最近,没有任何事情因其尝试而引起科技界的关注。 为 Android 用户带来 iMessage 没有聊天。 这项服务有望改变即时通讯领域的游戏规则,但现在它已成为即时通讯的核心 安全问题。 该 发现 苹果登录凭证可能在没有充分加密的情况下发送,这引发了人们对用户数据保护的严重担忧。
文章末尾的更新
安全问题:Android 版 iMessage 面临风险?
尽管Nothing最初声称安全性和端到端消息加密,但最近的技术分析表明 Apple 凭证的发送方式不安全。 网络安全领域的专家对传输凭证的方法和信息提出了具体的担忧。 缺乏加密。 此安全漏洞可能会使用户面临中间人攻击或其他安全问题的风险。
针对这些指控,没有提供任何澄清, 声称凭证已有效标记并保存在加密数据库中,坚持其系统的安全性。 然而,这些解释并没有完全消除人们对用户数据安全的担忧,对所采取的安全措施的准确性和有效性留下了一些疑问。
简而言之,尽管两个生态系统(Apple 和 Android)之间并不完全兼容,但 Android 版 iMessage 可能会成为真正的革命性产品。 从安全性来说,众所周知,被咬的苹果确实是 装甲车 正确,而另一个系统是开源的,可以找到一些 规避这些安全规定的伎俩.
将 Apple iMessage 与 Nothing Chats 实施的安全性进行比较,可以发现数据保护和加密使用方面的显着差异。 尽管 iMessage 以其强大的安全性而闻名最近有关 Nothing Chats 的曝光引发了人们对该服务在保护用户敏感信息方面的可靠性的怀疑。
Android 版 iMessage 有哪些问题?
虽然我们已经充分描述了问题是什么,但我们觉得还是有必要做一个图来让出现的问题更加清晰:
- 使用太阳鸟技术:Nothing Chats 使用 Sunbird 技术在 Android 设备上实现 Apple 的 iMessage。 这需要用户提供他们的 Apple ID;
- 代币化和数据销毁的过程:尽管Nothing声称在加密数据库中对Apple ID进行令牌化并随后销毁原始Apple ID数据,但人们仍然对这些过程的实际安全性存有疑虑;
- 缺乏有效的端到端加密:与 Nothing 的说法相反,实际的端到端加密和隐私似乎受到了损害;
- 使用 HTTP 而不是 HTTPS:Nothing Chats 通过 HTTP 以纯文本形式发送用户凭据,而不是使用 HTTPS,这是一种更安全的标准;
- BlueBubbles 服务器的使用:Nothing Chats 的后端基于 BlueBubbles 服务器而不是 Mac Mini:前者不支持端到端加密;
- 关于 BlueBubbles 和 Sunbird 的矛盾陈述:没有人认为 BlueBubbles 一词的使用只是巧合,Sunbird 并未使用 BlueBubbles 技术。 然而,他们没有对没有使用 HTTPS 提供任何解释;
- 在 Firebase 上保留未加密的文本和媒体:Nothing Chats 在 Firebase 上以未加密的格式存储所有传入文本和媒体。
19 / 11 / 2023更新
正如您可能想象的那样,Android 版 iMessage 是 从 Play 商店撤回。 最初似乎没有任何迹象表明这是由于发现了几个需要修复的错误而完成的。 然而,真正的原因似乎是另外一个,而且更糟糕。
回想一下, Android Messenger 和 iMessage 之间的交互是通过第三方进行的。 她的代表是太阳鸟公司,该公司为她提供了实现奇迹的平台。 但事实证明,在数据安全方面,这个平台显然比Sunbird自己声称的要差很多。 尤其, 没有端到端加密.
Sunbird 平台以及 Nothing Chats 应用程序需要新的应用程序用户提交其 Apple ID 凭据才能设置同步。 那么这个数据就是 使用运行 MacOS 的虚拟机代表您进行身份验证。 主要问题是包含用户凭据的请求是通过未加密的通道 (HTTP) 发生的。
整体情况比较复杂,影响也比较广泛 T网站上有描述ext.博客,其中几位专家解释了他们如何发现问题以及问题是什么。 除此之外,它们证明了获取用户个人数据是可能的。 所以,事实上, 没有什么可以对这种情况负责.