Große Sicherheitslücken

Nothing stellt iMessage-Dienst wieder ein

20.11.2023
Von Thomas Hartmann und
Peter Müller ist der Ansicht, dass ein Apple täglich den Arzt erspart. Sei es iMac, Macbook, iPhone oder iPad, was anderes kommt nicht auf den Tisch oder in die Tasche. Seit 1998 beobachtet er die Szene rund um den Hersteller von hochwertigen IT-Produkten in Cupertino genau. Weil er schon so lange dabei ist, kennt er die Apple-Geschichte genau genug, um auch die Gegenwart des Mac-Herstellers kritisch und fair einordnen zu können. Ausgeschlafene Zeitgenossen kennen und schätzen seine Beiträge im Macwelt-Morgenmagazin, die die Leser werktags pünktlich um acht Uhr morgens in den nächsten Tag mit Apfel und ohne Doktor begleiten. Privat schlägt sein Herz für die Familie, den FC Bayern, sechs Saiten, Blues-Skalen und Triolen im Shuffle-Rhythmus.
Eigentlich cool: Sunbird Messaging ist eine Android- und Web-App, die es Nutzern ermöglichen will, diverse Messaging-Apps in einer einzigen Inbox zu vereinen. Doch Sicherheitsbedenken führten jetzt zum Rückzug bei Nothing.
Für Sunbird Messaging muss die Apple-ID samt Passwort gespeichert werden - nur eines der Sicherheitsrisiken.
Für Sunbird Messaging muss die Apple-ID samt Passwort gespeichert werden - nur eines der Sicherheitsrisiken.
Foto: Sunbird

Die Debatte über grüne Blasen in iMessages ist eine eher amerikanische Angelegenheit, wie etwa auch unser US-Kollege Jason Cross ausführt, in Deutschland (und auch in den meisten anderen Weltgegenden) installieren sich die Leute als Erstes Whatsapp und nutzen das. Apple gibt zwar den Forderungen Googles nach und wird ab iOS 18 das iPhone für den Standard RCS öffnen: Die SMS bekommt dadurch ihren Todesstoß, nicht aber die grünen Blasen.

Um das Problem zu lösen, hat der Hersteller Nothing mit seinem Partner Sunbird einen Dienst aufgesetzt, der aus grünen Blasen blaue machen sollte. Doch schon wenige Tage nach der Ankündigung ziehen Nothing und Sunbird wieder den Stecker, denn die Lösung hätte eine massive Verletzung der Datensicherheit bedeutet.

Ein Trick mit Selbstüberlistung

Sunbird Messaging ist konzipiert als eine über Android und als Web-App nutzbare App, die Messaging-Apps wie iMessage/Nachrichten von Apple SMS/MMS, Facebook-Messenger und Whatsapp in eine einzige Inbox packt. Für Android-User insbesondere mit Nothing(2)-Phones hätte dies bedeutet, dass sie wie auf einem iPhone blaue statt grüne Sprechblasen bei der Kommunikation erhalten. Um dies zu ermöglichen, hatte Nothing einen kleinen Trick genutzt und über seinen Partner ein Relais geschaltet, auf das alle Android-Nachrichten umgeleitet wurden.

Diese wurden auf einen Mac weitergesandt, wo sie gewissermaßen iMessage-konform konvertiert wurden. Und hier entsteht das Problem: Denn dazu muss man seine Apple-ID samt Passwort auf den Servern von Sunbird speichern lassen. Es ist klar, dass damit prinzipiell die Gefahr besteht, dass Dritte auf die Apple-ID, zumindest auf das sogenannte Token, zugreifen könnten.

Dass diese Brücke recht wacklig ist und dem Datenschutz Hohn spricht, hat Nothing jetzt eingesehen. Wie Appleinsider berichtet, haben Nothing und Sunbird die "schockierend unsichere iMessage-Brücke" zurückgezogen, nachdem entdeckt wurde, dass Sunbird nicht nur Nachrichten, vCards und mehr protokollierte und aufbewahrte und die entsprechenden Nutzerdaten zudem auch von anderen heruntergeladen werden konnten.

Nothing Chats wurde daher am vergangenen Samstag, nur wenige Tage nach seiner Einführung, wieder aus dem Google Play Store entfernt. Die App wurde am 14. November eingeführt, doch schon nach wenigen Tagen wurden Verdachtsmomente laut, darunter die offenbar fehlende Verschlüsselung und das Versenden von Anmeldedaten über das Internet mit Klartext-HTTP, heißt es in dem Bericht weiter. Am Samstag folgten weitere Enthüllungen über "den erstaunlichen Mangel an Sicherheitsvorkehrungen für die App". In einem Beitrag auf X/Twitter teilte Nothing mit, dass es "den Start bis auf Weiteres verschiebt, um mit Sunbird an der Behebung mehrerer Fehler zu arbeiten".

We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.

We apologise for the delay and will do right by our users.

- Nothing (@nothing) November 18, 2023

Entwickler Dylan Roussel entdeckt massive Sicherheitsprobleme

Zuvor stellte der Android-App-Entwickler Dylan Roussel nach seinen Untersuchungen fest, dass die App für ihre Nutzer extrem unsicher sei. Laut Roussel habe Sunbird "Zugriff auf jede Nachricht, die über die App auf Ihrem Gerät gesendet und empfangen wird". Alle Dokumente, einschließlich Bilder, Videos und vCards, die über die App gesendet werden, seien öffentlich einsehbar. Nothing Chats nutze keine Ende-zu-Ende-Verschlüsselung.

Roussel zufolge hat Sunbird Zugang zu sensiblen User-Daten, da es das Fehlererkennungswerkzeug Sentry "missbraucht", berichtet Appleinsider dazu weiter. Anstatt Sentry nur zur Fehlerprotokollierung zu nutzen, würde Sunbird via Sentry stattdessen auch Nachrichten zu protokollieren und "so tun, als seien sie Fehler".

Roussel führt aufgrund eigener Versuche auch weitere Sicherheitsbedenken an. So konnte Roussel eine der etwa 2300 vCards aus dem Archiv herunterladen und zeigen, dass es möglich war, die Telefonnummern und Daten anderer Nutzer zu erhalten. Daher ist es kein Wunder, dass Nothing erst einmal den Stecker zog. Es bleibt spannend, wie sich die ganze Geschichte entwickelt. Apple-Chef Tim Cook würde wohl sagen, er habe es ja gleich gewusst und schon damals sinngemäß gesagt: "Kaufen Sie Ihrer Mutter doch ein iPhone, wenn sie Apple-Dienste wie iMessage nutzen wollen…". (Macwelt)