L’app di iMessage di Nothing per Android è incredibilmente brutta | ENBLE
L'app di iMessage di Nothing per Android risulta estremamente poco attraente | ENBLE
All’inizio di questa settimana, Nothing ha fatto qualcosa di inaspettato e ha lanciato l’app “Nothing Chats” per il Nothing Phone 2. La premessa? Consentire a chiunque abbia un Nothing Phone 2 di inviare e ricevere messaggi di testo tramite iMessage. Nothing ha collaborato con Sunbird per realizzare Nothing Chats, utilizzando essenzialmente la tecnologia di messaggistica di Sunbird per portare iMessage su Android.
È stata un’idea audace… ma è stata di breve durata. Infatti, Nothing Chats è già morto (almeno per il momento) a causa di un numero impressionante di vulnerabilità di sicurezza scoperte quasi immediatamente. E quando parliamo di vulnerabilità di sicurezza, non intendiamo piccoli errori che potrebbero essere stati facilmente ignorati. Stiamo parlando di gravi difetti di progettazione che compromettono gravemente le informazioni personali di chiunque abbia utilizzato Nothing Chats.
Il problema con Nothing Chats
Nothing Chats è stato lanciato in accesso beta il 17 novembre e poche ore dopo che le persone hanno avuto l’app a disposizione, sono emerse preoccupazioni sulla sicurezza. Uno dei primi rapporti è stato pubblicato da Kishan Bagaria, il fondatore di Texts.com. Bagaria e il suo team hanno scoperto che i messaggi inviati tramite Nothing Chats non utilizzavano credenziali di sicurezza HTTPS. Invece, i messaggi venivano inviati utilizzando lo standard HTTP, molto meno sicuro, in testo normale.
Ma non è stato solo Bagaria a scoprire queste vulnerabilità. Anche Wukko su X (ex Twitter) ha confermato che tutto ciò che viene inviato tramite Nothing Chats, inclusi i messaggi di testo standard, le immagini e altri allegati multimediali, avviene in testo normale e sono chiaramente visibili a chi sa dove cercare.
Inoltre, ancora più preoccupante, Wukko ha scoperto che tutti i dati di messaggistica inviati da e memorizzati in Nothing Chats avvenivano senza crittografia e tramite una piattaforma Firebase facilmente accessibile.
- I migliori protettori per schermo dell’iPhone 15 Pro Max nel ...
- Google Pixel 8 e Pixel 8 Pro hanno appena subito un forte taglio di...
- Questi sono gli AirPods migliori che puoi comprare — e sono i...
Questi rapporti erano già abbastanza gravi, ma una relazione aggiuntiva di 9to5Google ha ribadito quanto fossero seriamente queste vulnerabilità. Come afferma 9to5 nel proprio studio:
“Nella nostra ricerca di Dylan Roussel, abbiamo scoperto che una volta che un utente si autentica con i JSON Web Tokens (JWT) che sono insicuri in transito, può accedere al database Firebase di Nothing Chat e vedere i messaggi e i file di altri utenti inviati in tempo reale e in testo normale.”
Il rapporto continua a menzionare come le vCard (chiamate anche schede di contatto) fossero completamente accessibili, compresi i nomi, i numeri di telefono, gli indirizzi e-mail e altre informazioni personali identificabili delle persone. E come se non bastasse, 9to5Google ha anche scoperto oltre 630.000 file multimediali memorizzati nel server Firebase di Sunbird, l’azienda che alimenta l’app Nothing Chats.
In sintesi, ecco cosa abbiamo:
- Nothing Chats non è criptato end-to-end
- I messaggi da Nothing Chats vengono inviati in testo normale
- I media e altri allegati sono accessibili pubblicamente
- Sunbird ha accesso ai messaggi e agli allegati inviati da Nothing Chats
In altre parole, è tutto molto, molto grave. Soprattutto considerando quanto rapidamente Nothing ha respinto queste prime preoccupazioni sulla sicurezza, sostenendo che i messaggi fossero criptati end-to-end quando, in realtà, non lo erano affatto.
Dove andrà avanti Nothing da qui?
Il 18 novembre, appena un giorno dopo il lancio di Nothing Chats, Nothing ha annunciato su X che stava ufficialmente rimuovendo l’app Nothing Chats dal Play Store e “posticipando il lancio fino a nuovo avviso” in modo che l’azienda potesse “lavorare con Sunbird per risolvere diversi bug”.
Ritirare l’app e posticipare il lancio è una scelta giusta da parte di Nothing, ma è impossibile sottolineare abbastanza quanto danno probabilmente sia già stato causato da tutto questo debacle.
Alla fine, questi problemi di sicurezza sono colpa di Sunbird. Nothing Chats è stato costruito sul backend di Sunbird ed è compito di Sunbird affrontare queste preoccupazioni. Tuttavia, Nothing ha comunque deciso di collaborare con Sunbird per creare e lanciare Nothing Chats e il fatto che l’azienda non abbia mai scoperto queste vulnerabilità durante la creazione di Nothing Chats è preoccupante.
Se hai ancora l’app Nothing Chats sul tuo telefono, ti consigliamo vivamente di smettere di usarla immediatamente. La stessa raccomandazione vale anche se stai usando l’app Sunbird normale. Avere iMessage su un telefono Android è una comodità divertente, ma non a discapito delle tue informazioni personali che sono così fortemente compromesse. È meglio aspettare che Apple aggiunga RCS all’iPhone nel 2024.
Per quanto riguarda il futuro di Nothing Chats, è difficile dire cosa succederà dopo. Nothing dice che sta “posticipando” il lancio, ma per risolvere tutti i problemi di cui abbiamo appena parlato, Sunbird dovrebbe rivedere radicalmente l’intero processo del suo backend. Nothing vorrà aspettare che ciò accada, o deciderà di tagliare le perdite e lasciar perdere definitivamente Nothing Chats? A questo punto, sembra che la seconda scelta possa essere la migliore.
