Una alarmante brecha de seguridad en Nothing Chats marca un desastroso comienzo para la aplicación
La reciente introducción de Nothing Chats, la aplicación de mensajería de la compañía de tecnología Nothing que permitía comunicar con usuarios de iMessage, ha sido abruptamente interrumpida después de revelarse graves deficiencias en su seguridad.
El sábado, la aplicación fue retirada de la Google Play Store tan solo unos días después de su lanzamiento, generando preocupación por su falta aparente de cifrado y por el envío de credenciales de inicio de sesión a través de HTTP, sin ningún cifrado.
Las preocupaciones sobre la seguridad de la aplicación aumentaron aún más cuando se descubrió que Sunbird, el servicio asociado con Nothing Chats, almacenaba y conservaba mensajes, vCards y otros datos del usuario, los cuales podían ser descargados por terceros.
We've removed the Nothing Chats beta from the Play Store and will be delaying the launch until further notice to work with Sunbird to fix several bugs.
We apologise for the delay and will do right by our users.
— Nothing (@nothing) November 18, 2023
El desarrollador de aplicaciones para Android, Dylan Roussel, reveló una serie de descubrimientos alarmantes sobre la aplicación. En un hilo de comentarios, Roussel informó que Sunbird tenía acceso a todos los mensajes enviados y recibidos a través de la aplicación, que todos los documentos, incluidas imágenes, videos y vCards enviados a través de la aplicación, eran visibles públicamente y que Nothing Chats no utiliza encriptación de extremo a extremo en absoluto.
La falta de seguridad se vio agravada por el almacenamiento de más de 637.000 elementos multimedia por parte de Sunbird, que incluían vCards y archivos con nombres originales intactos. Roussel demostró cómo era posible acceder a números de teléfono y detalles de otros usuarios a través de la descarga de estos archivos.
La falta de cifrado de extremo a extremo, que supuestamente estaba anunciada en la aplicación, también fue cuestionada por Roussel. Este descubrimiento levantó interrogantes sobre la privacidad y seguridad de los usuarios, considerándolo como una de las mayores pesadillas en privacidad por parte de un fabricante de teléfonos en años.
Ante esta situación, Roussel sugirió que la aplicación se retire de la tienda de aplicaciones y que se notifique a todos los usuarios afectados. Según las normativas de GDPR en Europa, Sunbird tiene 72 horas desde que se notifica una vulnerabilidad para informar a las víctimas.