Nothing Chats, un’app simile a iMessage lanciata di recente, è stata ritirata dal Google Play Store per motivi di sicurezza. La ragione ufficiale fornita dalla compagnia è la necessità di risolvere “diversi bug” prima di un rilancio in un periodo indefinito. Tuttavia, emergono preoccupazioni significative relative alla sicurezza dell’app.
Problemi di sicurezza e critiche tecniche
Un’analisi tecnica approfondita condotta da Rida F’kih di Texts.com e dagli utenti Twitter @batuhan e @1ConanEdogowa ha rivelato che il fornitore di servizi di Nothing Chats, Sunbird, ha fornito informazioni ingannevoli riguardo alla natura crittografata end-to-end dei messaggi inviati attraverso i suoi server. Nonostante le affermazioni di Sunbird, i messaggi inviati ai server sono crittografati, ma i JSON Web Tokens (JWT) generati dal servizio vengono inviati nuovamente e senza crittografia a un altro server Sunbird, senza SSL, rendendoli vulnerabili all’intercettazione.
Rischi per la Privacy e conservazione dei messaggi
Inoltre, i messaggi vengono decrittografati e poi memorizzati sui server di Sunbird, permettendo a un attaccante di accedervi prima dell’utente. Texts.com ha dimostrato ciò inviando alcuni messaggi tra due dispositivi e intercettando i JWT, ottenendo così l’accesso al database Firebase in tempo reale. Con solo 23 righe di codice, è stato possibile scaricare tutte le informazioni degli utenti e le conversazioni.
Risposta di Nothing
Nothing, scegliendo di collaborare con Sunbird, si è implicata in questa problematica. Etichettare la situazione come “bug” è stato giudicato estremamente disonesto. Resta da vedere in che stato il servizio riemergerà quando Nothing deciderà di rimettere l’app sullo store. È importante sottolineare che non è consigliabile accedere ai server di un servizio di terze parti con il proprio Apple ID, specialmente ora che Apple ha annunciato il supporto RCS.
Un portavoce di Nothing ha chiarito che, dopo il primo accesso all’app, le credenziali vengono “tokenizzate in un database crittografato” e “non possono essere accessibili da Sunbird o da chiunque altro, anche se avessero accesso al server fisico stesso”. Tuttavia, Kishan Bagaria, fondatore di Texts.com, e il suo team hanno scoperto che l’app invia informazioni tramite protocollo HTTP invece di HTTPS, rendendo le credenziali vulnerabili.
Uso di BlueBubbles e Crittografia
Il team di Texts ha anche scoperto il termine “bluebubbles”, suggerendo che Sunbird potrebbe basarsi sulla tecnologia sviluppata da BlueBubbles, un servizio rivale che consente l’accesso a iMessage tramite Android. Nothing ha risposto affermando che, sebbene il protocollo sia HTTP, tutti i dati sono crittografati e la chiave utilizzata per criptare tali dati è fornita tramite HTTPS. Hanno inoltre sottolineato che Sunbird/Chats non utilizza la tecnologia di terze parti e che il nome “Blue Bubbles” è una coincidenza.
Rigflessioni e sfide del mercato per Nothing
Il ritiro di Nothing Chats dal Google Play Store solleva questioni importanti sulla sicurezza e la privacy nelle app di messaggistica. Questo caso evidenzia l’importanza di una verifica accurata e della trasparenza nelle pratiche di sicurezza delle app.
La situazione di Nothing Chats pone interrogativi sulla sicurezza delle app di messaggistica e sulla fiducia degli utenti nei confronti dei fornitori di servizi. Con l’annuncio di Apple di supportare RCS nel 2024, l’importanza di tali app potrebbe diminuire, ma le preoccupazioni sulla sicurezza rimangono cruciali.