Foto: Sunbird
Die Debatte über grüne Blasen in iMessages ist eine eher amerikanische Angelegenheit, wie etwa auch unser US-Kollege Jason Cross ausführt, in Deutschland (und auch in den meisten anderen Weltgegenden) installieren sich die Leute als Erstes Whatsapp und nutzen das. Apple gibt zwar den Forderungen Googles nach und wird ab iOS 18 das iPhone für den Standard RCS öffnen: Die SMS bekommt dadurch ihren Todesstoß, nicht aber die grünen Blasen.
Um das Problem zu lösen, hat der Hersteller Nothing mit seinem Partner Sunbird einen Dienst aufgesetzt, der aus grünen Blasen blaue machen sollte. Doch schon wenige Tage nach der Ankündigung ziehen Nothing und Sunbird wieder den Stecker, denn die Lösung hätte eine massive Verletzung der Datensicherheit bedeutet.
Ein Trick mit Selbstüberlistung
Sunbird Messaging ist konzipiert als eine über Android und als Web-App nutzbare App, die Messaging-Apps wie iMessage/Nachrichten von Apple SMS/MMS, Facebook-Messenger und Whatsapp in eine einzige Inbox packt. Für Android-User insbesondere mit Nothing(2)-Phones hätte dies bedeutet, dass sie wie auf einem iPhone blaue statt grüne Sprechblasen bei der Kommunikation erhalten. Um dies zu ermöglichen, hatte Nothing einen kleinen Trick genutzt und über seinen Partner ein Relais geschaltet, auf das alle Android-Nachrichten umgeleitet wurden.
Diese wurden auf einen Mac weitergesandt, wo sie gewissermaßen iMessage-konform konvertiert wurden. Und hier entsteht das Problem: Denn dazu muss man seine Apple-ID samt Passwort auf den Servern von Sunbird speichern lassen. Es ist klar, dass damit prinzipiell die Gefahr besteht, dass Dritte auf die Apple-ID, zumindest auf das sogenannte Token, zugreifen könnten.
Dass diese Brücke recht wacklig ist und dem Datenschutz Hohn spricht, hat Nothing jetzt eingesehen. Wie Appleinsider berichtet, haben Nothing und Sunbird die "schockierend unsichere iMessage-Brücke" zurückgezogen, nachdem entdeckt wurde, dass Sunbird nicht nur Nachrichten, vCards und mehr protokollierte und aufbewahrte und die entsprechenden Nutzerdaten zudem auch von anderen heruntergeladen werden konnten.
Nothing Chats wurde daher am vergangenen Samstag, nur wenige Tage nach seiner Einführung, wieder aus dem Google Play Store entfernt. Die App wurde am 14. November eingeführt, doch schon nach wenigen Tagen wurden Verdachtsmomente laut, darunter die offenbar fehlende Verschlüsselung und das Versenden von Anmeldedaten über das Internet mit Klartext-HTTP, heißt es in dem Bericht weiter. Am Samstag folgten weitere Enthüllungen über "den erstaunlichen Mangel an Sicherheitsvorkehrungen für die App". In einem Beitrag auf X/Twitter teilte Nothing mit, dass es "den Start bis auf Weiteres verschiebt, um mit Sunbird an der Behebung mehrerer Fehler zu arbeiten".
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
- Nothing (@nothing) November 18, 2023
Entwickler Dylan Roussel entdeckt massive Sicherheitsprobleme
Zuvor stellte der Android-App-Entwickler Dylan Roussel nach seinen Untersuchungen fest, dass die App für ihre Nutzer extrem unsicher sei. Laut Roussel habe Sunbird "Zugriff auf jede Nachricht, die über die App auf Ihrem Gerät gesendet und empfangen wird". Alle Dokumente, einschließlich Bilder, Videos und vCards, die über die App gesendet werden, seien öffentlich einsehbar. Nothing Chats nutze keine Ende-zu-Ende-Verschlüsselung.
Roussel zufolge hat Sunbird Zugang zu sensiblen User-Daten, da es das Fehlererkennungswerkzeug Sentry "missbraucht", berichtet Appleinsider dazu weiter. Anstatt Sentry nur zur Fehlerprotokollierung zu nutzen, würde Sunbird via Sentry stattdessen auch Nachrichten zu protokollieren und "so tun, als seien sie Fehler".
Roussel führt aufgrund eigener Versuche auch weitere Sicherheitsbedenken an. So konnte Roussel eine der etwa 2300 vCards aus dem Archiv herunterladen und zeigen, dass es möglich war, die Telefonnummern und Daten anderer Nutzer zu erhalten. Daher ist es kein Wunder, dass Nothing erst einmal den Stecker zog. Es bleibt spannend, wie sich die ganze Geschichte entwickelt. Apple-Chef Tim Cook würde wohl sagen, er habe es ja gleich gewusst und schon damals sinngemäß gesagt: "Kaufen Sie Ihrer Mutter doch ein iPhone, wenn sie Apple-Dienste wie iMessage nutzen wollen…". (Macwelt)