Segurança da Solução iMessage da Nothing: Verdade ou Ilusão?
“Nothing Chats, serviço de mensagens para Android, pode ter problemas de segurança, não usando encriptação ao enviar credenciais Apple. A empresa refuta alegações.”
O Nothing Chats, um serviço para trazer o iMessage da Apple para dispositivos Android, está sob fogo quanto à sua segurança. Foram levantadas questões sobre se as credenciais de login da Apple estariam ou não a ser criptografadas durante o envio, deixando-o vulnerável a ataques man-in-the-middle.
A empresa afirma que as informações visíveis num formato de texto simples são apenas uma versão tokenizada das credenciais da Apple ID e não a password real, desvalorizando quaisquer vulnerabilidade para potenciais agressores. Assegura ainda que todos os dados dos utilizadores são encriptados e mantidos em segurança.
O domínio do iMessage em nós EUA
O iMessage da Apple apresenta-se como líder no mercado de mensagens instantâneas nos Estados Unidos. Marcas como a Nothing sentem por isso a necessidade de encontrar formas alternativas de satisfazer clientes potenciais, preocupados com a divergência entre sistemas operativos. Uma dessas medidas passou pelo anúncio recente da Nothing de oferecer o iMessage nos seus dispositivos Android, através de um serviço chamado Sunbird. No entanto, esta parecia ser uma oferta demasiado positiva para ser real, surgindo agora dúvidas de segurança sobre esta implementação do iMessage.
A acusação e defesa em torno da codificação do Nothing Chats
A situação agravou-se quando denúncias afirmaram que a implementação do iMessage por parte da Nothing não usava criptografia nos dados de login da Apple. Alegadamente, este tipo de informação extremamente sensível estaria a ser transmitida em texto simples via HTTP, sem qualquer uso de HTTPS.
Ainda que o serviço BlueBubble, alegadamente usado pelo Sunbird, não suporte encriptação de ponta a ponta, a sua FAQ revela que todas as conexões utilizam por padrão a codificação sobre HTTPS/WSS e TLS. Assim, é de esperar que haja algum tipo de encriptação, mesmo que não seja consistente durante todo o trânsito de dados.
Estas afirmações contradizem os comentários prévios da Nothing, garantindo que todas as mensagens enviadas pelo Chats são encriptadas de ponta a ponta. A empresa declarou também que a arquitetura do Sunbird permite a entrega de mensagens entre utilizadores sem que essas sejam armazenadas em qualquer momento. Para adicionar mais confusão, o co-fundador da Nothing, Akis Evangelidis, reiterou que todas as mensagens são encriptadas de ponta a ponta.
A resposta da Nothing
Em resposta à crítica da ausência de criptografia das credenciais, a Nothing frisou que o texto claro observado corresponde apenas a uma versão tokenizada das credenciais Apple ID. Adicionaram ainda que o protocolo HTTP é utilizado numa única requisição inicial, sendo que toda a informação sensível é sempre criptografada.
Relativamente ao uso do código BlueBubbles, a Nothing garantiu que foi apenas uma coincidência, derivada do nome dado aos servidores do Sunbird há vários anos.
Perspectivas futuras
Entretanto a Apple anunciou que adicionará funcionalidade RCS ao iMessage em 2024. Atendendo às explicações da Nothing, talvez seja mais prudente para os utilizadores esperar uns meses adicionais e comunicar por RCS com os correspondentes que usem iPhone.
Fiquem atentos ao AndroidGeek para todas as notícias relacionadas com tecnologia!
Leiam as últimas notícias do mundo da tecnologia no Google News , Facebook e Twitter e também no nosso Grupo de Telegram
 Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
