Nothing Chats ถูกถอดออกจาก Google Play Store เนื่องจากมีข้อกังวลด้านความปลอดภัย

โดย RingRangRung | 20 พฤศจิกายน 2566 เมื่อ 10:42 น. | อ่าน 77

Nothing Chats ซึ่งเป็นแอปพลิเคชั่นโคลน iMessage จากทาง Nothing ที่เปิดตัวไปเมื่อสัปดาห์ก่อน ได้ถูกถอดออกจาก Google Play Store ไปเป็นที่เรียบร้อย โดยให้เหตุผลอย่างเป็นทางการว่า “พบข้อบกพร่องหลายประการ” ที่ทางบริษัทต้องใช้เวลาในการแก้ไขก่อนจะกลับมาปล่อยให้โหลดอีกครั้ง

อย่างไรก็ดี ก็มีหลักฐานที่มากพอจะสนับสนุนสาเหตุเรื่อง “ข้อบกพร่อง” ที่ทาง Nothing ได้ระบุไว้โดยเฉพาะเรื่องคำครหาด้านความปลอดภัยที่เห็นได้อย่างชัดเจน

จากการวิเคราะห์ทางเทคนิคโดย Rida F’kih ผู้เขียน Texts.com รวมถึงผู้ใช้ Twitter อย่าง @batuhan และ @1ConanEdogowa ได้มีการตั้งข้อสังเกตว่าทาง Sunbird Messaging พาร์ทเนอร์ที่ทำงานในแอปตัวนี้ร่วมกับ Nothing ไม่ได้เข้ารหัสแบบ End-to-end กับข้อความที่ถูกส่งผ่านเซิร์ฟเวอร์ตามที่อ้างไว้

อปขอสิทธิเข้าถึงทุกข้อความในอุปกรณ์ รวมทั้งรูปภาพ วิดีโอ และ vCards มีการเก็บข้อมูลไว้ในเซิร์ฟเวอร์ และข้อมูลบางอย่างสามารถเข้าถึงได้แบบสาธารณะ หรือผู้ใช้งานคนอื่นอาจเข้าถึงได้ พร้อมเตือนผู้ใช้งานให้ระมัดระวังปัญหาดังกล่าว

ตามรายงานก่อนหน้านี้มีการระบุว่า การลงทะเบียนเพื่อใช้ Nothing Chats จำเป็นที่จะต้องใช้ Apple ID เพื่อล็อกอินเข้าเซิร์ฟเวอร์ Sunbird ขณะที่การรับส่งข้อมูลจะทำผ่านเซิร์ฟเวอร์ Mac mini ของ Sunbird อีกที อย่างไรก็ดีทางนักขียน Texts.com ได้เผยว่าตัว JSON Web Tokens (JWT) ที่บริการสร้างขึ้นได้ถูกส่งอีกครั้งโดยไม่มีการเข้ารหัส ซึ่งถูกส่งไปยังเซิร์ฟเวอร์ Sunbird อีกแห่งที่ไม่มี SSL ทำให้ผู้โจมตีสามารถดักจับได้

นอกจากนี้ตัวข้อความยังถูกถอดรหัสและจัดเก็บไว้ในเซิร์ฟเวอร์ Sunbird ทำให้ผู้โจมตีมีเวลาในการเข้าถึงข้อมูลดังกล่าวก่อนที่การส่งข้อความจะเสร็จสมบูรณ์ ซึ่งทางนักเขียนของ Texts.com ก็ได้มีการสาธิตสิ่งนี้ผ่านการส่งข้อความสองสามข้อความระหว่างอุปกรณ์สองเครื่องและทำการสกัด JWT ทำให้พวกเขาสามารถเข้าถึงฐานข้อมูล Firebase ได้แบบเรียลไทม์ โดยใช้เวลาเพียงโค้ด 23 บรรทัดในการดาวน์โหลดข้อมูลผู้ใช้และการสนทนาทั้งหมด

เปิดตัว NOTHING CHATS แอปข้อความ IMESSAGE บนอุปกรณ์ ANDROID

ที่มา: gsmarena.com, texts.blog, theverge.com

About Author

RingRangRung

RingRangRung

Partners