Nothing ha recentemente ritirato la versione beta di Nothing Chats dal Google Play Store, annunciando il "posticipo del lancio fino a ulteriori avvisi" per risolvere "diversi bug".
L'app, rivolta agli utenti di Nothing Phone 2, si proponeva di consentire l'invio di messaggi tramite iMessage, richiedendo tuttavia l'autorizzazione a Sunbird (il fornitore della piattaforma) per accedere agli account iCloud degli utenti attraverso i propri server che risiedono su dei Mac Mini di proprietà di Sunbird... una situazione tutt'altro che sicura.
La decisione di rimuovere l'app è stata presa in seguito alla diffusione di un articolo del blog Texts.com, ampiamente condiviso da numerosi utenti, che evidenziava la mancanza di crittografia end-to-end nei messaggi inviati tramite il sistema di Sunbird, esponendolo a possibili compromissioni.
In seguito al lancio della versione beta, avvenuto ieri dopo l'annuncio all'inizio della settimana, sono emersi ulteriori dettagli preoccupanti.
Il sito 9to5Google ha riportato le scoperte di Dylan Roussel (l'autore dell'articolo su Texts.com) il quale ha individuato un aspetto della soluzione di Sunbird che coinvolge la decodifica e la trasmissione dei messaggi tramite HTTP a un server di sincronizzazione cloud Firebase, dove verrebbero memorizzati in formato testuale e non crittografato.
Roussel ha sottolineato che l'azienda stessa ha totale accesso ai messaggi, limitandosi a registrarli come errori attraverso Sentry, un servizio di debug.
Sunbird ha risposto dichiarando che l'utilizzo di HTTP è "limitato alla richiesta iniziale dell'app per comunicare al backend la futura connessione a iMessage".
Tale dichiarazione è stata fatta in risposta all'articolo di Texts.com che evidenzia la vulnerabilità del sistema. Secondo il blog, un attaccante con accesso al database Firebase in tempo reale potrebbe accedere ai messaggi prima che vengano letti dall'utente.
Inoltre, il blog sottolinea la possibilità per l'azienda di visualizzare i messaggi tramite il pannello di controllo di Sentry, contraddicendo l'asserzione delle FAQ di Nothing, le quali sostengono che nessuno in Sunbird può accedere ai messaggi inviati o ricevuti.