Nothing公司近日推出一款名為「Nothing Chat」的聊天App,其主打「Android 與 Apple iMessage 互通」的功能。然而,圍繞其安全性引發了熱議,分析發現這款 App 並無端到端加密功能,引發了用戶和網絡安全專家的擔憂。
Nothing Chat 的主要問題在於其通信協議中沒有超文本傳輸安全協議(HTTPS)來保障安全。HTTPS 是當前互聯網通信的基本安全標準,它可以對用戶裝置和伺服器之間的數據進行加密。然而,Nothing Chat 卻是通過明文 HTTP 來發送憑據,一旦缺乏加密,敏感信息,包括登錄憑據,就將通過明文 HTTP 在互聯網上傳遞。一體化信息應用程式 Texts 的創始人 Kishan Bagaria 指出,Nothing Chat 使用的是由 BlueBubbles 提供的後台,而此公司正以「缺乏端到端加密」而聞名。
Nothing 公司在被這一問題質疑後回應稱,他們並沒有使用 BlueBubbles,純屬命名上的巧合。然而 Kisian Bagaria 反駁說,「我們無法確認他們內部使用了什麼,但所有收到的短信 / 媒體不僅未加密存儲,而且所有發出的短信都以明文形式洩露給了哨兵伺服器。」
texts team took a quick look at the tech behind nothing chats and found out it’s extremely insecure
it’s not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn’t support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
同樣,Nothing Chat 也面臨了從 Google Play 下架的困境,原因便是這些備受爭議的私隱問題。Nothing 公司宣佈將推遲發佈 Nothing Chats,以便與合作方 Sunbird 進行錯誤修復。然而,用戶對此並不買賬,指責 Nothing 公司試圖將重大的數據私隱問題歸類為『錯誤』。
@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/media are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) November 18, 2023
除了爭議,也存在一些辯護之聲,Sunbird 回應否認任何安全問題,並堅稱數據加密,「雖然協議是 HTTP,但所有數據都是加密的。」其數據密鑰是通過 HTTPS 提供的,因而聲稱通過 HTTP 請求發送的 Apple 憑據或消息是安全的且不會向公眾開放。此外,Sunbird 擁有 ISO27001 認證,這是國際公認的信息安全管理體系規範,也體現了其對用戶私隱的承諾。
We’ve removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
不論如何,Nothing Chat 的數據安全問題已經引發了足夠的關注和警惕。應用產品在追求新功能和用戶體驗的同時,不能忽視資料安全和私隱保護,這一問題亟待解決。