Privatsphäre-Alptraum: Nothings iMessage App verschwindet nur einen Tag nach Launch
Nothing hat vergangene Woche eine iMessage-App für Android angekündigt, die Nothing Chats genannt wird. Am Freitag, dem 17. November, wurde diese Anwendung auf Google Play veröffentlicht, am Samstag wurde die App schon wieder aus dem Store entfernt. Offiziell heißt es dazu im unten eingebetteten X-Post von Nothing, dass der Software-Partner Sunbird noch "Fehler beheben" würde.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
— Nothing (@nothing) November 18, 2023
We apologise for the delay and will do right by our users.
Schon die Community-Note-Box weist darauf hin, dass das nicht ganz der Wahrheit entspricht, und auch das Timing dürfte keinesfalls ein Zufall sein. Denn die App wurde entfernt, nachdem ein Artikel auf Texts.blog veröffentlicht wurde, der zahlreiche Sicherheitslücken der Nothing Chats App aufgedeckt hat. Auch der Entwickler Dylan Roussel hat sich die App näher angesehen, und dabei entdeckt, dass Sunbird auf jede einzelne Nachricht zugreifen kann, die über Nothing Chats geschickt und empfangen wird – obwohl die Anwendung als Ende-zu-Ende verschlüsselt vermarktet wird.
Da Sunbird ein System zum Übertragen von Fehlermeldungen auf Android ausnutzt, um Nachrichten auszulesen, spricht vieles dafür, dass dies mit voller Absicht geschieht. Diese Nachrichten werden darüber hinaus unverschlüsselt per HTTP an die Server von Sunbird übertragen, und dort als Text gespeichert, ebenfalls ohne Verschlüsselung.
Nothing hat sich bisher nicht zu diesen Vorwürfen geäußert, und auch auf keinerlei Presseanfragen reagiert. Die offizielle FAQ zur Nothing Chats App beteuert nach wie vor, dass weder Nothing noch Sunbird auf die Nachrichten des Anwenders zugreifen können. Wer die App bereits heruntergeladen hat, sollte die Nutzung bis auf Weiteres einstellen. Mittlerweile hat Apple bestätigt, dass iMessages schon ab nächstem Jahr den RCS-Standard unterstützen werden, sodass Audio-, Video- und Bildnachrichten auch ohne Drittanbieter-Apps problemlos zwischen iPhones und Android-Smartphones verschickt werden können.
Sunbird has access to every message sent and received through the app. They do this by abusing @getsentry, which is used to monitor errors.
— Dylan Roussel (@evowizz) November 18, 2023
But Sunbird logs messages, pretending they are errors.
Here are part of the requests (img 1, 3) and their entire "message" (img 2, 4) pic.twitter.com/pzwwQVWfOb