La aplicación de iMessage de Nothing para Android es increíblemente mala | ENBLE.
La aplicación de iMessage de Nothing para Android es extremadamente deficiente | ENBLE.
A principios de esta semana, Nothing hizo lo inesperado y lanzó la aplicación “Nothing Chats” para el Nothing Phone 2. ¿La premisa? Permitir a cualquier persona con un Nothing Phone 2 enviar y recibir mensajes de texto a través de iMessage. Nothing se asoció con Sunbird para que Nothing Chats funcionara, utilizando la tecnología de mensajería propia de Sunbird para llevar iMessage a Android.
Fue una idea audaz… pero que tuvo una vida corta. Eso se debe a que Nothing Chats ya está muerto (por el momento) debido a un sorprendente número de vulnerabilidades de seguridad que fueron descubiertas casi de inmediato. Y cuando decimos vulnerabilidades de seguridad, no nos referimos a pequeños descuidos que podrían haberse pasado por alto fácilmente. Estamos hablando de importantes fallas de diseño que comprometen en gran medida la información personal de cualquier persona que haya utilizado Nothing Chats.
El problema con Nothing Chats
Nothing Chats se lanzó en acceso beta el 17 de noviembre, y en cuestión de horas, comenzaron a surgir preocupantes problemas de seguridad. Uno de los primeros informes provino de Kishan Bagaria, el fundador de Texts.com. Bagaria y su equipo descubrieron que los mensajes enviados a través de Nothing Chats no utilizaban credenciales de seguridad HTTPS. En su lugar, los mensajes se enviaban utilizando el estándar HTTP, mucho menos seguro, en texto sin formato.
Pero no solo Bagaria descubrió estas vulnerabilidades. Wukko en X (antes Twitter) también confirmó que todo lo que se enviaba a través de Nothing Chats, incluyendo mensajes de texto, imágenes y otros archivos multimedia, se hacía en texto sin formato y era claramente visible para cualquier persona que supiera dónde buscar.
Además, y aún más preocupante, Wukko descubrió que todos los datos de mensajes enviados y almacenados en Nothing Chats se hacían sin cifrar y a través de una plataforma Firebase de fácil acceso.
- Fitbit Versa 4, Sense 2, Charge 6 en oferta por Black Friday | ENBLE
- Los mejores protectores de pantalla para el iPhone 15 Pro Max en 20...
- Estos son los mejores AirPods que puedes comprar, ¡y están en ofert...
Estos informes fueron lo suficientemente graves, pero una investigación adicional de 9to5Google reiteró aún más la gravedad de estas vulnerabilidades. Según los propios hallazgos de 9to5:
“En nuestra investigación de Dylan Roussel, descubrimos que una vez que un usuario se autentica con los tokens web JSON (JWT) que no son seguros en tránsito, puede acceder a la base de datos Firebase de Nothing Chat y ver los mensajes y archivos de otros usuarios en tiempo real y en texto sin formato”.
El informe continúa mencionando cómo las vCards (también conocidas como tarjetas de contacto) también eran totalmente accesibles, incluyendo los nombres de las personas, números de teléfono, direcciones de correo electrónico y otra información personal identificable. Y como si eso no fuera suficiente, 9to5Google también descubrió más de 630,000 archivos multimedia almacenados en el servidor Firebase de Sunbird, la empresa que impulsa la aplicación Nothing Chats.
En resumen, esto es lo que tenemos:
- Nothing Chats no está cifrado de extremo a extremo
- Los mensajes de Nothing Chats se envían en texto sin formato
- Los archivos multimedia y otros adjuntos son accesibles públicamente
- Sunbird tiene acceso a los mensajes y archivos adjuntos enviados desde Nothing Chats
En otras palabras, esto es todo muy, muy malo. Es aún peor considerando cuán rápido fue Nothing en negar estas preocupaciones iniciales de seguridad, afirmando además que los mensajes estaban cifrados de extremo a extremo cuando, en realidad, no lo estaban en absoluto.
¿A dónde va Nothing a partir de aquí?
El 18 de noviembre, justo un día después de lanzar Nothing Chats, Nothing anunció en X que estaba eliminando oficialmente la aplicación Nothing Chats de la Play Store y “retrasando el lanzamiento hasta nuevo aviso” para que la compañía pudiera “trabajar con Sunbird para solucionar varios errores”.
Retirar la aplicación y retrasar el lanzamiento es la decisión correcta por parte de Nothing, pero es imposible exagerar cuánto daño probablemente ya se ha hecho con todo este debacle.
Al final del día, estos problemas de seguridad son culpa de Sunbird. Nothing Chats se construyó en la infraestructura de Sunbird, y es responsabilidad de Sunbird abordar estas preocupaciones. Sin embargo, Nothing decidió asociarse con Sunbird para crear y lanzar Nothing Chats, y el hecho de que la compañía nunca haya descubierto estas vulnerabilidades durante la creación de Nothing Chats es preocupante.
Si todavía tienes la aplicación Nothing Chats en tu teléfono, te recomendamos encarecidamente que dejes de usarla de inmediato. La misma recomendación se aplica si también estás usando la aplicación regular de Sunbird. Tener iMessage en un teléfono Android es una conveniencia divertida, pero no a costa de comprometer gravemente tu información personal. Es mejor esperar a que Apple agregue RCS al iPhone en 2024.
En cuanto al futuro de Nothing Chats, es difícil decir qué sucederá a continuación. Nothing dice que está “retrasando” el lanzamiento, pero para solucionar todos los problemas que acabamos de mencionar, Sunbird tendría que renovar drásticamente todo su proceso de infraestructura. ¿Nothing estará dispuesto a esperar a que eso suceda, o decidirá simplemente cortar sus pérdidas y cancelar Nothing Chats para siempre? En este punto, parece que lo último puede ser la mejor opción.
