すべてのメッセージ・文書が公開状態に
「青い吹き出し」でやり取りできるNothing Chats、セキュリティ上の問題で公開延期に
先週、英Nothing Technologyはメッセージアプリ「Nothing Chats」を発表した。同社のAndroid端末「Nothing Phone(2)」からiPhoneのiMessageアプリに送ったメッセージが、アップル製品同士でやり取りする時のように「青い吹き出し」で表示されることがセールスポイントだ。
が、このNothing Chatのベータ版には重大なプライバシー上の問題があるとソフトウェア開発者が指摘。これを受けてNothingはGoogle Playストアからアプリを削除し、「いくつかのバグを修正」するためにリリースを延期するとの声明を出した。
Nothing Chatsは、メッセージアプリ企業Sunbirdの協力のもと開発された。その仕組みは、Sunbirdが運用するMac MiniサーバーにユーザーのiCloudアカウントでログインし、ルーティングを行うというものだ。Nothingは、送受信したメッセージがすべてエンドツーエンドで暗号化され、それらはNothingもSunbirdもアクセスできないと約束していた。
が、実際にはメッセージがエンドツーエンドで暗号化されていないことを、Texts.comのブログ記事が明らかにした。
さらに同サイトを運営するDylan Roussel氏は、このシステムがすべてのデータをFirebaseクラウド同期サーバーに送信し、暗号化されていないプレーンテキストで保存していると報告。さらにデバッグサービスであるSentryを使ってエラーとしてログを記録しているため、Sunbird自身がユーザーのメッセージにアクセスできると述べている。
これが正しければ、Nothingの公約と真っ向から矛盾することになる。Sunbird側は、HTTPは「iMessageの接続をバックエンドに通知する、アプリからの最初の1回限りのリクエストの一部にのみ使われる」と反論。が、実際にアプリはGoogle Playストアから引き上げられた格好である。
今回の事態につき、Roussel氏は次のようにまとめている。
- Sunbirdはユーザーのアプリを通して送受信された全てのメッセージにアクセスできる
- Nothing ChatおよびSunbirdを通じて送信されたすべてのドキュメント(画像、ビデオ、オーディオ、PDF、vCards)は公開されている
- Nothing Chatsはエンドツーエンドで暗号化されていない
そもそもNothing Chats登場のきっかけとなった「青い吹き出し」は、アップルが自社製品同士のメッセージのやり取りに対して、Androidスマホなど他社製品とのメッセージを「緑の吹き出し」で区別するものだ。それは、Androidを持つ子どもが疎外感を深めることに繋がるとの報道もあった。
先日アップルは一転して、Androidが採用した標準メッセージ規格「RCS」に2024年から対応すると発表。これによりiPhoneとAndroid間でも高画質の画像や動画送信、グループチャットや既読の通知などが可能になる見通しだが、「青い吹き出し」は依然として残り続けそうだ。
- Source: The Verge