尽管 Nothing 公司的联合创始人声称,其桥接 iMessage 的聊天服务将是端到端加密的,但源代码显示的情况似乎恰恰相反。
Nothing Phone (2) 的创建者于 11 月 14 日发布了 Nothing Chats。这是一项允许安卓用户在 iPhone 风格的蓝色气泡中发送信息的服务,前提是他们想用自己的 Apple ID 登录远程服务器。
要访问 Nothing Chats,用户必须拥有 Phone (2)。这项类似于 iMessage 的技术来自一家位于纽约的技术公司 Sunbird,并已集成到 Nothing 消息应用程序中。
周五,Texts.com 的创始人在推特上说,他的团队 "快速查看了 "Nothing Chats 背后的代码,发现它并不安全。" 基山-巴加利亚(Kishan Bagaria)说:"它甚至没有使用 HTTPS,而是通过明文 HTTP 发送凭证。"
使用不安全协议暴露数据
主要问题是该服务的通信协议中没有 HTTPS(超文本传输协议安全)。HTTPS 是现代互联网通信的基本安全标准,可对用户设备和服务器之间的数据进行加密。
缺乏这种加密意味着敏感信息(包括登录凭据)将使用明文 HTTP 在互联网上发送。使用这种方法是不安全的,因为它相对容易被第三方截获数据,尤其是在不安全的网络上。
调查显示,Nothing Chats 使用的后端由 BlueBubbles 提供,这是一种以缺乏端到端加密而闻名的消息服务。端到端加密是安全信息服务的一项重要功能,可确保只有通信用户才能读取信息。
缺乏这种加密意味着信息有可能被服务提供商访问或被外部实体拦截,从而对隐私构成重大威胁。
目前还没有任何公司对这一说法做出回应。
安全信息传送解决方案
据 Nothing 公司称,其消息应用程序背后的主要原因是吸引 iPhone 耳机用户完全使用其智能手机。该公司认为,信息障碍阻碍了 iPhone 用户转换平台,尤其是在群聊中成为安卓系统绿色气泡信息的唯一使用者,而不是典型的苹果蓝色气泡信息所带来的耻辱感。
与谷歌和三星等知名公司一样,Nothing 也提到了苹果公司在 iMessage 中缺乏对 RCS 的支持。它进一步声称,苹果不愿采用 RCS 会危及用户隐私。
幸运的是,苹果公司在 11 月 16 日宣布,它将在 iMessage 中添加 RCS 通用配置文件,很可能在 2024 年的 iOS 18 中推出。虽然该配置文件不包括谷歌版本的端到端加密,但苹果正在与行业机构GSMA合作,研究是否可能纳入全行业加密标准。