Meno di 24 ore dopo il lancio ufficiale, Nothing ha rimosso la versione beta dell’app Chats dal Google Play Store per “risolvere diversi bug“. Alcuni ricercatori di sicurezza hanno scoperto che, contrariamente a quanto affermato dall’azienda fondata da Carl Pei (co-fondatore di OnePlus), non viene applicata la crittografia end-to-end, quindi messaggi e altri dati sono inviati e conservati in chiaro.
Nothing Chats: pericolo per sicurezza e privacy
Nothing Chats è praticamente una versione custom dell’app sviluppata da Sunbird, l’azienda che fornisce la piattaforma. Chi ha acquistato il Nothing Phone (2) può accedere al servizio iMessage da Android, utilizzando l’Apple ID. Le credenziali di login vengono inviate ai Mac mini presenti nella server farm di Sunbird.
Sia Nothing che Sunbird scrivono sui rispettivi siti che i messaggi sono protetti dalla crittografia end-to-end, quindi nessuno può leggerli. Kishan Bagaria (fondatore di Texts, un’app concorrente) e alcuni ricercatori, tra cui Dylan Roussel, hanno scoperto che non è vero. Anzi, anche le credenziali di login sono inviate in chiaro tramite HTTP.
Thread time!
Summary:
– Sunbird has access to every message sent and received through the app on your device.– All of the documents (images, videos, audios, pdfs, vCards…) sent through Nothing Chat AND Sunbird are public.
– Nothing Chats is not end-to-end encrypted.
— Dylan Roussel (@evowizz) November 18, 2023
Sunbird ha risposto su X che HTTP viene usato solo per la richiesta iniziale dell’app che notifica al back-end la connessione iMessage in arrivo. Ma ciò significa che l’indirizzo email dell’Apple ID viene inviato in chiaro. Roussel ha inoltre scoperto che Sunbird può accedere a tutti i messaggi inviati e ricevuti attraverso il servizio di debugging Sentry. Tutti i dati (messaggi, foto, video e altri) sono anche conservati in chiaro su Firebase.
Il ricercatore afferma che Sunbird ha mentito a Nothing. L’azienda di Carl Pei ha successivamente comunicato che l’app è stato rimossa dal Google Play Store. Roussel ritiene che posticipare il lancio non serve a nulla, ma deve essere cancellato l’intero progetto.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023