No início desta semana, Nothing fez o inesperado e lançou o aplicativo “Nothing Chats” para o Nothing Phone 2. A premissa? Permita que qualquer pessoa com um Nothing Phone 2 envie e receba mensagens de texto via iMessage. Nothing fez parceria com o Sunbird para fazer o Nothing Chats funcionar, com Nothing essencialmente usando a própria tecnologia de mensagens do Sunbird para trazer o iMessage para o Android.
Foi uma ideia ousada… mas que durou pouco. Isso porque o Nothing Chats já está morto (por enquanto) devido a um número chocante de vulnerabilidades de segurança que foram descobertas quase imediatamente. E por vulnerabilidades de segurança não nos referimos a pequenos descuidos que poderiam ter sido fáceis de ignorar. Estamos falando de falhas de design importantes e revolucionárias que comprometem enormemente as informações pessoais de qualquer pessoa que usou o Nothing Chats.
O problema com o Nothing Chats
O Nothing Chats foi lançado em versão beta em 17 de novembro e, poucas horas depois que as pessoas colocaram as mãos no aplicativo, preocupações preocupantes de segurança começaram a surgir. Um dos primeiros relatórios veio de Kishan Bagaria, fundador do Texts.com. Bagaria e sua equipe descobriram que as mensagens enviadas via Nothing Chats não usavam credenciais de segurança HTTPS. Em vez disso, as mensagens eram enviadas no padrão HTTP, muito menos seguro, em texto simples.
Mas não foi só Bagaria quem descobriu essas vulnerabilidades. Wukko on X (antigo Twitter) também confirmou que qualquer coisa enviada via Nothing Chats – incluindo mensagens de texto padrão, imagens e outros anexos de mídia – foi feita usando texto simples e claramente visível para qualquer pessoa que soubesse onde procurar.
Além disso, e ainda mais preocupante, Wukko descobriu que todos os dados de mensagens enviados e armazenados no Nothing Chats eram feitos sem criptografia e por meio de uma plataforma Firebase de fácil acesso.
Esses relatórios já eram ruins o suficiente, mas relatórios adicionais do 9to5Google reiteraram ainda mais a gravidade dessas vulnerabilidades. De acordo com as próprias descobertas do 9to5:
“Em nossa pesquisa de Dylan Roussel, descobrimos que uma vez que um usuário se autentica com JSON Web Tokens (JWT) que são inseguros em trânsito, ele pode acessar o banco de dados Firebase do Nothing Chat e ver mensagens e arquivos enviados por outros usuários em tempo real e em texto simples.”
O relatório continua mencionando como os vCards (também conhecidos como cartões de contato) também eram totalmente acessíveis – incluindo nomes de pessoas, números, endereços de e-mail e outras informações de identificação pessoal. E como se isso não bastasse, o 9to5Google também descobriu mais de 630.000 arquivos de mídia armazenados no servidor Firebase da Sunbird – a empresa que alimenta o aplicativo Nothing Chats.
Em resumo, é isso que estamos vendo:
- Nothing Chats não é criptografado de ponta a ponta
- As mensagens do Nothing Chats são enviadas em texto simples
- Mídia e outros anexos são acessíveis publicamente
- Sunbird tem acesso a mensagens e anexos enviados do Nothing Chats
Em outras palavras, tudo isso é muito, muito ruim. É especialmente pior considerando o quão rápido a Nothing foi em repreender essas preocupações iniciais de segurança, alegando ainda que as mensagens eram criptografadas de ponta a ponta quando – na realidade – absolutamente não eram.
Para onde vai Nada a partir daqui?
Em 18 de novembro, apenas um dia após o lançamento do Nothing Chats, a Nothing anunciou no X que estava removendo oficialmente o aplicativo Nothing Chats da Play Store e “atrasando o lançamento até novo aviso” para que a empresa pudesse “trabalhar com o Sunbird para corrigir vários bugs .”
Retirar o aplicativo e atrasar o lançamento é a decisão certa do lado do Nothing, mas é impossível exagerar quanto dano provavelmente já foi causado por todo esse desastre.
No final das contas, esses problemas de segurança são culpa do Sunbird. Nothing Chats foi criado no back-end do Sunbird e cabe ao Sunbird resolver essas questões. No entanto, a Nothing ainda decidiu fazer parceria com a Sunbird para criar e lançar o Nothing Chats, e o fato de a empresa nunca ter descoberto essas vulnerabilidades ao criar o Nothing Chats é preocupante.
Se você ainda tem o aplicativo Nothing Chats em seu telefone, recomendamos fortemente que você pare de usá-lo imediatamente. Essa mesma recomendação se aplica se você também estiver usando o aplicativo Sunbird normal. Ter o iMessage em um telefone Android é uma conveniência divertida, mas não corre o risco de suas informações pessoais ficarem tão comprometidas. É melhor você apenas esperar que a Apple adicione RCS ao iPhone em 2024.
Quanto ao futuro do Nothing Chats, é difícil dizer o que acontecerá a seguir. Nada diz que está “atrasando” o lançamento, mas para corrigir todos os problemas que acabamos de falar aqui, o Sunbird teria que revisar drasticamente todo o seu processo de back-end. O Nothing vai querer esperar que isso aconteça ou decidirá apenas cortar suas perdas e desligar o Nothing Chats para sempre? Neste ponto, parece que esta última pode ser a melhor escolha.
Recomendações dos Editores
