait olmayan ve kim bilir nerede bulunan bilinmeyen bir aygıtta Apple Kimliğinizle oturum açmak, birçok nedenden dolayı çok ama çok kötü bir fikirdir.
Nothing şirketi, “Android için iMessage”ın kendi geliştirdikleri bir uygulama olmadığı gerçeğini gizlemedi. Şirket bu amaçla başka bir şirket, Sunbird ile ortaklık kurmuştu. Böylece Nothing Chats mesajlaşma uygulaması bazı kozmetik arayüz değişiklikleriyle Sunbird: iMessage for Android uygulamasının bir klonu oldu. Bu arada, Sunbird uygulaması Aralık 2022’de basına duyuruldu, ancak geniş kitleye lansmanı sürekli ertelendi.
Nothing Chats ve güvenlik sorunları
Duyurunun hemen ardından Nothing ve Sunbird’ün ciddi gizlilik ve güvenlik sorunlarıyla karşı karşıya kalacağına dair şüpheler ortaya çıktı. Daha önce de belirtildiği gibi, üçüncü taraf bir aygıtta Apple Kimliğinizle oturum açma fikri oldukça risklidir çünkü bu hesap, önemli miktarda kullanıcı bilgisi üzerinde ve Apple Bul özelliği aracılığıyla aygıtların kendileri üzerinde tam kontrol sağlar.
Kullanıcıları rahatlatmak için hem Sunbird hem de Nothing web sitelerinde kullanıcı adlarının ve parolaların hiçbir yerde saklanmadığını, tüm mesajların uçtan uca şifreleme ile korunduğunu ve her şeyin kesinlikle güvenli olduğunu iddia etti.
Ancak gerçek, en şüpheci tahminlerden bile çok uzaktı. Uygulama kullanıma sunulduğunda, uçtan uca şifrelemeye ilişkin vaatlerini yerine getirmekte tamamen başarısız olduğu kısa sürede anlaşıldı. Daha da kötüsü, kullanıcı tarafından gönderilen veya alınan tüm mesajlar ve dosyalar delivered by Nothing Chats tarafından aynı anda iki hizmete şifrelenmemiş bir şekilde iletiliyordu: Google Firebase veritabanı ve Sunbird çalışanlarının bu mesajlara erişebildiği Sentry hata izleme hizmeti.
Bu da yetmezmiş gibi sadece Sunbird çalışanları değil, ilgilenen herkes mesajları okuyabiliyordu. Sorun, Firebase’de kimlik doğrulama için gereken belirtecin uygulama tarafından korumasız bir bağlantı (HTTP) üzerinden iletilmesi ve bu nedenle ele geçirilebilir olmasıydı. Daha sonra bu belirteç, mesajlaşma uygulamasının tüm kullanıcılarının tüm mesajlarına ve dosyalarına erişim sağladı. Daha önce de belirtildiği gibi, tüm bu veriler Firebase’e düz metin olarak gönderildi.
Bir kez daha tekrar edelim: uçtan uca şifreleme kullanma güvencelerine rağmen, Nothing Chats‘teki herhangi bir kullanıcıdan gelen herhangi bir mesaj ve onlar tarafından gönderilen tüm dosyalar (fotoğraflar, videolar vb.) herhangi biri tarafından ele geçirilebilir.
Nothing Chats/Sunbird‘ün güvenlik açıklarını analiz eden araştırmacılardan biri, bir saldırının uygulanabilirliğinin kanıtı olarak basit bir web sitesi oluşturdu ve herkesin iMessage for Android‘daki mesajlarının gerçekten de kolayca ele geçirilebileceğini görmesini sağladı.
Güvenlik açıklarının kamuoyuna duyurulmasından kısa bir süre sonra Nothing, “birkaç hatayı düzeltmek için” uygulamalarını Google Play Store’dan kaldırmaya karar verdi. Yine de, Nothing Chats veya Sunbird: iMessage for Android mağazaya geri dönse bile, hem bundan hem de benzer uygulamalardan kaçınmak en iyisidir. Bu hikaye, iMessage’a erişim sağlayan bir aracı hizmet oluştururken, kullanıcıların verilerini aşırı risk altına sokan feci hatalar yapmanın ne kadar kolay olduğunu canlı bir şekilde göstermektedir.
Nothing Chats kullanıcıları şimdi ne yapmalı?
Eğer Nothing Chats uygulamasını kullandıysanız şunları yapmalısınız:
- Güvenilir bir aygıttan Apple ID hesabınıza giriş yapın, etkin oturumların (oturum açtığınız aygıtlar) bulunduğu sayfayı bulun ve Nothing Chats/Sunbird ile ilişkili oturumu silin.
- Apple Kimliği parolanızı değiştirin. Bu son derece önemli bir hesaptır, bu nedenle çok uzun ve rastgele bir karakter dizisi kullanmanız önerilir – Kaspersky Password Manager güvenilir bir parola oluşturmanıza ve güvenli bir şekilde saklamanıza yardımcı olabilir.
- Nothing Chats uygulamasını kaldırın.
- Daha sonra araştırmacılardan biri tarafından oluşturulan bir aracı kullanarak bilgilerinizi Sunbird’ün Firebase veritabanından kaldırabilirsiniz.
- Nothing Chats aracılığıyla herhangi bir hassas bilgi gönderdiyseniz, bunu tehlikede olarak değerlendirmeli ve uygun önlemleri almalısınız: parolaları değiştirin, kartları yenileyin vb. Kaspersky Premium e-posta adresleri veya telefon numaralarıyla bağlantılı kişisel verilerinizin olası sızıntılarını izlemenize yardımcı olacaktır.