L'app Nothing's iMessage per Android è incredibilmente scadente
L'app Nothing Chats è piena di gravi vulnerabilità di sicurezza
L'app Nothing Chats, che consentiva di utilizzare iMessage su Android, è stata ritirata dal Play Store a causa di gravi vulnerabilità di sicurezza. Le vulnerabilità includevano la mancanza di crittografia end-to-end, l'invio dei messaggi in testo normale e la visibilità dei dati su un server facilmente accessibile. Inoltre, sono stati scoperti oltre 630.000 file multimediali memorizzati sul server di Sunbird, l'azienda che alimenta l'app. Nothing ha ritirato l'app e rimandato il lancio per risolvere i problemi, ma il danno potrebbe essere già stato fatto. Si consiglia di smettere di utilizzare l'app immediatamente.
Nothing Chats, un'app per ottenere iMessage su un telefono Android, è stata lanciata questa settimana. Ma si è rivelata un disastro.
Questa settimana, Nothing ha fatto l'imprevedibile e ha lanciato l'app 'Nothing Chats' per il Nothing Phone 2. L'idea? Consentire a chiunque possieda un Nothing Phone 2 di inviare e ricevere messaggi tramite iMessage. Nothing ha collaborato con Sunbird per realizzare Nothing Chats, utilizzando essenzialmente la tecnologia di messaggistica di Sunbird per portare iMessage su Android.
Si trattava di un'idea audace... ma di breve durata. Infatti, Nothing Chats è già morta (almeno per il momento) a causa di un numero impressionante di vulnerabilità di sicurezza scoperte quasi immediatamente. E non stiamo parlando di piccole sviste che sarebbero state facili da trascurare. Stiamo parlando di gravi difetti di progettazione che compromettono in modo significativo le informazioni personali di chiunque utilizzi Nothing Chats.
Nothing Chats è stata lanciata in versione beta il 17 novembre e, nel giro di poche ore, sono emersi preoccupanti problemi di sicurezza. Uno dei primi segnalatori è stato Kishan Bagaria, fondatore di Texts.com. Bagaria e il suo team hanno scoperto che i messaggi inviati tramite Nothing Chats non utilizzavano le credenziali di sicurezza HTTPS. Invece, i messaggi venivano inviati tramite lo standard HTTP molto meno sicuro e in chiaro.
Ma non è stato solo Bagaria a scoprire queste vulnerabilità . Wukko su X (precedentemente Twitter) ha confermato che tutto ciò che veniva inviato tramite Nothing Chats, inclusi i messaggi di testo standard, le immagini e gli allegati multimediali, veniva inviato in chiaro e chiaramente visibile a chiunque sapesse dove cercare.
Inoltre, Wukko ha scoperto che tutti i dati di messaggistica inviati e archiviati in Nothing Chats venivano inviati in forma non crittografata e tramite una piattaforma Firebase facilmente accessibile.
Questi rapporti sono stati abbastanza gravi, ma ulteriori segnalazioni da 9to5Google hanno confermato quanto fossero seriamente queste vulnerabilità . Secondo le scoperte di 9to5: 'Nella nostra ricerca di Dylan Roussel, abbiamo scoperto che una volta che un utente si autentica con i JSON Web Tokens (JWT) che sono insicuri nel transito, può accedere al database Firebase di Nothing Chat e vedere i messaggi e i file inviati da altri utenti in tempo reale e in chiaro'.
Il rapporto continua menzionando come le vCard (ovvero le schede di contatto) fossero completamente accessibili, inclusi nomi, numeri di telefono, indirizzi email e altre informazioni personali identificabili. E come se non bastasse, 9to5Google ha anche scoperto più di 630.000 file multimediali archiviati nel server Firebase di Sunbird, l'azienda che alimenta l'app Nothing Chats.
In sintesi, ecco cosa abbiamo scoperto:
I messaggi inviati tramite Nothing Chats non utilizzavano la crittografia HTTPS, ma venivano inviati in chiaro tramite HTTP;
Tutto ciò che veniva inviato tramite Nothing Chats era visibile a chiunque;
I dati di messaggistica erano archiviati in forma non crittografata su un server facilmente accessibile;
Le schede di contatto erano completamente accessibili, inclusi dati personali identificabili;
Sono stati trovati oltre 630.000 file multimediali archiviati nel server Firebase di Sunbird.
In altre parole, questa è una situazione molto grave. È ancora peggio considerando quanto rapidamente Nothing abbia respinto queste preoccupazioni di sicurezza iniziali, affermando che i messaggi erano crittografati end-to-end quando, in realtà , non lo erano affatto.
Il 18 novembre, solo un giorno dopo il lancio di Nothing Chats, Nothing ha annunciato su X che stava ufficialmente rimuovendo l'app Nothing Chats dal Play Store e 'ritardando il lancio fino a nuovo avviso' per poter 'lavorare con Sunbird per risolvere diversi bug'.
Rimuovere l'app e ritardare il lancio è una mossa giusta da parte di Nothing, ma è impossibile sottolineare abbastanza quanto danni siano stati probabilmente già causati da tutta questa vicenda.
Al termine della giornata, questi problemi di sicurezza sono colpa di Sunbird. Nothing Chats è stata costruita sulla piattaforma di Sunbird ed è compito di Sunbird affrontare queste preoccupazioni. Tuttavia, Nothing ha comunque deciso di collaborare con Sunbird per creare e lanciare Nothing Chats, e il fatto che l'azienda non abbia mai scoperto queste vulnerabilità durante la creazione di Nothing Chats è preoccupante.
Se hai ancora l'app Nothing Chats sul tuo telefono, ti consigliamo vivamente di smettere di usarla immediatamente. La stessa raccomandazione si applica anche se stai utilizzando l'app Sunbird normale. Avere iMessage su un telefono Android è una comodità divertente, ma non a discapito della compromissione pesante delle tue informazioni personali. È meglio aspettare che Apple aggiunga RCS all'iPhone nel 2024.
Per quanto riguarda il futuro di Nothing Chats, è difficile dire cosa succederà . Nothing afferma di 'ritardare' il lancio, ma per risolvere tutti i problemi di cui abbiamo appena parlato, Sun