Nothing è una delle aziende più sopravvalutate del momento. Non spicca sugli smartphone, tolti i led e le lucine non rimane granché, ma ha azzeccato le generazioni di Tws Bluetooth per l’ottimo rapporto tra qualità e prezzo. Il resto dell’offerta è pressoché disinteressante. Nonostante l’acclarata propaganda centrata sul fondatore Carl Pei, l’azienda del “nulla” ha cercato di attirare l’attenzione proprio nei giorni in cui Apple ha ufficializzato che entro la fine del 2024 abbraccerà lo standard RCS a iMessage per migliorare la compatibilità delle conversazioni tra iPhone e Android. Come ha attirato l’attenzione? Con Nothing Chats, un’app di messaggistica che prometteva agli utenti di Nothing Phone 2 di avere un’esperienza coerente a iMessage con gli iPhone. Peccato che l’app è durata meno di una falena: Nothing ha ufficializzato di avere ritirato l’app beta Nothing Chats da dal Google Play Store, affermando che sta “ritardando il lancio fino a nuovo avviso” mentre deve risolvere “diversi bug”. Per funzionare, l’app richiedeva di consentire a Sunbird, che fornisce la piattaforma, di accedere agli account iCloud degli utenti sui propri server Mac. Una soluzione deplorevole, per non dire pericolosa per gli utenti. Nothing, ancora una volta, si fa ricordare per il tanto rumore per nulla.
La rimozione da Google Play è avvenuta dopo che gli utenti hanno ampiamente condiviso un blog di Texts.com che mostrava che i messaggi inviati da Nothing Chats con il sistema Sunbird non sono effettivamente crittografati end-to-end e che non è difficile comprometterlo. L’app è stata lanciata in versione beta ieri dopo essere stata annunciata nei giorni scorsi. I commenti in risposta al post su X di Nothing parlano chiaro, tanto per fare un esempio: “Stiamo classificando criticità di privacy dei dati come bug?”. Che figuraccia.
9to5Google ha indicato un thread dell’autore del sito Dylan Roussel, il quale ha scoperto che parte della soluzione di Sunbird prevede la decrittografia e la trasmissione di messaggi tramite HTTP a un server di sincronizzazione cloud Firebase e l’archiviazione lì in testo semplice non crittografato. Roussel ha dimostrato che l’azienda stessa ha accesso ai messaggi perché li registra come errori utilizzando Sentry, un servizio di debug. Sunbird ha confermato che HTTP viene “utilizzato solo come parte della richiesta iniziale una tantum da parte dell’app che notifica al back-end la prossima connessione iMessage”.
Ciò era in risposta a qualcuno che indicava il blog di Texts.com che esaminava la vulnerabilità. Texts.com ha scritto che “un utente malintenzionato iscritto al database in tempo reale Firebase sarà sempre in grado di accedere ai messaggi prima o nel momento in cui vengono letti dall’utente.” Il blog sottolinea inoltre che l’azienda potrebbe esaminare i messaggi nella dashboard di Sentry, contraddicendo direttamente l’affermazione di Nothing’s FAQ secondo cui nessuno in Sunbird può accedere ai messaggi inviati o ricevuti. Nothing ovviamente si è silenziata perché la situazione è davvero senza appello.
