Nothing Chats, il clone di iMessage lanciato dall’azienda all’inizio di questa settimana, è stato ritirato dal Google Play Store.

Secondo la versione ufficiale dell’azienda ci sarebbero “diversi bug” da risolvere prima di lanciarlo nuovamente.



Tuttavia, a leggere il parere degli esperti in rete, le ragioni dovrebbero essere ben altre e ci sono sufficienti prove per sostenere che l’app sia stata ritirata non a causa di “bug”, come affermato da Nothing, ma piuttosto a causa di alcuni evidenti problemi di sicurezza.



Secondo un’analisi tecnica approfondita dell’autrice di Texts.com Rida F’kih e degli utenti di Twitter @batuhan e @1ConanEdogowa, Sunbird, il fornitore dei servizi di Nothing, avrebbe mentito sulla natura crittografata end-to-end dei messaggi instradati attraverso i suoi server.



I messaggi inviati ai server sono crittografati, come affermato da Sunbird. Tuttavia, come hanno scoperto gli autori citati qui sopra, i JSON Web Token o JWT generati dal servizio vengono nuovamente inviati non crittografati a un altro server Sunbird senza certificazione SSL, consentendo loro di essere intercettati da utenti malintenzionati.

Inoltre, i messaggi vengono decrittografati e quindi archiviati sui server Sunbird, consentendo a un hacker di accedervi prima dell’utente.

Texts.com lo ha dimostrato inviando alcuni messaggi tra due dispositivi e intercettando il JWT, che fornisce l’accesso al database in tempo reale. Da quel momento in poi, sono bastate 23 righe di codice per scaricare tutte le informazioni e le conversazioni degli utenti.

L’autore ha anche fornito un sito Web in cui un utente con una conoscenza sufficiente del codice sarebbe in grado di intercettare i propri messaggi quando invia messaggi tra due dispositivi, uno dei quali esegue l’app Nothing Chats.

Per essere chiari, il problema della privacy deve essere ascritto a Sunbird. Tuttavia, avendo scelto questa azienda come partner, anche Nothing non può ritenersi assolta.

E ancora peggio è stato derubricare un serio problema di sicurezza a “bug” come avrebbe fatto in modo poco trasparente Nothing.



Ora non resta che attendere di vedere come verrà riproposto il servizio di Nothing quando il produttore deciderà di rimettere l’app sullo store.