La aplicación Nothing’s iMessage para Android es increíblemente mala

A principios de esta semana, Nothing hizo lo inesperado y lanzó la aplicación "Nothing Chats" para Nothing Phone 2 . ¿La premisa? Permita que cualquier persona con un Nothing Phone 2 envíe y reciba mensajes de texto a través de iMessage. Nothing se asoció con Sunbird para hacer que Nothing Chats funcionara, y Nothing esencialmente utilizó la propia tecnología de mensajería de Sunbird para llevar iMessage a Android.

Fue una idea audaz… pero que duró poco. Esto se debe a que Nothing Chats ya está muerto (por el momento) debido a una sorprendente cantidad de vulnerabilidades de seguridad que se descubrieron casi de inmediato. Y por vulnerabilidades de seguridad no nos referimos a descuidos menores que podrían haber sido fáciles de pasar por alto. Estamos hablando de fallas de diseño importantes e innovadoras que comprometen enormemente la información personal de cualquiera que use Nothing Chats.

El problema con Nothing Chats

Nothing Chats se lanzó en acceso beta el 17 de noviembre y, pocas horas después de que las personas tuvieran en sus manos la aplicación, comenzaron a surgir preocupantes problemas de seguridad. Uno de los primeros informes provino de Kishan Bagaria, el fundador de Texts.com. Bagaria y su equipo descubrieron que los mensajes enviados a través de Nothing Chats no utilizaban credenciales de seguridad HTTPS. En cambio, los mensajes se enviaban según el estándar HTTP, mucho menos seguro, en texto plano.

Pero no fue sólo Bagaria quien descubrió estas vulnerabilidades. Wukko en X (anteriormente Twitter) también confirmó que todo lo enviado a través de Nothing Chats, incluidos mensajes de texto estándar, imágenes y otros archivos adjuntos multimedia, se realizó utilizando texto sin formato y claramente visible para cualquiera que supiera dónde buscar.

Además, y lo que es aún más preocupante, Wukko descubrió que todos los datos de mensajería enviados y almacenados en Nothing Chats se realizaban sin cifrar y a través de una plataforma Firebase de fácil acceso.

Estos informes fueron bastante malos, pero informes adicionales de 9to5Google reiteraron cuán graves eran realmente estas vulnerabilidades. Según los propios hallazgos de 9to5:

“En nuestra investigación de Dylan Roussel, descubrimos que una vez que un usuario se autentica con los tokens web JSON (JWT) que no son seguros en tránsito, puede acceder a la base de datos Firebase de Nothing Chat y ver mensajes y archivos de otros usuarios enviados en tiempo real y en Texto sin formato."

El informe continúa mencionando cómo las vCards (también conocidas como tarjetas de contacto) también eran completamente accesibles, incluidos los nombres, números, direcciones de correo electrónico y otra información de identificación personal de las personas. Y como si eso no fuera suficiente, 9to5Google también descubrió más de 630.000 archivos multimedia almacenados en el servidor Firebase de Sunbird, la empresa que impulsa la aplicación Nothing Chats.

En resumen, esto es lo que estamos viendo:

• Nothing Chats no está cifrado de extremo a extremo
• Los mensajes de Nothing Chats se envían en texto plano
• Los medios y otros archivos adjuntos son de acceso público.
• Sunbird tiene acceso a mensajes y archivos adjuntos enviados desde Nothing Chats

En otras palabras, todo esto es muy, muy malo. Es especialmente peor considerando lo rápido que Nothing refutó estas preocupaciones iniciales de seguridad, afirmando además que los mensajes estaban cifrados de extremo a extremo cuando, en realidad, no lo estaban en absoluto.

¿Adónde va Nada desde aquí?

El 18 de noviembre, apenas un día después del lanzamiento de Nothing Chats, Nothing anunció en X que eliminaría oficialmente la aplicación Nothing Chats de Play Store y "retrasaría el lanzamiento hasta nuevo aviso" para que la compañía pudiera "trabajar con Sunbird para corregir varios errores". .”

Tirar la aplicación y retrasar el lanzamiento es la decisión correcta al final de Nothing, pero es imposible exagerar cuánto daño probablemente ya se ha causado con toda esta debacle.

Al final del día, estos problemas de seguridad son culpa de Sunbird. Nothing Chats se creó en el backend de Sunbird y le corresponde a Sunbird abordar estas inquietudes. Sin embargo, Nothing decidió asociarse con Sunbird para crear y lanzar Nothing Chats, y el hecho de que la compañía nunca descubrió estas vulnerabilidades mientras creaba Nothing Chats es preocupante.

Si todavía tienes la aplicación Nothing Chats en tu teléfono, te recomendamos encarecidamente que dejes de usarla inmediatamente. La misma recomendación se aplica si también estás utilizando la aplicación Sunbird normal. Tener iMessage en un teléfono Android es una comodidad divertida, pero no corre el riesgo de que su información personal se vea tan comprometida. Es mejor esperar a que Apple agregue RCS al iPhone en 2024 .

En cuanto al futuro de Nothing Chats, es difícil decir qué pasará a continuación. Nada dice que esté "retrasando" el lanzamiento, pero para solucionar todos los problemas de los que acabamos de hablar aquí, Sunbird tendría que revisar drásticamente todo su proceso de backend. ¿Nothing querrá esperar a que eso suceda, o decidirá simplemente reducir sus pérdidas y desconectar Nothing Chats para siempre? En este punto, parece que esta última puede ser la mejor opción.