In big setback, Nothing pulls Chats app from Google Play Store

एक त्वरित कदम में, नथिंग चैट्स, इस हफ्ते की शुरुआत में नथिंग द्वारा लॉन्च किया गया मैसेजिंग ऐप, Google Play Store से हटा दिया गया है। आधिकारिक तौर पर, उद्धृत कारण “कई बग” हैं जिन्हें पुन: लॉन्च से पहले ठीक करने की आवश्यकता होती है – एक अनिर्दिष्ट प्रतीक्षा अवधि के साथ एक कार्रवाई। हालाँकि, उभरते हुए सबूतों की ओर इशारा किया गया है 9to5Google और अन्य सुझाव देते हैं कि वापसी केवल बग से अधिक गंभीर सुरक्षा खामियों के बारे में हो सकती है।

सनबर्ड के भ्रामक दावे

द्वारा एक सावधानीपूर्वक तकनीकी परीक्षा आयोजित की गई रिदा फ़कीह से Texts.comट्विटर उपयोगकर्ताओं के साथ @बटुहान और @1कॉननएडोगोवा, नथिंग के सेवा प्रदाता, सनबर्ड के बारे में परेशान करने वाले खुलासे हुए। कंपनी ने कथित तौर पर अपने सर्वर के माध्यम से प्रसारित संदेशों के एंड-टू-एंड एन्क्रिप्शन को गलत तरीके से प्रस्तुत किया।

पहले, नथिंग चैट्स के लिए साइन अप करने वाले उपयोगकर्ताओं को वर्चुअल मशीन चलाने वाले मैक मिनी पर होस्ट की गई अपनी ऐप्पल आईडी का उपयोग करके सनबर्ड सर्वर में लॉग इन करने की आवश्यकता होती थी। जबकि सनबर्ड ने सर्वर पर पारगमन के दौरान संदेश एन्क्रिप्शन का दावा किया था, जांचकर्ता तिकड़ी ने एक गंभीर चूक का पता लगाया। सेवा द्वारा उत्पन्न JSON वेब टोकन (JWT) को SSL की कमी वाले एक अन्य सनबर्ड सर्वर पर अनएन्क्रिप्टेड भेजा गया, जिससे वे संभावित हमलावरों द्वारा अवरोधन के प्रति संवेदनशील हो गए।

सुरक्षा संकट को बढ़ाते हुए, संदेशों को एन्क्रिप्ट किया गया और सनबर्ड सर्वर पर संग्रहीत किया गया, जिससे हमलावरों को इच्छित प्राप्तकर्ता से पहले उन तक पहुंचने का अवसर मिल गया। Texts.com ने JWTs को इंटरसेप्ट करके इस भेद्यता का प्रदर्शन किया, कोड की केवल 23 पंक्तियों के साथ फायरबेस रीयलटाइम डेटाबेस तक पहुंच प्राप्त की, जिसके परिणामस्वरूप सभी उपयोगकर्ता जानकारी और वार्तालाप डाउनलोड हो गए।

किसी भी चीज़ का जवाब न देने से पारदर्शिता पर सवाल उठते हैं

लेखक ने एक कदम आगे बढ़कर पेशकश की वेबसाइट जहां कोडिंग विशेषज्ञता वाले उपयोगकर्ता दो डिवाइसों के बीच भेजे जाने पर अपने स्वयं के संदेशों को रोक सकते हैं, जिनमें से एक नथिंग चैट्स ऐप चलाता है।

जबकि गोपनीयता का उल्लंघन पूरी तरह से सनबर्ड की ज़िम्मेदारी है, कंपनी के साथ सहयोग करने का विकल्प चुनकर, नथिंग खुद को इस मामले में उलझा हुआ पाता है। इसके अलावा, इन महत्वपूर्ण सुरक्षा खामियों को महज “बग” के रूप में संबोधित करना पारदर्शिता पर सवाल उठाता है।