Dalam kemunduran besar, Tidak ada yang menarik aplikasi Obrolan dari Google Play Store
Dalam sekejap, Nothing Chats, aplikasi perpesanan yang diluncurkan oleh Nothing awal pekan ini, telah ditarik dari Google Play Store. Secara resmi, alasan yang disebutkan adalah “beberapa bug” yang memerlukan perbaikan sebelum diluncurkan kembali – suatu tindakan disertai dengan masa tunggu yang tidak ditentukan. Namun, bukti yang muncul yang dikemukakan oleh 9to5Google dan lainnya menunjukkan bahwa penarikan tersebut mungkin lebih disebabkan oleh kelemahan keamanan yang mencolok daripada sekadar bug.
Klaim Menipu Sunbird
Pemeriksaan teknis yang cermat dilakukan oleh Rida F’kih dari Texts.com, bersama dengan pengguna Twitter @batuhan Dan @1ConanEdogowa, mengungkapkan pengungkapan yang meresahkan tentang penyedia layanan Nothing, Sunbird. Perusahaan tersebut diduga salah mengartikan enkripsi pesan end-to-end yang dikirimkan melalui servernya.
Sebelumnya, pengguna yang mendaftar ke Nothing Chats perlu masuk ke server Sunbird menggunakan ID Apple mereka, yang dihosting di Mac mini yang menjalankan mesin virtual. Meskipun Sunbird mengklaim enkripsi pesan selama transit ke server, trio investigasi menemukan adanya kesalahan kritis. JSON Web Tokens (JWT) yang dihasilkan oleh layanan dikirim tanpa terenkripsi ke server Sunbird lain yang tidak memiliki SSL, sehingga rentan terhadap intersepsi oleh calon penyerang.
Menambah masalah keamanan, pesan dienkripsi dan disimpan di server Sunbird, memberikan peluang bagi penyerang untuk mengaksesnya sebelum penerima yang dituju. Texts.com menunjukkan kerentanan ini dengan mencegat JWT, mendapatkan akses ke database realtime Firebase hanya dengan 23 baris kode, sehingga semua informasi dan percakapan pengguna diunduh.
Tanggapan Tidak Ada yang Menimbulkan Pertanyaan Transparansi
Penulis melangkah lebih jauh dengan menawarkan sebuah situs web di mana pengguna dengan keahlian pengkodean dapat mencegat pesan mereka sendiri ketika dikirim antara dua perangkat, salah satunya menjalankan aplikasi Nothing Chats.
Meskipun pelanggaran privasi adalah tanggung jawab Sunbird, dengan memilih berkolaborasi dengan perusahaan, Nothing tidak akan terjerat dalam masalah ini. Selain itu, mengatasi kelemahan keamanan yang signifikan ini hanya sebagai “bug” akan menimbulkan pertanyaan tentang transparansi.
