Nothing Chats è un fallimento: ritirata per problemi di sicurezza

Nothing

, meglio conosciuta per i suoi smartphone e auricolari, ha annunciato il 14 novembre la nuova applicazione di messaggistica Nothing Chats, progettata per offrire supporto ai messaggi iMessage di Apple sui telefoni Nothing.

In particolare in Nord America, dove i messaggi iMessage di Apple sono molto popolari, la loro limitazione esclusiva ai dispositivi Apple è un problema significativo. Gli iPhone, infatti, non hanno supportato direttamente la comunicazione in modo moderno con i telefoni Android. Ad esempio, in Europa, inclusa l’Italia, iMessage non è così popolare, con le persone che utilizzano altre app di messaggistica.

Nothing Chats bloccata per sicurezza insufficiente

L’app Nothing Chats è stata lanciata in versione beta per lo smartphone Nothing Phone (2) venerdì 17 novembre, ma già sabato 18 novembre Nothing ha ritirato l’app dal mercato a seguito della scoperta di gravi problemi di sicurezza nell’implementazione dell’app, che ha rivelato messaggi e file degli utenti a terzi.

Nothing Chats è stata sviluppata in collaborazione con Sunbird, che in precedenza aveva lanciato un’app indipendente per portare il supporto iMessage sui telefoni Android.

Nothing ha promosso Nothing Chats come una soluzione di messaggistica criptata end-to-end, il che significherebbe che il servizio, cioè Nothing o Sunbird, non avrebbe accesso ai messaggi. Tuttavia, questa affermazione si è rivelata non veritiera. Nothing ha chiaramente esagerato sulle funzionalità della propria app, sebbene probabilmente senza intenzione, fidandosi di ciò che Sunbird aveva comunicato.

Supportare i messaggi iMessage richiede tecniche speciali da parte di app esterne, poiché Apple ovviamente non fornisce alcuna possibilità pronta per l’implementazione di tale supporto. In pratica, il supporto iMessage in app come Nothing Chats era implementato in modo che l’utente fornisse il proprio ID Apple all’app, che poi indirizzava queste informazioni a un computer Mac controllato dal servizio, che a sua volta inoltrava i messaggi all’app Nothing Chats.

Fornire il proprio ID Apple in questo modo a un servizio comporta dei rischi, ma questo si è rivelato solo un piccolo problema rispetto all’implementazione complessivamente scadente di Nothing Chats in termini di sicurezza informatica.

Un utente con il nickname wukko ha segnalato per primo che Nothing Chats non funzionava come promesso. Secondo lui, Nothing Chats inviava i link di tutti i file multimediali allegati ai messaggi, come le immagini, al servizio Sentry. Inoltre, tutti i dati, inclusi i messaggi, venivano inviati al servizio di database Firebase e non erano affatto criptati.

Anche Dylan Roussel di 9to5Google ha confermato le scoperte sulla sicurezza insufficiente, o addirittura inesistente, di Nothing Chats.

I token JSON Web Token (JWT) utilizzati in Nothing Chats venivano trasmessi senza criptazione e, dopo l’autenticazione tramite questi token, l’utente poteva accedere in tempo reale ai messaggi e ai file di altri utenti nel database Firebase utilizzato da Nothing Chats, in formato completamente non criptato. Questo includeva anche i pacchetti di contatti vCard degli utenti, che possono contenere ad esempio numeri di telefono ed email.

9to5Google ha segnalato le scoperte a Nothing, che ha poi rimosso l’app dal Google Play Store. Anche Sunbird ha rimosso la propria app dal mercato.

“Abbiamo rimosso la versione beta di Nothing Chats dal Play Store e rimandato il lancio per collaborare con Sunbird alla risoluzione di diversi bug. Ci scusiamo per il ritardo e agiamo nel migliore interesse dei nostri utenti“, ha commentato Nothing.

Tuttavia, i problemi non erano tanto bug, come affermato da Nothing, ma una fondamentale carenza nell’implementazione della sicurezza informatica dell’app.

Nothing Chats si è rivelata un totale fiasco

È stato giustamente sollevato il dubbio su come la supervisione di Nothing sullo sviluppo dell’app, realizzata in collaborazione con un partner esterno e lanciata a suo nome, sia completamente fallita. I gravi problemi sono emersi immediatamente dopo il lancio dell’app, ma apparentemente non avevano suscitato preoccupazione durante lo sviluppo da parte di Nothing.

Per Nothing, l’app Nothing Chats, che avrebbe dovuto offrire supporto iMessage sui suoi smartphone, si è rivelata essere più un trucco di marketing, che ora si è ritorcito contro, gettando un’ombra negativa sul marchio Nothing.