Selular.ID – Nothing Chats, aplikasi tiruan iMessage yang diluncurkan perusahaan awal pekan ini, telah ditarik dari Google Play Store.
Alasan resminya adalah “beberapa bug” yang butuh waktu untuk diperbaiki oleh perusahaan sebelum meluncurkannya kembali setelah jangka waktu yang tidak ditentukan.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
Namun, ada cukup bukti untuk mendukung gagasan bahwa aplikasi tersebut ditarik bukan karena “bug”, seperti yang dikatakan oleh Nothing, melainkan karena beberapa masalah keamanan yang mencolok.
Menurut analisis teknis menyeluruh oleh penulis Texts.com Rida F’kih dan pengguna Twitter @batuhan dan @1ConanEdogowa, penyedia layanan Nothing, Sunbird, kedapatan berbohong tentang sifat terenkripsi ujung ke ujung dari pesan yang dirutekan melalui servernya.
Baca Juga: Apple Menyerah, iPhone Bakal Adopsi RCS
Seperti yang diungkapkan sebelumnya, mendaftar untuk menggunakan Nothing Chats memerlukan pendaftaran ke server Sunbird menggunakan ID Apple, yang dijalankan di Mac mini yang menjalankan mesin virtual.
Pesan yang dikirim ke server dienkripsi, seperti yang diklaim oleh Sunbird.
Namun, seperti yang ditemukan oleh penulis yang disebutkan di atas, Token Web JSON atau JWT yang dihasilkan layanan dikirim lagi tanpa terenkripsi ke server Sunbird lain tanpa SSL, sehingga memungkinkan untuk dicegat oleh penyerang.
texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure
it's not even using HTTPS, credentials are sent over plaintext HTTP
backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023
Selain itu, pesan-pesan tersebut didekripsi dan kemudian disimpan di server Sunbird, memberikan waktu bagi penyerang untuk mengaksesnya sebelum pengguna mengaksesnya.
Texts.com mendemonstrasikan hal ini dengan mengirimkan beberapa pesan antara dua perangkat dan mencegat JWT, yang memberi mereka akses ke database realtime Firebase.
Sejak saat itu, yang diperlukan hanyalah 23 baris kode untuk mengunduh semua informasi dan percakapan pengguna.
@ridafkih @batuhan @1ConanEdogawa dug a bit further and found out all incoming texts/media are not only stored unencrypted but also all outgoing texts are being leaked to a sentry server in plaintext pic.twitter.com/GOqiatPNaE
— Kishan Bagaria (@KishanBagaria) November 18, 2023
Untuk lebih jelasnya, masalah privasi sepenuhnya merupakan kesalahan Sunbird.
Namun, dengan memilih bekerja sama dengan perusahaan tersebut, Nothing juga ikut terlibat dalam masalah tersebut.
Terlebih lagi, menyebut situasi yang agak gawat ini sebagai “serangga” sangatlah tidak jujur.
Kita harus melihat dalam keadaan apa layanan tersebut muncul kembali ketika Nothing memutuskan untuk mengembalikan aplikasi ke toko. Sudah jelas bahwa Anda mungkin tidak boleh masuk ke server layanan pihak ketiga dengan ID Apple Anda, meskipun itu dienkripsi.
Namun tampaknya tidak ada gunanya sekarang karena Apple mengumumkan dukungan RCS.
Baca Juga: 4 Operator AS Siap Ganti SMS dengan RCS