Das war wohl nichts: Sicherheitsdesaster mit Nothing Chats

Bei Nothing Chats handelt es sich um neue eine Messenger-App. Entwickelt wurde sie vom Hersteller des beliebten Nothing Phones, welches oft auch als nächster „iPhone-Killer“ bezeichnet wird. Als wichtigstes Verkaufsargument von Nothing Chats galt das Versprechen, Android-Benutzern die Möglichkeit zur vollständigen Kommunikation über iMessage zu geben – einem Messenger-System, das bisher nur iPhone-Besitzern vorbehalten war.

Fast unmittelbar nach dem Start der App wurde jedoch bekannt, dass Nothing Chats mit einer ganzen Reihe gravierender Sicherheits- und Datenschutzmängel daherkam. Diese waren so schwerwiegend, dass nicht mal 24 Stunden vergingen, bis die App nach seiner Veröffentlichung wieder aus Google Play Store entfernt werden musste. Schauen wir uns genauer an, was geschah.

Nothing Chats, Sunbird und iMessage for Android

Der Messenger von Nothing Chats wurde am 14. November 2023 in einem Video des bekannten YouTube-Bloggers Marques Brownlee (alias MKBHD) angekündigt. Dieser berichtete, dass die neue Messenger-App von Nothing das Ziel hat, Besitzern eines Nothing Phones (welches auf Android basiert) die Kommunitation mit iOS-Benutzern über iMessage zu ermöglichen.

Übrigens: Eine Empfehlung für Interessierte ist das Video von MKBHD allemal, da er die Funktionsweise des neuen Messengers gut erklärt.

Darüber hinaus wird in dem Video auch kurz auf die technische Seite der Umsetzung eingegangen. Demnach müssen die Benutzer von Nothing Chats der App zunächst den Benutzernamen und das Kennwort ihrer Apple ID mitteilen. Wer noch keine Apple ID besitzt, muss sich also eine erstellen. Anschließend wird das Apple-Konto „auf einem Mac mini irgendwo auf einer Serverfarm“ (direktes Zitat aus dem Video) angemeldet. Der Remote-Computer dient dann als Vermittler, um Nachrichten vom Smartphone des Benutzers an das iMessage-System zu übertragen, und umgekehrt.

Am Ende der sechsten Minute des Videos betont der Autor dann auch gewissenhaft, dass dieser Ansatz einige ernsthafte Risiken mit sich bringt. In der Tat ist es aus vielen Gründen eine äußerst schlechte Idee, sich mit Ihrer Apple ID auf einem fremden Gerät anzumelden, das weder Ihnen gehört noch einen bekannten Standort besitzt.

Die begehrten blauen Nachrichtenblasen von iMessage – sie waren das größte Versprechen von Nothing Chats

Das Unternehmen Nothing machte keinen Hehl daraus, dass es sich bei „iMessage for Android“ nicht um eine reine Eigenentwicklung handelte. Stattdessen hatte man sich mit einem anderen Unternehmen namens Sunbird zusammengetan, sodass Nothing Chats bis auf einige kosmetische Anpassungen an der Benutzeroberfläche ein Klon der App Sunbird: iMessage for Android war. Die Sunbird-App wurde der Presse zwar bereits im Dezember 2022 vorgestellt, ihre vollständige Einführung für ein breites Publikum ließ durch regelmäßige Verschiebungen aber auf sich warten.

Nothing Chats und die Sicherheitsprobleme

Nach der Ankündigung kam umgehend der Verdacht auf, dass Nothing und Sunbird mit massiven Datenschutz- und Sicherheitsproblemen konfrontiert sein würden. Wie bereits erwähnt, ist es hochgradig riskant, sich mit Ihrer Apple ID auf einem fremden Gerät anzumelden. Das Konto gewährt nicht nur die vollständige Kontrolle über äußerst sensible Nutzerdaten, sondern mittels Apples Wo ist?-Funktion auch Zugriff auf die Geräteinformationen selbst.

Um auf die Bedenken der Benutzer einzugehen, behaupteten sowohl Sunbird als auch Nothing auf ihren Websites, dass weder die Anmeldeinformationen noch die Kennwörter irgendwo gespeichert werden. Darüber sollten alle Nachrichten durch Ende-zu-Ende-Verschlüsselung geschützt und überhaupt alles absolut sicher sein.

