Resumo
- Nothing Chats, rival de aplicativos como Beeper e AirMessage, se anunciava como uma plataforma segura para envio de mensagens para usuários do iMessage.
- No entanto, menos de 24 horas após seu lançamento, investigações no aplicativo revelaram que o Nothing Chats registrou todas as mensagens em texto simples e armazenou dados não criptografados, incluindo mensagens de texto, imagens, vídeos e muito mais, tornando-se um risco significativo de privacidade e segurança.
- A empresa removeu o aplicativo da Play Store após essas reclamações, citando “vários bugs” que precisam ser corrigidos.
Mesmo quando foi anunciado inicialmente, Nothing Chats parecia, na melhor das hipóteses, uma ideia incompleta. Você encontrará muitos métodos para trazer o iMessage para o Android – seja roteando mensagens através do seu próprio Mac ou através de um farm de servidores remotos – mas um fabricante de telefone investindo em uma dessas soluções certamente aumenta os riscos. Demorou apenas algumas horas após o lançamento do Nothing Chats para que as primeiras preocupações de segurança surgissem online. Agora, apenas um dia depois de o aplicativo chegar à Play Store, parece que o sonho do Nothing Chats pode estar se transformando em pesadelo.
Desde o início, a Nothing vem anunciando seu produto – um rival de aplicativos semelhantes como Beeper ou AirMessage – como uma forma de enviar mensagens criptografadas de ponta a ponta para usuários do iMessage. Ontem, após o lançamento do aplicativo na Play Store, Kishan Bagaria (que fundou o Texts, outro serviço concorrente) twittou que a plataforma estava enviando credenciais por HTTP de texto simples em vez de HTTPS, algo que você não necessariamente quer ver em uma plataforma que afirma seja focado na privacidade. Em um comunicado, a Nothing minimizou essas descobertas, alegando efetivamente que a coisa toda foi exagerada porque suas chaves de criptografia usam HTTPS.
Não tão rápido. O pessoal do 9to5Google publicou um artigo contundente esta manhã, relacionando suas próprias descobertas com Usuário do Twitter Wukko para provar que as coisas estão muito piores do que você imaginava. É uma solução dupla de privacidade, utilizando um aplicativo de solução de problemas de desenvolvedor chamado Sentry para registrar cada mensagem em texto simples enquanto também armazenar esses dados não criptografados no Firebase para que praticamente qualquer pessoa os encontre. Não são apenas suas mensagens de texto – são imagens, vídeos, nomes de usuário, números de telefone e qualquer outra coisa enviada diretamente pelo aplicativo. E considerando que o Nothing Chats solicita especificamente que seus usuários enviem seus dados aos contatos por meio de um vCard, isso é um grande problema.
Dylan Roussel, do 9to5Google, detalhou suas descobertas mais profundamente em um tópico do Twitter, destacando que mais de 600.000 peças de mídia estavam, efetivamente, disponíveis publicamente. Esse número inclui 2.300 vCards, todos disponíveis para download no servidor Firebase da Nothing, junto com imagens, PDFs e muito mais. Conforme estabelecido neste relatório, todos esses dados estão disponíveis e acessíveis em tempo real para qualquer usuário que se autentique com os JSON Web Tokens inseguros do aplicativo. Os textos também expandiram suas próprias descobertas iniciais, demonstrando essas vulnerabilidades em uma extensa postagem no blog.
De acordo com o 9to5Google, a publicação alertou a Nothing sobre essas falhas de segurança após descobri-las na noite de sexta-feira. Embora a empresa não tenha anunciado inicialmente nenhuma ação específica tomada em relação ao seu aplicativo, com base em relatórios do Reddit, os usuários que deveriam ter acesso ao Nothing Chats com base em sua localização não puderam baixar o aplicativo na Play Store. Com certeza, pouco antes da publicação desta história, Nothing confirmou no Twitter em um comunicado que o lançamento foi “atrasado” para corrigir “vários bugs”, o que, com certeza, é pouco.
Se você é um usuário do Nothing Phone 2 e está chateado com essa reviravolta, é importante notar que o Nothing Chats em geral parecia bastante quebrado ao tentar enviar mensagens na sexta-feira. Meu colega Taylor Kerns e eu estávamos testando o serviço para uma experiência prática que, francamente, provavelmente nunca acontecerá neste momento, com quase todas as mensagens enviadas atrasadas ou totalmente perdidas. Felizmente, usamos um ID Apple novo e gravador com este serviço – é óbvio que você não deve entregar seus dados ao Nothing ou ao Sunbird.
Será difícil para a Nothing superar a enorme quebra de confiança que sua plataforma de mensagens provocou aqui. Como uma marca menor no ecossistema Android maior, a Nothing depende efetivamente de usuários e revisores experientes em tecnologia que recomendam seu hardware a compradores regulares, e um lançamento tão mal feito como este torna isso muito mais difícil. Confiar no Sunbird para lidar com uma solução alternativa do iMessage parece ter sido um grande passo em falso em sua direção geral; pior ainda, porém, é a rapidez com que os usuários da web encontraram essas falhas em sua segurança. Ou Nothing mentiu sobre a criptografia de seu aplicativo de mensagens ou não teve tempo para testar esses protocolos por si só. De qualquer forma, é uma aparência muito, muito ruim.
Ah, e para ser completamente claro, você não deve usar Nothing Chats ou Sunbird, estejam ou não acessíveis na Play Store. Fique longe.
