上周,手機公司 Nothing 宣佈推出名為 Nothing Chats 的應用,指在打通 iMessage 與 Android 的 RCS 。而 Nothing 創辦人裴宇(Carl Pei)更特別製作了一段名為 “We made iMessage for Android” 的 YouTube 影片,並以 “Sorry Tim” 作為 Nothing Chats YouTube 影片預覽圖,諷刺 Tim Cook。不過,發佈不到一天,Nothing 卻因嚴重的安全問題,已將此應用從 Google Play 下架。而原本用作「諷刺」Tim Cook 的一句話….反看是「回力鏢」!
據報導,Nothing Chats 的運作需要用戶允許 Sunbird 透過其伺服器登入 iCloud 賬戶,這一過程本身就頗具爭議。更糟糕的是,Texts.com 報導稱,Sunbird 的訊息並未實現端對端加密,而且系統也並不難被破解。
專家 Roussel 指出,Sunbird 通過解密並透過 HTTP 傳輸訊息到 Firebase 雲同步伺服器,並將其以未加密的純文本形式儲存。他還提到,Sunbird 也能訪問這些消息,因為它們被作為錯誤記錄在 Sentry 的調試服務中。Sunbird 曾聲稱通過 HTTP 傳輸是安全的,因為它僅用於初始請求。然而,Roussel 指出,這仍然會洩露用戶的電子郵件地址。此外,Sunbird 消息通過 Firebase 實時數據庫公開可見,且未加密。
Nothing 網頁 FAQ 聲稱 Sunbird 系統是安全的,並實現了端對端加密。同時聲明,在傳送過程中不會儲存消息和 Apple 賬戶資訊。但根據 Roussel 的說法,實際情況似乎恰恰相反。iMessage 的一大優勢在於其預設實現了端對端加密。Apple 也提到了安全性是明年採用 RCS 消息標準的原因之一。在這兩種情況下,用戶的消息都是安全的,無法被第三方訪問,包括 Apple 本身。
因此,如果你被迫以如此不安全的方式進行通信,不妨繼續使用傳統的 SMS。至少這不會要求你用 Apple 賬戶登入第三方伺服器。Nothing 官方網頁確認,該 beta 版應用已從 Play Store 下架,發佈時間將延遲,直到 Nothing 和 Sunbird 解決了「幾個重大錯誤」。這只是委婉的表達。我們已聯繫 Nothing 尋求評論,一旦有回應將進行更新。
目前來看,如果你夢想著在不購買 iPhone 的情況下以藍色泡泡身份隱藏在 Apple 用戶中,這個夢想短期內似乎不太可能實現。