O aplicativo iMessage da Nothing para Android é incrivelmente ruim | ENBLE
O aplicativo iMessage da Nothing para Android é extremamente desapontante | ENBLE
No início desta semana, o Nothing fez algo inesperado e lançou o aplicativo “Nothing Chats” para o Nothing Phone 2. A ideia é permitir que qualquer pessoa com um Nothing Phone 2 envie e receba mensagens de texto via iMessage. O Nothing fez parceria com a Sunbird para que o Nothing Chats funcionasse, utilizando essencialmente a tecnologia de mensagens da Sunbird para trazer o iMessage para o Android.
Foi uma ideia audaciosa… mas que não durou muito. Isso porque o Nothing Chats já está morto (por enquanto) devido a uma quantidade chocante de vulnerabilidades de segurança que foram descobertas quase imediatamente. E quando falamos de vulnerabilidades de segurança, não nos referimos a pequenos descuidos que poderiam ter sido facilmente ignorados. Estamos falando de grandes falhas de design que comprometem massivamente as informações pessoais de qualquer pessoa que tenha usado o Nothing Chats.
O problema com o Nothing Chats
O Nothing Chats foi lançado em acesso beta em 17 de novembro e, poucas horas depois, preocupantes problemas de segurança começaram a surgir. Um dos primeiros relatórios veio de Kishan Bagaria, fundador do Texts.com. Bagaria e sua equipe descobriram que as mensagens enviadas via Nothing Chats não estavam utilizando credenciais de segurança HTTPS. Em vez disso, as mensagens estavam sendo enviadas no menos seguro padrão HTTP, em texto simples.
Mas não foi apenas Bagaria que descobriu essas vulnerabilidades. Wukko on X (anteriormente Twitter) também confirmou que tudo o que era enviado via Nothing Chats – incluindo mensagens de texto padrão, imagens e outros anexos de mídia – estava sendo feito em texto simples e claramente visível para qualquer pessoa que soubesse onde procurar.
Além disso, e ainda mais preocupante, a equipe do Wukko descobriu que todos os dados de mensagens enviados por e armazenados no Nothing Chats eram não criptografados e acessíveis facilmente por meio da plataforma Firebase.
- Os melhores protetores de tela para o iPhone 15 Pro Max em 2023 | E...
- Estes são os melhores AirPods que você pode comprar – e eles ...
- Google Pixel 8 e Pixel 8 Pro acabaram de ter seus preços reduzidos ...
Esses relatórios já eram ruins o suficiente, mas uma reportagem adicional do 9to5Google reafirmou o quão sérias essas vulnerabilidades realmente eram. De acordo com as próprias descobertas do 9to5:
“Em nossa pesquisa de Dylan Roussel, descobrimos que, uma vez que o usuário autentica com os JSON Web Tokens (JWT), que são inseguros em trânsito, eles podem acessar o banco de dados Firebase do Nothing Chat e ver mensagens e arquivos de outros usuários em tempo real e em texto simples.”
O relatório continua mencionando como os vCards (também conhecidos como cartões de contato) também estavam totalmente acessíveis – incluindo nomes, números, endereços de e-mail e outras informações pessoalmente identificáveis das pessoas. E como se isso não bastasse, o 9to5Google também descobriu mais de 630.000 arquivos de mídia armazenados no servidor Firebase da Sunbird – a empresa que alimenta o aplicativo Nothing Chats.
Em suma, estamos diante do seguinte:
- O Nothing Chats não é criptografado de ponta a ponta
- As mensagens do Nothing Chats são enviadas em texto simples
- A mídia e outros anexos são publicamente acessíveis
- A Sunbird tem acesso às mensagens e anexos enviados pelo Nothing Chats
Em outras palavras, isso é muito, muito ruim. É especialmente pior considerando o quão rápido o Nothing foi em rejeitar essas preocupações iniciais de segurança, afirmando ainda que as mensagens eram criptografadas de ponta a ponta quando, na realidade, elas absolutamente não eram.
Para onde vai o Nothing a partir daqui?
No dia 18 de novembro, apenas um dia após o lançamento do Nothing Chats, a Nothing anunciou na X que estava oficialmente removendo o aplicativo Nothing Chats da Play Store e “atrasando o lançamento até novo aviso” para que a empresa pudesse “trabalhar com a Sunbird para corrigir vários bugs”.
Tirar o aplicativo e atrasar o lançamento é a decisão certa por parte da Nothing, mas é impossível exagerar o quanto de dano provavelmente já foi causado por todo esse debacle.
No final das contas, esses problemas de segurança são culpa da Sunbird. O Nothing Chats foi construído com base no backend da Sunbird, e cabe à Sunbird resolver essas preocupações. No entanto, a Nothing ainda decidiu fazer parceria com a Sunbird para criar e lançar o Nothing Chats, e o fato de a empresa nunca ter descoberto essas vulnerabilidades enquanto criava o Nothing Chats é preocupante.
Se você ainda tem o aplicativo Nothing Chats em seu telefone, recomendamos fortemente que pare de usá-lo imediatamente. Essa mesma recomendação se aplica se você estiver usando o aplicativo regular Sunbird também. Ter o iMessage em um telefone Android é uma conveniência divertida, mas não vale o risco de comprometer tão seriamente suas informações pessoais. É melhor esperar que a Apple adicione o RCS ao iPhone em 2024.
Quanto ao futuro do Nothing Chats, é difícil dizer o que acontecerá em seguida. A Nothing diz que está “atrasando” o lançamento, mas para corrigir todos os problemas que acabamos de mencionar aqui, a Sunbird teria que reformular drasticamente todo o seu processo de backend. A Nothing vai querer esperar por isso acontecer, ou decidirá simplesmente cortar suas perdas e encerrar o Nothing Chats de uma vez por todas? Nesse ponto, parece que a última opção pode ser a melhor escolha.
