Nada retirou a versão beta do NothingChats da Google Play Store e disse que está “atrasando o lançamento até novo aviso” enquanto “vários bugs” são corrigidos.Este aplicativo permite que usuários de telefones celulares NothingPhone2 enviem mensagens de texto por meio da plataforma iMessage, mas exige que o Sunbird, que fornece a plataforma de mensagens, faça login na conta iCloud do usuário em seu próprio servidor MacMini, o que obviamente está um pouco além da aprovação de algumas pessoas.
Um blog do Texts.com analisou o aplicativo e descobriu que as mensagens enviadas usando o sistema Sunbird não eram criptografadas de ponta a ponta, então não seria difícil quebrá-lo. O aplicativo foi lançado em beta ontem, depois de ser lançado no início desta semana.
9to5Google aponta para uma postagem do autor do site, Dylan Roussel, que descobriu que parte da solução do Sunbird envolve o uso de HTTP para descriptografar e transmitir as informações para um servidor de sincronização em nuvem Firebase, onde são armazenadas como texto simples não criptografado. Roussel postou que a própria empresa também tem acesso a essas mensagens passadas porque usa o serviço de depuração Sentry para registrar as mensagens como erros.
Sunbird afirmou ontem que o HTTP é “usado apenas para uma solicitação inicial única pelo aplicativo para notificar o back-end sobre uma próxima conexão do iMessage”. Isso foi em resposta a alguém apontando uma vulnerabilidade. Texts.com escreve: “Um invasor que assina o Firebase Realtime Database sempre poderá acessar as informações antes ou enquanto o usuário as lê”. O blog também afirma que a empresa pode visualizar informações em seu painel Sentry, o que contradiz diretamente a afirmação do Nothing FAQ de que ninguém no Sunbird tem acesso às informações enviadas ou recebidas.
Mas até o momento, Nothing ainda não respondeu.
Artigos relacionados: