C. Scott Brown / Autoridade Android
DR
- O aplicativo CMF Watch da Nothing criptografou e-mails e senhas de maneira abaixo do ideal, supostamente permitindo a descriptografia usando as mesmas chaves de descriptografia.
- O problema foi parcialmente corrigido, pois o método de criptografia das senhas foi atualizado, mas não o dos e-mails.
Nada teve um bom sucesso com o Nothing Phone 2, considerando a novidade do telefone e a imagem de marca nascente. Para conquistar parte do público do iPhone, a Nothing fez parceria com a Sunbird para lançar um aplicativo iMessage para Android chamado Nothing Chats. O aplicativo durou cerca de um dia antes de ser desativado devido a flagrantes descuidos de segurança. Mas parece haver mais esqueletos no armário do Nothing, à medida que surgiram mais duas vulnerabilidades.
Desenvolvedor Android e engenheiro reverso Dylan Roussel postou no X que encontrou duas vulnerabilidades centradas em Nothing. O primeiro foi encontrado em setembro no aplicativo CMF Watch, desenvolvido em parceria com uma empresa chamada Jingxun. O aplicativo CMF Watch criptografou nomes de usuário e senhas de e-mail, mas o método de criptografia supostamente deixou a porta aberta para descriptografar os mesmos com as mesmas chaves de descriptografia, anulando o propósito da criptografia.
Nothing/Jingxun corrigiu esta vulnerabilidade, mas curiosamente, apenas para a senha. Você ainda pode supostamente descriptografar o e-mail usado como nome de usuário.
A segunda vulnerabilidade não foi detalhada publicamente, mas está relacionada aos dados internos do Nothing. Nada foi informado sobre o mesmo em agosto, mas ainda não foi corrigido.
Nada não possui mecanismo para divulgação de vulnerabilidades ou relato de problemas de segurança. Os usuários que encontram esses problemas precisam recorrer ao contato com a empresa por outros canais, o que não é o ideal. Considerando a quantidade de sopa que o Nothing encontrou recentemente, seria uma boa ideia tornar mais fácil relatar esses problemas à empresa.
Entramos em contato com Nothing para comentários. Atualizaremos este artigo assim que tivermos notícias deles.