L’app iMessage di Nothing è stata una catastrofe in termini di sicurezza, è stata rimossa in 24 ore

Si scopre che le aziende che ostacolano le domande di sicurezza dei media in realtà non sono brave in materia di sicurezza. Martedì scorso, Nothing Chats, un’app di chat del produttore Android “Nothing” e della nuova società di app Sunbird, ha affermato sfacciatamente di essere in grado di hackerare il protocollo iMessage di Apple e di dare agli utenti Android bolle blu. Abbiamo immediatamente segnalato Sunbird come un’azienda che aveva fatto promesse vuote per quasi un anno e sembrava negligente riguardo alla sicurezza. L’app è stata lanciata comunque venerdì ed è stata immediatamente fatta a pezzi da Internet per molti problemi di sicurezza. Non è durato 24 ore; Niente ha estratto l’app dal Play Store sabato mattina. Anche l’app Sunbird, di cui Nothing Chat è solo una rivisitazione, è stata messa “in pausa”.

La proposta di vendita iniziale di questa app, ovvero che ti avrebbe consentito di accedere a iMessage su Android se avessi consegnato il nome utente e la password Apple, era un’enorme bandiera rossa di sicurezza che significava che Sunbird avrebbe avuto bisogno di un’infrastruttura ultra sicura per evitare il disastro. Invece, l’app si è rivelata insicura quanto ci aspettavamo. Ecco la dichiarazione di Nothing:

Quanto sono gravi i problemi di sicurezza? Sia 9to5Google che Text.com (di proprietà di Automattic , la società dietro WordPress) hanno scoperto pratiche di sicurezza incredibilmente pessime. Non solo l’app non era crittografata end-to-end, come affermato numerose volte da Nothing e Sunbird, ma Sunbird in realtà registrava e archiviava i messaggi in testo semplice sia sul software di segnalazione degli errori Sentry che in un negozio Firebase. I token di autenticazione sono stati inviati tramite HTTP non crittografato in modo che questo token possa essere intercettato e utilizzato per leggere i tuoi messaggi.

Text.com ha rilasciato un’app proof-of-concept in grado di recuperare i tuoi messaggi presumibilmente crittografati end-to-end dai server di Sunbird. Batuhan Içöz , un ingegnere di prodotto per Text.com, ha anche rilasciato uno strumento che eliminerà alcuni dei tuoi dati dai server di Sunbird. Içöz consiglia a tutti gli utenti di Sunbird/Nothing Chat di cambiare subito la propria password Apple, di revocare la sessione di Sunbird e di “assumere che i propri dati siano già compromessi”.

Dylan Roussel di 9to5Google ha esaminato l’app e ha scoperto che, oltre a tutti i dati di testo pubblici, “Tutti i documenti (immagini, video, audio, PDF, vCard…) inviati tramite Nothing Chat E Sunbird sono pubblici”. Roussel ne ha trovati 630.000 i file multimediali sono attualmente archiviati da Sunbird e apparentemente potrebbe accedervi. L’app di Sunbird suggerisce agli utenti di trasferire vCard, biglietti da visita virtuali pieni di dati di contatto, e Roussel afferma che le informazioni personali di oltre 2.300 utenti sono accessibili. Roussel definisce l’intero fiasco “probabilmente il più grande ‘incubo’ sulla privacy che abbia visto da anni per un produttore di telefoni.”