Achim Maier
Nothing Chats kam Anfang der Woche auf den Markt, um iMessage auf Android-Geräte zu bringen. Doch nun wurde die App schon wieder aus dem Google Play Store entfernt. Die offizielle Begründung lautet: „Mehrere Fehler“, für deren Behebung das Unternehmen Zeit brauche. Es gibt aber genügend Hinweise, dass die App nicht aufgrund von Fehlern, sondern vielmehr aufgrund einiger schwerwiegender Sicherheitsprobleme zurückgezogen wurde.
Laut einer gründlichen technischen Analyse von texts.com-Autor Rida F’kih und den Twitter-Nutzern @batuhan und @1ConanEdogowa wurde Nothings Dienstanbieter Sunbird bei Falschaussagen über die End-to-End-Verschlüsselung der über seine Server weitergeleiteten Nachrichten erwischt. Wie bereits erwähnt, musste man sich für Nothing Chats auf den Sunbird-Servern anmelden. Und zwar mit einer Apple-ID, die auf einem Mac mini in einer virtuellen Maschine lief. An die Server gesendete Nachrichten werden verschlüsselt, wie Sunbird behauptet. Wie die oben genannten Autoren jedoch herausgefunden haben, sendet Sunbird die generierten JSON-Web-Tokens (JWT) wieder unverschlüsselt an einen anderen Sunbird-Server ohne SSL. Dadurch können sie von einem Angreifer abgefangen werden.
Sunbird speichert entschlüsselte Nachrichten auf eigenen Servern
Darüber hinaus entschlüsselt Sunbird die Nachrichten und speichert sie dann auf seinen Servern, sodass Angreifer vor dem Nutzer darauf zugreifen können. Texts.com verschickte einige Nachrichten zwischen zwei Geräten und fing das JWT ab, wodurch sie Zugriff auf die Firebase-Echtzeitdatenbank erhielten. Von diesem Zeitpunkt an waren nur noch 23 Codezeilen erforderlich, um alle Nutzerinformationen und Unterhaltungen herunterzuladen.
Der Autor stellte außerdem eine Webseite bereit, auf der ein Nutzer mit ausreichenden Kenntnissen des Codes seine eigenen Nachrichten abfangen kann. Voraussetzung sind lediglich Nachrichten zwischen zwei Geräten, von denen eins die Nothing Chats-App ausführt.
Die Schuld an dem Datenschutzproblem hat Sunbird. Durch die Zusammenarbeit mit dem Unternehmen ist aber auch Nothing in die Angelegenheit verwickelt. Darüber hinaus bezeichnete Nothing die Situation ziemlich lapidar als „Fehler“ statt als ernsthaftes Sicherheitsproblem.
Es bleibt abzuwarten, in welchem Zustand der Dienst wieder online geht, sollte Nothing Charts in den Play Store zurückkehren. Wahrscheinlich sollte man sich aber sowieso nicht mit seiner Apple-ID bei den Servern eines Drittanbieters anmelden, selbst wenn diese verschlüsselt ist. Da Apple aber erst gestern RCS-Unterstützung für seine iPhones angekündigt hat, stellt sich sowieso die Frage nach der Daseinsberechtigung von Nothing Chats.
