383 подписчика
Компании Nothing очень повезло, что весь мир занят обсуждением судьбы OpenAI и Сэма Альтмана, потому что в противном случае главной темой был бы их факап с сервисом Sunbird.
Пиар вначале был что надо.
Nothing дружит iMessage и Android-устройства, решая вечную проблему зеленых баблов. Об этом пишут все СМИ и блогеры. Apple смотрит на все это, сдается и анонсирует поддержку RCS в 2024 году, чтобы люди не занимались подобными костылями. Картинка в медиа просто шикарная, но продержалась она меньше суток, потому что потом начали появляться технические детали того, как у Sunbird реализована серверная часть их сервиса, и детали эти ничего кроме недоумения не вызывают.
Даже далекие от технологий люди имеют представление о том, что такое HTTP и HTTPS. Как минимум все современные браузеры сегодня уже предупреждают пользователей при подключении к сайтам по HTTP и спрашивают: «а вы точно хотите подключиться к сайту без шифрования. Прям точно-точно?». Видимо про HTTPS знают все, кроме разработчиков из Sunbird, потому что учетные данные Apple ID отправлялись по протоколу HTTP, который не зашифрован. В Sunbird отправлялся токен авторизации Apple ID, перехватив который злоумышленники могли получить доступ ко всей переписке пользователя.
Честно, это просто даже в голове не укладывается.
Sunbird настаивала на том, что их сервис безопасен и что учетные данные Apple ID и сообщения «всегда зашифрованы». Однако это утверждение оказалось неточным, и были обнаружены уязвимости, которые могли бы позволить злоумышленнику перехватывать все сообщения и медиафайлы Sunbird. Также выяснилось, что сотрудники Sunbird имели прямой доступ к платформе, на которой хранились тексты сообщений, контактная информация и URL-адреса вложений. 9to5Google выяснил, что Sunbird хранит более 630 000 медиафайлов, таких как изображения, видео и PDF-файлы своих пользователей.
Забавно, что детальным изучением проблем безопасноти Sunbird занимался сервис Texts.com, который делает в целом анологичный продукт – месенджер, который агрегирует другие мессенджеры в одном сервисе. И можно было бы списать это расследование на недобросовестную конкуренцию и желание оклеветать почти прямого конкурента, но за Texts.com стоит компания, которой среди прочего принадлежит WordPress – один из самых популярных движков для сайтов в интеренете. Поэтому эти ребята к вопросам безопасности подходят действительно строго.
Рон Амадео в своей статье на ArsTechnica напрямую пишет, что компитентность разработчиков Sunbird вызывает вопросы. Там же в статье можете найти чуть больше технических деталей, если интересно.
Если вы вдруг устанавливали приложение Sunbird или приложение от Nothing, то немедленно смените пароли от Apple ID. Разработчик Батухан Ичоз сделал утилиту, которая позволяет удалить некоторые ваши данные с серверов Firebase, которые используют разработчики Sunbird.
Повторюсь, вся эта ситуация – полная катастрофа.
И тут хочется вернуться к личности Карла Пея, о котором я делал целый подкаст. Как гениальный маркетолог – новый Стив Джобс нашего времени – мог поставить репутацию компании на такой проект? Где был отдел информационной безопасности Nothing? Как можно было не проверить такие базовые вещи, как использование HTTPS для передачи данных? Если Nothing не даст внятных ответов на все эти вопросы после паузы, которую они взяли удалив приложение из Google Play Store до решения проблем с безопасностью, вся эта история очень негативно отразится на дальнейшем будущем компании.
2 минуты
23 ноября 2023