"Sorry, Tim" steht im Vorschaubild eines Videos des Herstellers Nothing Tech. "Wir haben iMessage für Android gemacht", so der Titel. Angesichts dessen, dass Apple sich seit Jahren jeglicher Interoperabilität mit anderen Messengern und der Implementation des SMS-Nachfolgers RCS verweigert, ist das nämlich eine beeindruckende Ankündigung. Denn wer als Android-Nutzer an iMessage-Chats teilnimmt, sieht diese nur als SMS, was nicht nur weniger sicher ist, sondern auch Emojis und andere Inhalte vermissen lässt.

Mit Nothing Chats sollte alles anders werden. Wenige Tage nach ihrer Veröffentlichung wurde die Betaversion aber wieder aus dem Google Play Store genommen. Der Grund sind massive Sicherheitsprobleme.

Wenige Tage nach der Vorstellung wurde die Betaversion von Nothing Chats wieder aus dem Play Store genommen. Nothing Tech

Diese offenbaren den schon bei der Vorstellung bemängelten Aufbau der App, die die weitgehende Kompatibilität mit iMessage nur dank eines Mittelsmanns herstellen kann. Bei diesem handelt es sich um Sunbird, der als Fähre zwischen den beiden Welten fungiert. Dafür müssen sich Nutzer allerdings mit ihrem Apple-Account bei diesem einloggen, damit die Nachrichten auf einem in der iCloud laufenden macOS-System in ihrer Vollständigkeit empfangen werden und anschließend an Nothing Chats weitergeschickt werden können.

Nothing betonte hier, dass die erforderlichen Zugriffstokens verschlüsselt gespeichert und nach zwei Wochen Inaktivität wieder gelöscht werden. Doch zur Kritik an der Mittelsmann-Lösung gesellen sich nun handfeste Security-Mängel.

Massive Mängel

Der Entwickler Dylan Roussel hat sich Nothing Chats näher angesehen. Sein Ausgangspunkt war, dass für Nachrichtenanfragen einfache, ungesicherte HTTP-Requests genutzt werden, was die E-Mail-Adressen von Nutzern preisgäbe. Nothing erklärte dazu, dass dies nur dazu diene, die App für die anstehende iMessage-Übermittlung vorzubereiten, und Inhalte verschlüsselt übertragen würden.

Dem ist aber nicht so. Denn weitere Nachforschungen durch Roussel deckten ein noch größeres Problem auf. Demnach nutzt Sunbird einen eigentlich für das Loggen von Fehlermeldungen gedachten Service namens Sentry, um Nachrichten im Klartext zu speichern. Von außen einsehbar sind auch die Dateinamen sämtlicher über Nothing Chats verschickten Bilder, Videos und anderer Dateien, was ebenfalls Privacy-Implikationen hat.

Abrufen lassen sich außerdem virtuelle Visitenkarten (vCard). Und dank dieser erhält man nicht nur die E-Mail-Adressen der Apple-Accounts der Nothing-Chat-User, sondern auch die dazugehörige Telefonnummer und potenziell noch mehr hinterlegte Kontaktinformationen.

DSGVO-Problem

Damit ist klar, dass Nothing Chats nicht, wie ursprünglich behauptet, Ende-zu-Ende-verschlüsselt ist. Roussel sagt, dass Sunbird diesbezüglich gegenüber Nothing gelogen hatte. Seiner Anregung, die App aus dem Store zu nehmen, ist Nothing mittlerweile nachgekommen und erklärte dabei, dass man gemeinsam mit Sunbird nun "die Fehler beheben" werde.

Roussel rief das Unternehmen dazu auf, die Einführung von Nothing Chats komplett abzublasen und nicht nur zu verschieben. Dazu sieht er Sunbird auch in der Pflicht, gemäß den Vorgaben der Datenschutzgrundverordnung zumindest alle europäischen Nutzer des Dienstes binnen drei Tagen über das Datenleck in Kenntnis zu setzen.