Mel
Erst Mitte der letzten Woche hatten wir darüber berichtet, dass der relativ neue Smartphone-Hersteller Nothing plant, eine iMessage-App unter Android für das eigene Nothing Phone (2) im Google Play Store zu veröffentlichen. Der Stichtag war der 17. November, also der vergangene Freitag.
Da auch ich gerade ein Nothing Phone (2) in meiner Nähe hatte, war ich gespannt, wie sich die als „Nothing Chats“ betitelte Anwendung bei der Kommunikation mit meinen Apple-Geräten machen würde. Doch am Freitag passierte erst gar nichts, die App war nicht bei Google Play zu finden. Später ließ sie sich dann immerhin finden, allerdings mit dem Zusatz „Dieser Artikel ist in deinem Land nicht verfügbar“. Moment, Nothing gab doch an, dass Nothing Chats in Nordamerika, in Großbritannien und der EU verfügbar gemacht werden sollte?
Offenbar war ich mit meinem Problem nicht allein: Bei Reddit las ich von anderen Usern, unter anderem aus Spanien oder Schweden, die die App ebenfalls nicht herunterladen konnten. Wer es geschafft hatte, Nothing Chats auf dem Nothing Phone (2) zu installieren, berichtete im Nothing-Subreddit von Problemen mit der Anmeldung per Apple ID, ständigen Abstürzen oder auch der Tatsache, dass versendete Nachrichten nicht als iMessage verschickt wurden.
Bereits kurz darauf zog Nothing die eigene iMessage-Chat-App, die über den Drittanbieter-Dienst Sunbird realisiert wird, aus dem Google Play Store zurück, und erklärte, man „verschiebt den Start bis auf weiteres“, während man „mehrere Fehler“ behebe. Genaue Gründe lieferte Nothing nicht, allerdings wurde schnell bekannt, dass massive Datenschutzbedenken zur Entfernung der App aus dem Google Play Store geführt haben.
Die Entfernung erfolgte, nachdem Nutzer einen Blogbeitrag von Texts.com geteilt hatten, aus dem hervorging, dass Nachrichten, die mit dem Sunbird-System verschickt werden, nicht wirklich Ende-zu-Ende-verschlüsselt sind – und dass es nicht schwer ist, das System zu kompromittieren.
Nachrichten werden unverschlüsselt als Klartext gespeichert
9to5Google wies auf einen Thread von Dylan Roussel hin, der herausfand, dass ein Teil der Sunbird-Lösung darin besteht, Nachrichten zu entschlüsseln und per HTTP an einen Firebase-Cloud-Synchronisierungsserver zu übertragen, um sie dort im unverschlüsselten Klartext zu speichern. Roussel gab an, dass das Unternehmen selbst Zugriff auf die Nachrichten hat, da es sie mit Sentry, einem Debugging-Dienst, als Fehler protokolliert. 9to5Google findet für diesen Eklat deutliche Worte:
„Es sind nicht nur Bilddateien zugänglich, sondern alles ist da draußen und schockierend leicht zu finden. Es ist wirklich unvorstellbar erschreckend für Ihre privaten Daten und geht weit über die Bedenken hinaus, die jeder hatte, dass jemand Zugang zu Ihrer Apple ID hat.
Auch wenn dies letztendlich auf Sunbird zurückzuführen ist, da das Unternehmen die Infrastruktur und die Nothing Chats-App entwickelt hat, ist die mangelnde Sorgfalt von Nothing in diesem Fall besorgniserregend. Wenn eine Schwachstelle wie diese in weniger als 24 Stunden von mehreren Usern gefunden werden konnte, wie konnte Nothing sie dann in den Monaten, in denen diese Partnerschaft wahrscheinlich aufgebaut wurde, übersehen? Und wird darüber hinaus im Laufe der Zeit etwas noch Schlimmeres entdeckt werden?“
Auch wenn es für Personen im Apple-Universum kaum der Fall sein wird: Macht einen deutlichen Bogen um Anwendungen von Sunbird. Immerhin wurde Nothing Chats schon nach einem Tag aus dem Google Play Store entfernt – und schien darüber hinaus bei vielen Usern überhaupt nicht zu funktionieren – so dass kein größerer Schaden entstanden sein dürfte. Da Apple in der letzten Woche eh überraschend einen Support für das RCS-Chatprotokoll für 2024 angekündigt hat, sollte man lieber auf entsprechende Lösungen im nächsten Jahr warten.
- Nothing OS 2.0: Neues Design. Passe alles an – vom App-Namen und Rasterdesign bis zur Widgetgröße und den Farben. Mit neuen Ordnerlayouts....
- Kamera: Vollständige Überarbeitung der internen Kamerasoftware für dynamisch genauere und präzisere Fotos und Videos denn je. Neuer, größerer...
Freddy