Nothing社の共同設立者は、iMessageを橋渡しするチャットサービスはエンドツーエンドで暗号化されると主張しているが、ソースコードは全く逆のことを示しているようだ。
Nothing Phone (2) の開発者は 11 月 14 日に Nothing Chats を発表しました。これは、Android ユーザーが Apple ID を使用してリモート サーバーにログインすることを前提として、iPhone スタイルの青い吹き出しでメッセージを送信できるサービスです。
Nothing Chatsにアクセスするには、ユーザーは携帯電話(2)が必要です。このiMessageに似た技術は、ニューヨークに拠点を置くテクノロジー企業Sunbirdが開発し、Nothingのメッセージアプリに統合されています。
— キシャン・バガリア (@KishanBagaria) 2023 年 11 月 17 日テキストチームは、何もないチャットの背後にある技術を簡単に調べ、それが非常に安全ではないことを発見しました。
HTTPSさえ使用しておらず、認証情報はプレーンテキストのHTTP経由で送信されます
バックエンドは BlueBubbles のインスタンスを実行していますが、エンドツーエンドの暗号化はまだサポートされていません pic.twitter.com/IcWyIbKE86
金曜日、Texts.comの創設者は、彼のチームがNothing Chatsの背後にあるコードを「ざっと調べた」ところ、安全ではないことがわかったとツイートした。
「HTTPSすら使用しておらず、認証情報はプレーンテキストのHTTP経由で送信される」とキシャン・バガリア氏は述べた。
安全でないプロトコルでデータを公開する
最大の懸念は、このサービスの通信プロトコルにHTTPS(Hypertext Transfer Protocol Secure)が採用されていないことです。HTTPSは、現代のインターネット通信における基本的なセキュリティ標準であり、ユーザーのデバイスとサーバー間のデータを暗号化します。
この暗号化が欠如しているため、ログイン認証情報などの機密情報は、プレーンテキストのHTTPを使用してインターネット上で送信されます。この方法は、特にセキュリティ保護されていないネットワークでは、第三者によるデータの傍受が比較的容易になるため、安全ではありません。
調査の結果、Nothing Chatsは、エンドツーエンド暗号化が不十分なことで知られるメッセージングサービスであるBlueBubblesをバックエンドとして使用していることが明らかになりました。エンドツーエンド暗号化は、安全なメッセージングにおいて重要な機能であり、通信しているユーザーのみがメッセージを読めるようにします。
この暗号化がないと、メッセージがサービスプロバイダーによってアクセスされたり、外部の組織によって傍受されたりする可能性があり、重大なプライバシーの脅威となります。
この主張に対してまだ何も反応していない。
安全なメッセージングソリューション
Nothingによると、メッセージングアプリを開発する主な目的は、iPhoneユーザーに自社のイヤホンをフル活用してもらうことだったという。同社は、iPhoneユーザーがプラットフォームを乗り換える上で、メッセージングの障壁、特にグループチャットで自分だけが一人になるという、Appleの典型的な青い吹き出しメッセージではなくAndroidの緑の吹き出しメッセージといった、ハードルの高さが障壁になっていると判断した。
「どうすればこの状況を改善できるだろうかと考えました」とナッシングのカール・ペイ氏は語る。「そこで、この問題に取り組んでいる様々なチームを調べ始め、サンバードのチームと連絡を取ることにしました」
GoogleやSamsungといった有名企業に呼応するように、NothingもAppleがiMessageでRCSをサポートしていないことに言及しました。さらに、AppleがRCSの採用に消極的であることはユーザーのプライバシーを危険にさらしていると主張しました。
幸いなことに、Appleは11月16日に、おそらく2024年のiOS 18でiMessageにRCSユニバーサルプロファイルを追加すると発表した。このプロファイルにはGoogle版のエンドツーエンド暗号化は含まれていないが、Appleは業界団体GSMAと協力して、業界全体の暗号化標準を組み込む可能性について取り組んでいる。