Website von Sunbird, auf der die Sicherheit und der Datenschutz von iMessage for Android sowie die Verwendung der Ende-zu-Ende-Verschlüsselung bestätigt werden (Achtung, Spoiler: Nichts davon ist wahr)

Die Realität war jedoch selbst von den Erwartungen der größten Skeptiker weit entfernt. Nachdem die App erschien, wurde schnell klar, dass sie ihre Versprechungen in Bezug auf die Ende-zu-Ende-Verschlüsselung in keiner Weise eingehalten hatte. Aber das war nur die Spitze des Eisbergs. Denn alle Nachrichten und Dateien, die ein Benutzer gesendet oder empfangen hat, wurden von Nothing Chats in unverschlüsselter Form umgehend an zwei weitere Dienste übertragen: Zum einen an die Google Firebase-Datenbank und zum anderen an einen Dienst zum Fehler-Monitoring namens Sentry. Über letzteren bekamen die Mitarbeiter von Sunbird auch noch Zugriff auf diese Nachrichten.

Auch im FAQ-Bereich auf der offiziellen Seite von Nothing Chats wird die Ende-zu-Ende-Verschlüsselung explizit erwähnt

Und als ob das noch nicht genug wäre, konnten nicht nur die Mitarbeiter von Sunbird, sondern alle weiteren Interessierten diese Nachrichten lesen. Das Problem bestand darin, dass der für die Authentifizierung in Firebase erforderliche Token von der App über eine ungeschützte HTTP-Verbindung gesendet wurde und daher von Dritten abgegriffen werden konnte. Anschließend gewährte dieser Token den Zugriff auf alle Nachrichten und Dateien von allen Benutzern des Messengers. Denn wie oben bereits erwähnt, wurden diese Daten im Klartext an Firebase gesendet.

Um das noch einmal zu verdeutlichen: Trotz expliziter Zusicherung einer Ende-zu-Ende-Verschlüsselung konnten in Nothing Chats alle Nachrichten und alle gesendeten Dateien von allen Benutzern durch jeden abgegriffen werden.

Dass obendrein auf FAQ-Seite von Nothing Chats behauptet wird, dass die Nachrichten nirgendwo gespeichert werden, setzt der Dreistigkeit noch die Krone auf.

Von einem der Forscher, der sich mit Analyse der Schwachstellen von Nothing Chats/Sunbird beschäftigt hat, wurde eine einfache Website erstellt, auf der man die Machbarkeit eines Angriffs nachweisen kann. Anhand der Seite kann jeder erkennen, dass seine Nachrichten in iMessage for Android tatsächlich leicht abgefangen werden können.

Kurz nach dem Bekanntwerden der Schwachstellen entschied sich Nothing, die App aus dem Google Play Store zu entfernen, „um ein paar Fehler zu beheben“. Doch auch wenn Nothing Chats oder Sunbird’s iMessage for Android wieder in den Store zurückkehren sollten, ist es Ratsam Sie diese und ähnliche Apps zu vermeiden. Diese Vorkommnisse verdeutlichen sehr anschaulich, dass es bei der Entwicklung von Vermittler-Apps mit Zugriff auf iMessage schnell zu katastrophalen Fehler kommen kann, welche die Benutzerdaten extrem gefährden.

Was Benutzer von Nothing Chats jetzt tun sollten

Wenn Sie die App Nothing Chats bereits verwendet haben, gehen Sie wie folgt vor:

• Melden Sie sich auf einem vertrauenswürdigen Gerät mit Ihrer Apple ID an und suchen Sie die Seite, auf der die aktiven Sitzungen (bzw. die Geräte, auf denen Sie angemeldet sind) angezeigt werden. Löschen Sie die Sitzung, die mit Nothing Chats/Sunbird verknüpft ist.
• Ändern Sie das Kennwort Ihrer Apple ID. Dies ist ein äußerst wichtiges Konto und es ist ratsam, eine sehr lange und zufällige Zeichenfolge zu verwenden. Kaspersky Password Manager kann Ihnen dabei helfen, ein zuverlässiges Kennwort zu generieren und es sicher aufzubewahren.
• Deinstallieren Sie die App Nothing Chats.
• Anschließend können Sie das von einem der Forscher erstellte Tool benutzen, um Ihre Informationen aus der Firebase-Datenbank von Sunbird zu löschen.
• Wenn Sie vertrauliche Informationen über Nothing Chats gesendet haben, sollten Sie diese als kompromittiert betrachten. Ergreifen Sie auch die entsprechenden Maßnahmen, wie Kennwörter ändern und Karten neu ausstellen lassen. Mit Kaspersky Premium können Sie übrigens einen potenziellen Verlust Ihrer persönlichen Daten im Zusammenhang mit E-Mail-Adressen oder Telefonnummern aufspüren.

[banner Kaspersky Password Manager]