C. Scott Brown / Autoridade Android
DR
- As preocupações com a segurança surgiram logo após o anúncio do Nothing Chats.
- Nada esclareceu como o Nothing Chats funciona para garantir aos usuários que é seguro usá-lo.
- Novas descobertas mostram que o aplicativo pode ser menos seguro do que se pensava anteriormente.
Quando a Nothing anunciou o Nothing Chats, a empresa afirmou que sua nova plataforma de mensagens Phone 2 era criptografada de ponta a ponta. Embora a Nothing insista que seu aplicativo é privado e seguro, novas descobertas sugerem que ele é menos seguro do que pensávamos inicialmente.
Nothing Chats é baseado na arquitetura do aplicativo Sunbird, mas foi projetado por Nothing. O objetivo é dar compatibilidade ao Phone 2 com o aplicativo iMessage do iPhone. Para fazer isso, os usuários são obrigados a entrar no aplicativo com um ID Apple, que então atribui sua conta a uma instância virtual de um dos Mac Minis da Sunbird. Isso faz com que o iPhone pense que está se comunicando com outro dispositivo Apple.
Isso levantou preocupações de que os usuários precisariam confiar em terceiros para manter seus dados e senhas de ID Apple seguros. No entanto, um porta-voz da Nothing esclareceu que depois de fazer login no aplicativo pela primeira vez, “as credenciais são tokenizadas em um banco de dados criptografado” e “não podem ser acessadas pelo Sunbird ou por qualquer outra pessoa, mesmo que tenham acesso ao próprio servidor físico”.
Agora que o aplicativo está disponível publicamente para download, os usuários estão descobrindo outros problemas de segurança. Kishan Bagaria, fundador do Texts.com, fez sua equipe investigar o aplicativo e descobriu que ele está enviando informações por protocolo de transferência de hipertexto (HTTP) em vez de protocolo de transferência de hipertexto seguro (HTTPS).
A equipe de textos deu uma rápida olhada na tecnologia por trás do Nothing Chats e descobriu que ela é extremamente insegura
nem está usando HTTPS, as credenciais são enviadas por HTTP de texto simples
A equipe do Texts também descobriu o termo “bluebubbles”, sugerindo que a Sunbird está pegando carona em seu aplicativo na tecnologia desenvolvida pela BlueBubbles, um serviço rival que também permite acesso ao iMessage através do Android.
No entanto, após esta descoberta ser feita, Nothing emitiu esta declaração para 9to5Google:
Embora o protocolo seja HTTP, todos os dados são criptografados e a chave usada para criptografar esses dados é fornecida via HTTPS para que as credenciais da Apple ou as mensagens enviadas por meio dessa solicitação HTTP sejam seguras e não abertas ao público. Todos os dados confidenciais do usuário, como credenciais e mensagens do ID Apple, são criptografados o tempo todo. O HTTP é usado apenas como parte da solicitação inicial única do aplicativo, notificando o back-end sobre a próxima iteração de conexão do iMessage que ocorrerá por meio de um canal de comunicação independente.
Em relação à outra parte de seu tweet, anos atrás, quando os servidores estavam sendo construídos, o cofundador da Sunbird os chamou de Blue Bubbles. O Sunbird/Chats não usa uma instância da tecnologia de outra pessoa – a nomenclatura é estritamente coincidência.
Além disso, quero acrescentar que desde o início o Sunbird tem se concentrado na segurança e sua certificação ISO27001 (Número do Certificado: IA-2023-09-21-01), uma especificação reconhecida internacionalmente para um sistema de gestão de segurança da informação, é um reflexo do seu compromisso com a privacidade do usuário.
No final do dia, você precisará decidir por si mesmo se confia no Sunbird e no Nothing à luz dessas revelações. Além disso, agora que a Apple anunciou que oferecerá suporte ao RCS em 2024, esses aplicativos estão com tempo emprestado de qualquer maneira.
