O Nothing Chats, um clone do iMessage lançado pela empresa no início desta semana, foi removido da Google Play Store. A justificativa oficial menciona “vários bugs” que a empresa precisa corrigir antes de relançá-lo, sem fornecer um prazo definido.
- Siga o tecflow no Google News!
- Participe dos nossos canais no Telegram ou Whatsapp!
- Confira nossos stories no Instagram e veja notícias como essa!
- Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
- Anuncie conosco aqui.
O tweet da empresa afirma: “Removemos a versão beta do Nothing Chats da Play Store e adiaremos o lançamento até novo aviso para trabalhar com o Sunbird na correção de vários bugs. Pedimos desculpas pelo atraso e faremos o que é certo para nossos usuários.”
Contudo, há indícios suficientes para sugerir que o aplicativo foi retirado não apenas devido a “bugs”, como alega a Nothing, mas sim devido a sérios problemas de segurança.
Uma análise técnica realizada por Rida F’kih, autora do Texts.com, e pelos usuários do Twitter @batuhan e @1ConanEdogowa, revelou que o provedor de serviços da Nothing, Sunbird, estava mentindo sobre a natureza da criptografia de ponta a ponta das mensagens transmitidas por meio de seus servidores.
Conforme relatado anteriormente, a inscrição para usar o Nothing Chats exigia autenticação nos servidores Sunbird usando o ID Apple, que operavam em um Mac mini executando uma máquina virtual. Embora o Sunbird afirmasse que as mensagens enviadas para os servidores eram criptografadas de ponta a ponta, os JWT (JSON Web Tokens) gerados pelo serviço eram enviados sem criptografia para outro servidor Sunbird sem SSL, possibilitando a interceptação por um invasor.
Além disso, as mensagens eram descriptografadas e armazenadas nos servidores Sunbird, permitindo o acesso de invasores antes mesmo de chegarem aos destinatários. Texts.com demonstrou isso interceptando JWTs ao enviar mensagens entre dois dispositivos, proporcionando acesso ao banco de dados em tempo real do Firebase. Com apenas 23 linhas de código, todas as informações e conversas do usuário foram baixadas.
Embora a responsabilidade pela questão de privacidade recaia diretamente sobre o Sunbird, a Nothing também está envolvida, uma vez que escolheu colaborar com a empresa. Chamar essa situação séria de “bugs” foi considerado extremamente desonesto.
O futuro do serviço permanece incerto até que a Nothing decida relançar o aplicativo na loja. Vale ressaltar que é desaconselhável fazer login em servidores de terceiros com seu ID Apple, mesmo que aleguem criptografia. Esse conselho torna-se especialmente relevante agora, com a Apple anunciando suporte ao RCS.
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
