何もできないNothing Chats

AndroidでもiMessageの機能が使えるとして話題になったNothing Chatsアプリ。重大なセキュリティー上の問題があるとして公開から24時間も経たないうちにGoogle Playから削除されました。

メッセージングアプリ、Nothing Chatsは、Nothing Phoneの開発者によって作成されたメッセンジャーで、Androidのユーザーが、Appleのデバイスとの間で、iMessageの多くの機能を利用してコミュニケーションができるというものです。

しかし Nothing Chats は、公開されてまもなく、セキュリティとプライバシーに関する多くの問題があることがすぐに判明しました。これらの問題は非常に深刻で、Google Playストアでのリリースから24時間も経たないうちに、このアプリは削除を余儀なくされました。では詳しく見ていきましょう。

Nothing Chats、Sunbird、Android用のiMessage

Nothing Chatsメッセンジャーは2023年11月14日、有名なYouTubeクリエーターであるマルケス・ブラウンリー氏(通称MKBHD)の動画で発表されました。彼は、iMessage経由でiOSユーザーとNothing Phone(Androidベース)の所有者のコミュニケーションを可能とする計画を、Nothingの新しいメッセンジャーがどのように実現するかについて語りました。

その動画では、メッセンジャーがどのように動作するかについて、技術的な観点からも説明しています。まずユーザーは、Nothing Chatsで自分のApple IDアカウントのログイン名とパスワードを入力する必要があります(アカウントがまだない場合は、作成する必要があります)。入力後、動画から間接的に引用すると「サーバーファームのどこかのMac miniで」このAppleアカウントがログインされ、その後、このリモートコンピューターは、ユーザーのスマホからiMessageシステムにメッセージを送信する中継の役割を果たします。その逆も同様です。

この動画の作成者は、動画開始から6分台の終わり頃に、この方法には深刻なリスクがいくつかあることを強調しています。確かに、自分の所有物ではない上に所在も定かではない不明なデバイスでApple IDを使用してログインすることは、多くの理由から非常に、極めてよろしくない考えです。

iMessageの青いメッセージ吹き出しへの憧れ — Nothing Chatsの約束

iMessageの青い吹き出しメッセージへの憧れ — Nothing Chatsの約束

Nothing社は、「AndroidのiMessage」が自ら開発したものではないという事実を隠しませんでした。同社は別の会社であるSunbirdと提携しており、Nothing Chatsメッセンジャーは、Sunbird: iMessage for Androidアプリのクローンの一部の表面的なインターフェイスを変更したものでした。ちなみに、Sunbirdアプリがプレス向けに発表されたのは2022年12月ですが、幅広いユーザー向けの本格的なリリースは延期され続けていました。

Nothing Chatsとセキュリティ問題

この発表後、 NothingとSunbirdが深刻なプライバシーとセキュリティの問題に直面するのではないかという疑念がすぐに生まれました。前述したように、他人のデバイスで自分のApple IDを使用してログインするという考えは極めて危険です。Appleの機能である「探す」を使えば、このアカウントのかなりの量のユーザー情報やデバイス自体が、完全に制御可能となるからです。

ユーザーを安心させるために、SunbirdとNothingの両社はそれぞれのWebサイトで、ログインとパスワードはどこにも保存されず、すべてのメッセージはエンドツーエンドの暗号化によって保護され、すべてのセキュリティが完全に確保されると主張しました。

SunbirdのWebサイトでは、AndroidのiMessageのセキュリティとプライバシー、およびエンドツーエンドの暗号化の使用を確約していることを強調している(ネタバレ:これは真実ではありません)

SunbirdのWebサイトでは、AndroidのiMessageのセキュリティとプライバシー、およびエンドツーエンドの暗号化の使用を確約していることを強調している(ネタバレ:これは事実ではありません)

しかし、現実は最も懐疑的な予測さえも大きく外れました。このアプリが利用可能になると、エンド・ツー・エンドの暗号化に関する約束をまったく果たせていないことがすぐに明らかになりました。その上、ユーザーが送受信したすべてのメッセージやファイルは、Nothing Chatsによって暗号化されていない状態で、2つのサービス(Google FirebaseデータベースとSentryエラー監視サービス)に同時に配信されており、さらにSunbirdの従業員がこれらのメッセージにアクセスすることが可能な状態でした。

Nothing Chatsの公式ページのFAQにも、エンドツーエンドの暗号化について言及

Nothing Chatsの公式ページのFAQにも、エンドツーエンドの暗号化について言及

悪夢はこれだけにとどまらず、次に判明したのは、Sunbirdの従業員だけでなく、興味のある人なら誰でもメッセージを読むことができたという問題です。Firebaseの認証に必要なトークンが、保護されていない接続(HTTP)でアプリから送信されるため、傍受される可能性がありました。その後、このトークンによって、メッセンジャーの全ユーザーの全メッセージとファイルにアクセスできるようになり、前述のように、このデータはすべてプレーンテキストでFirebaseに送信されていました。

ここでもう一度繰り返しますが、ホームページではエンドツーエンドの暗号化を保証しているにもかかわらず、Nothing Chatsで交わされるすべてのメッセージは、写真、動画などどんなファイルでも、他人に傍受される可能性があったのです。

Nothing ChatsのFAQページにも、メッセージはどこにも保存されないと書かれている

メッセージはどこにも保存されないと書かれている

Nothing Chats/Sunbirdの脆弱性の分析に携わったリサーチャーの1人は、攻撃が可能であることを証明する簡単なWebサイトを作成しました。これにより、Android用のiMessageのメッセージが、実際に簡単に傍受されてしまうことが、誰でも確認できるようになりました。

脆弱性が公表された直後、Nothingは「いくつかのバグを修正するため」Google Play Storeからアプリを削除すると発表しました。しかし、たとえNothing ChatsSunbird: iMessage for Androidがストアに戻ったとしても、ダウンロードは避けることをお勧めします。類似するアプリも同じく避けましょう。理由は、iMessageへのアクセスを可能にする仲介サービスを作成する際、ユーザーのデータを極度のリスクにさらすようなミスが非常に発生しやすいためです。

Nothing Chatsユーザーが今すべきこと

Nothing Chatsアプリを使用したことがある場合、以下のアクションをお勧めします。

  • 信頼できるデバイスからApple IDアカウントにログインし、アクティブなセッション(ログインしているデバイス)が表示されているページ開き、Nothing Chats/Sunbirdに関連付けられているセッションを削除しましょう。
  • Apple IDのパスワードを変更してください。Apple IDは非常に重要なアカウントなので、極めて長くランダムな文字列の使用を推奨します。カスペルスキー パスワードマネージャーを使用すれば、信頼性が高いパスワードを作成し、安全に保存することができます。
  • Nothing Chatsアプリをアンインストールしましょう。
  • その後、リサーチャーの一人が作成したツールを使用して、SunbirdのFirebaseデータベースから自分の情報を削除できます。
  • Nothing Chats経由で機密情報を送信した場合は、その情報は不正アクセスされたものとして扱い、パスワードの変更、カードの再発行など、適切な措置を取る必要があります。カスペルスキー プレミアムを使用すれば、メールアドレスや電話番号にリンクされた個人情報の流出の可能性を追跡するのに役立ちます。
ヒント