O aplicativo iMessage da Nothing foi uma catástrofe de segurança, retirado em 24 horas

Acontece que as empresas que bloqueiam as questões de segurança da mídia, na verdade, não são boas em segurança. Na terça-feira passada, o Nothing Chats – um aplicativo de bate-papo do fabricante Android “Nothing” e da nova empresa de aplicativos Sunbird – afirmou descaradamente ser capaz de invadir o protocolo iMessage da Apple e fornecer bolhas azuis aos usuários do Android. Imediatamente sinalizamos a Sunbird como uma empresa que fazia promessas vazias há quase um ano e parecia negligente em relação à segurança. O aplicativo foi lançado na sexta-feira de qualquer maneira e foi imediatamente destruído pela Internet devido a muitos problemas de segurança. Não durou 24 horas; Nada retirou o aplicativo da Play Store na manhã de sábado. O aplicativo Sunbird, do qual o Nothing Chat é apenas uma reformulação, também foi colocado “em pausa”.

O discurso de vendas inicial para este aplicativo – que você faria login no iMessage no Android se você entregasse seu nome de usuário e senha da Apple – foi um enorme sinal de alerta de segurança que significava que o Sunbird precisaria de uma infraestrutura ultra-segura para evitar desastres. Em vez disso, o aplicativo acabou sendo tão inseguro quanto esperávamos. Aqui está a declaração de Nothing:

Quão ruins são os problemas de segurança? Tanto o 9to5Google quanto o Text.com (que pertence à Automattic , a empresa por trás do WordPress) descobriram práticas de segurança chocantemente ruins. O aplicativo não apenas não era criptografado de ponta a ponta, como afirmado inúmeras vezes por Nothing e Sunbird, mas o Sunbird realmente registrou e armazenou mensagens em texto simples no software de relatório de erros Sentry e em uma loja Firebase. Os tokens de autenticação foram enviados por HTTP não criptografado para que esse token pudesse ser interceptado e usado para ler suas mensagens.

Text.com lançou um aplicativo de prova de conceito que poderia buscar suas mensagens supostamente criptografadas de ponta a ponta dos servidores do Sunbird. Batuhan Içöz , engenheiro de produto do Text.com, também lançou uma ferramenta que excluirá alguns dos seus dados dos servidores do Sunbird. Içöz recomenda que qualquer usuário do Sunbird/Nothing Chat altere sua senha Apple agora, revogue a sessão do Sunbird e “suponha que seus dados já estejam comprometidos”.

Dylan Roussel , do 9to5Google, investigou o aplicativo e descobriu que, além de todos os dados de texto públicos, “todos os documentos (imagens, vídeos, áudios, pdfs, vCards…) enviados por meio do Nothing Chat E do Sunbird são públicos”. Roussel encontrou 630.000 arquivos de mídia estão atualmente armazenados pelo Sunbird e, aparentemente, ele poderia acessar alguns. O aplicativo da Sunbird sugeriu que os usuários transferissem vCards – cartões de visita virtuais cheios de dados de contato – e Roussel diz que as informações pessoais de mais de 2.300 usuários estão acessíveis. Roussel chama todo o fiasco de “provavelmente o maior ‘pesadelo de privacidade’ que vi em anos por um fabricante de telefones”.