T'interessano le OFFERTE? Risparmia con i nostri coupon su WHATSAPP o TELEGRAM!

iMessage per Android è durato poco: non si scappa dalla lente degli utenti | AGGIORNAMENTO

19 Novembre 2023

Smartphone con porta di una cassaforte aperta che mostra le icone di iMessage e Android, simboleggiando una violazione della sicurezza digitale

Nothing ha recentemente attirato l’attenzione nella comunità tecnologica per il suo tentativo di portare iMessage agli utenti Android con Nothing Chats. Questo servizio promette una cambio di rotta nella messaggistica istantanea, ma ora si trova al centro di preoccupazioni per la sicurezza. La scoperta che le credenziali di accesso Apple potrebbero essere inviate senza una crittografia adeguata solleva seri dubbi sulla protezione dei dati degli utenti.

AGGIORNAMENTO A FINE ARTICOLO

Dubbi sulla sicurezza: iMessage per Android a rischio?

Nonostante le affermazioni iniziali di Nothing sulla sicurezza e sulla crittografia end-to-end dei messaggi, recenti analisi tecniche suggeriscono che le credenziali Apple vengano inviate in modo non sicuro. Esperti nel campo della sicurezza informatica hanno sollevato preoccupazioni specifiche sul metodo di trasmissione delle credenziali e sulla mancanza di crittografia. Questo gap nella sicurezza potrebbe esporre gli utenti a rischi di attacchi di tipo man-in-the-middle o altri problemi di sicurezza.

In risposta alle accuse, Nothing ha fornito chiarimenti, sostenendo che le credenziali sono effettivamente tokenizzate e mantenute in un database crittografato, insistendo sulla sicurezza del loro sistema. Tuttavia, queste spiegazioni non hanno completamente placato i timori sulla sicurezza dei dati degli utenti, lasciando aperte alcune domande sulla veridicità e l’efficacia delle misure di sicurezza adottate.

texts team took a quick look at the tech behind nothing chats and found out it's extremely insecure

it's not even using HTTPS, credentials are sent over plaintext HTTP

backend is running an instance of BlueBubbles, which doesn't support end-to-end encryption yet pic.twitter.com/IcWyIbKE86
— Kishan Bagaria (@KishanBagaria) November 17, 2023

Insomma, iMessage per Android potrebbe sì essere un qualcosa di davvero rivoluzionario, per quanto però non completamente compatibile tra i due ecosistemi (Apple e Android). In termini di sicurezza, come sappiamo, la mela morsicata è davvero blidanta a dovere, mentre l’altro sistema, essendo open source, potrebbe trovare degli escamotage per aggirare tali norme di sicurezza.

Confrontando la sicurezza di iMessage di Apple con l’implementazione di Nothing Chats, si evidenziano notevoli differenze nella protezione dei dati e nell’uso della crittografia. Mentre iMessage è noto per la sua robusta sicurezza, le recenti rivelazioni su Nothing Chats suscitano dubbi sull’affidabilità del servizio quando si tratta di proteggere le informazioni sensibili degli utenti.

Quali sono i problemi di iMessage per Android?

Sebbene abbiamo descritto a dovere quali sono i problemi, ci sembra doveroso fare uno schema per rendere più chiari i problemi emersi:

uso della tecnologia Sunbird: Nothing Chats utilizza la tecnologia Sunbird per implementare iMessage di Apple su dispositivi Android. Questo richiede agli utenti di fornire il proprio Apple ID;
processo di tokenizzazione e distruzione dei dati: nonostante le affermazioni di Nothing riguardo la tokenizzazione dell’Apple ID in un database criptato e la successiva distruzione dei dati originali dell’Apple ID, permangono dubbi sulla reale sicurezza di questi processi;
mancanza di crittografia End-to-End effettiva: contrariamente a quanto affermato da Nothing, l’effettiva crittografia end-to-end e la privacy sembrano essere compromesse;
uso di HTTP Invece di HTTPS: Nothing Chats invia le credenziali degli utenti tramite HTTP in testo chiaro, anziché utilizzare HTTPS, che è uno standard più sicuro;
utilizzo del server BlueBubbles: il backend di Nothing Chats è basato su un server BlueBubbles anziché su un Mac Mini: il primo non supporta la crittografia end-to-end;
dichiarazioni contraddittorie su BlueBubbles e Sunbird: Nothing ha sostenuto che l’uso del termine BlueBubbles è solo una coincidenza e che Sunbird non utilizza la tecnologia BlueBubbles. Tuttavia, non hanno fornito spiegazioni sulla mancanza di uso di HTTPS;
conservazione di testi e media non criptati su Firebase: Nothing Chats conserva tutti i testi e i media in arrivo in un formato non crittografato su Firebase.

AGGIORNAMENTO 19/11/2023

Come si poteva immaginare, iMessage per Android è stato ritirato dal Play Store. Inizialmente nulla sembrava affermanre che ciò fosse stato fatto a causa della scoperta di diversi bug che dovevano semplicemente essere risolti. Sembra però che il vero motivo sia un altro, ed è peggio.

Ricordiamo che l’interazione tra il messenger Android e iMessage avviene da terzi. È rappresentata dalla società Sunbird, che fornisce la sua piattaforma attraverso la quale avviene la magia. Tuttavia, si è scoperto che in termini di sicurezza dei dati, questa piattaforma è apparentemente molto peggiore di quanto affermato dalla stessa Sunbird. In particolare, non esiste alcuna crittografia end-to-end.

La piattaforma Sunbird, e quindi l’app Nothing Chats, richiede che un nuovo utente dell’app invii le proprie credenziali ID Apple per impostare la sincronizzazione. Questi dati vengono quindi autenticati per tuo conto utilizzando una macchina virtuale che esegue MacOS. Il problema principale è che la richiesta contenente le credenziali dell’utente avviene su un canale non crittografato (HTTP).

La situazione nel suo complesso è più complessa ed è ampiamente descritta sul sito Text.Blog, dove diversi specialisti spiegano come hanno scoperto il problema e di cosa si tratta. Tra l’altro dimostrano che è possibile ottenere i dati personali degli utenti. quindi, in effetti, Nothing potrebbe non essere responsabile della situazione.