Inscreva-se no grupo de análise e inteligência no Telegram ▶️ https://t.me/areamilitar
Em um movimento rápido, Nothing Chats, o aplicativo de mensagens lançado pela Nothing no início desta semana, foi retirado da Google Play Store. Oficialmente, o motivo citado são “vários bugs” que requerem correção antes de um relançamento – uma ação acompanhada por um período de espera não especificado. No entanto, evidências emergentes apontadas por 9to5Google e outros sugerem que a retirada pode ter mais a ver com falhas de segurança flagrantes do que com meros bugs.
Alegações enganosas de Sunbird
Um exame técnico meticuloso realizado por Rida F’kih de Textos.comjunto com usuários do Twitter @batuhan e @1Conan Edogowa, revelou revelações perturbadoras sobre o provedor de serviços da Nothing, Sunbird. A empresa supostamente deturpou a criptografia ponta a ponta das mensagens transmitidas por meio de seus servidores.
Anteriormente, os usuários que se inscreviam no Nothing Chats precisavam fazer login nos servidores Sunbird usando seu ID Apple, hospedado em um Mac mini executando uma máquina virtual. Embora a Sunbird alegasse criptografia de mensagens durante o trânsito para os servidores, o trio investigativo descobriu um lapso crítico. Os JSON Web Tokens (JWT) gerados pelo serviço foram enviados sem criptografia para outro servidor Sunbird sem SSL, tornando-os vulneráveis à interceptação por possíveis invasores.
Para piorar os problemas de segurança, as mensagens eram criptografadas e armazenadas em servidores Sunbird, proporcionando aos invasores uma janela de oportunidade para acessá-las antes do destinatário pretendido. Texts.com demonstrou essa vulnerabilidade interceptando JWTs, obtendo acesso ao banco de dados em tempo real do Firebase com apenas 23 linhas de código, resultando no download de todas as informações e conversas do usuário.
A resposta de Nothing levanta questões de transparência
O autor deu um passo além, oferecendo uma local na rede Internet onde usuários com experiência em codificação poderiam interceptar suas próprias mensagens quando enviadas entre dois dispositivos, um dos quais executa o aplicativo Nothing Chats.
Embora a violação de privacidade seja diretamente de responsabilidade da Sunbird, a Nothing, ao optar por colaborar com a empresa, encontra-se envolvida no assunto. Além disso, abordar estas falhas de segurança significativas como meros “bugs” levanta questões sobre a transparência.
