L’application Nothing’s iMessage pour Android est incroyablement mauvaise

Plus tôt cette semaine, Nothing a fait l'inattendu et a lancé l'application « Nothing Chats » pour le Nothing Phone 2 . La prémisse ? Permettez à toute personne possédant un Nothing Phone 2 d'envoyer et de recevoir des SMS via iMessage. Nothing s'est associé à Sunbird pour faire fonctionner Nothing Chats, Nothing utilisant essentiellement la propre technologie de messagerie de Sunbird pour amener iMessage sur Android.

C’était une idée audacieuse… mais qui a été de courte durée. En effet, Nothing Chats est déjà mort (pour le moment) en raison d'un nombre choquant de failles de sécurité découvertes presque immédiatement. Et par vulnérabilités de sécurité, nous n’entendons pas des oublis mineurs qui auraient pu être faciles à négliger. Nous parlons de défauts de conception majeurs et révolutionnaires qui compromettent massivement les informations personnelles de toute personne ayant utilisé Nothing Chats.

Le problème avec Nothing Chats

Nothing Chats a été lancé en version bêta le 17 novembre, et quelques heures après que les gens ont mis la main sur l'application, des problèmes de sécurité inquiétants ont commencé à apparaître. L'un des premiers rapports est venu de Kishan Bagaria, le fondateur de Texts.com. Bagaria et son équipe ont découvert que les messages envoyés via Nothing Chats n'utilisaient pas les informations d'identification de sécurité HTTPS. Au lieu de cela, les messages étaient envoyés en texte brut via la norme HTTP, beaucoup moins sécurisée.

Mais Bagaria n’est pas le seul à avoir découvert ces vulnérabilités. Wukko sur X (anciennement Twitter) a également confirmé que tout ce qui était envoyé via Nothing Chats – y compris les messages texte standard, les images et autres pièces jointes multimédias – était effectué en utilisant du texte brut et clairement visible pour quiconque savait où chercher.

De plus, et plus troublant encore, Wukko a découvert que toutes les données de messagerie envoyées et stockées dans Nothing Chats étaient non cryptées et via une plate-forme Firebase facilement accessible.

Ces rapports étaient déjà assez mauvais, mais des rapports supplémentaires de 9to5Google ont réitéré la gravité réelle de ces vulnérabilités. Selon les propres conclusions de 9to5 :

« Dans nos recherches de Dylan Roussel, nous avons constaté qu'une fois qu'un utilisateur s'authentifie avec les jetons Web JSON (JWT) qui ne sont pas sécurisés pendant le transit, il peut accéder à la base de données Firebase de Nothing Chat et voir les messages et fichiers d'autres utilisateurs envoyés en temps réel et en temps réel . texte brut.

Le rapport poursuit en mentionnant comment les vCards (alias cartes de contact) étaient également entièrement accessibles, y compris les noms, numéros, adresses e-mail et autres informations personnelles identifiables des personnes. Et comme si cela ne suffisait pas, 9to5Google a également découvert plus de 630 000 fichiers multimédias stockés sur le serveur Firebase de Sunbird, la société qui alimente l'application Nothing Chats.

En résumé, voici ce que nous examinons :

• Nothing Chats n'est pas crypté de bout en bout
• Les messages de Nothing Chats sont envoyés en texte brut
• Les médias et autres pièces jointes sont accessibles au public
• Sunbird a accès aux messages et pièces jointes envoyés depuis Nothing Chats

En d’autres termes, tout cela est très, très mauvais. C'est particulièrement pire compte tenu de la rapidité avec laquelle Nothing a réprimandé ces problèmes de sécurité initiaux, affirmant en outre que les messages étaient cryptés de bout en bout alors qu'en réalité, ils ne l'étaient absolument pas.

Où va Rien à partir d’ici ?

Le 18 novembre, juste un jour après le lancement de Nothing Chats, Nothing a annoncé sur X qu'il supprimait officiellement l'application Nothing Chats du Play Store et « retardait le lancement jusqu'à nouvel ordre » afin que l'entreprise puisse « travailler avec Sunbird pour corriger plusieurs bugs ». .»

Retirer l'application et retarder le lancement est la bonne décision pour la fin de Rien, mais il est impossible d'exagérer l'ampleur des dégâts qui ont probablement déjà été causés par toute cette débâcle.

En fin de compte, ces problèmes de sécurité sont la faute de Sunbird. Nothing Chats a été construit sur le backend de Sunbird, et c'est à Sunbird de répondre à ces préoccupations. Cependant, Nothing a quand même décidé de s'associer à Sunbird pour créer et lancer Nothing Chats, et le fait que la société n'ait jamais découvert ces vulnérabilités lors de la création de Nothing Chats est troublant.

Si vous disposez toujours de l’application Nothing Chats sur votre téléphone, nous vous conseillons fortement de cesser de l’utiliser immédiatement. Cette même recommandation s'applique également si vous utilisez l'application Sunbird standard. Avoir iMessage sur un téléphone Android est une commodité amusante, mais sans risquer que vos informations personnelles soient si gravement compromises. Il vaut mieux attendre qu'Apple ajoute RCS à l'iPhone en 2024 .

Quant à l’avenir de Nothing Chats, il est difficile de dire ce qui va se passer ensuite. Rien ne dit que cela « retarde » le lancement, mais pour résoudre tous les problèmes dont nous venons de parler ici, Sunbird devrait revoir radicalement l'ensemble de son processus backend. Est-ce que Nothing va vouloir attendre que cela se produise, ou décidera-t-il simplement de réduire ses pertes et de mettre définitivement fin à Nothing Chats ? À ce stade, il semble que ce dernier soit le meilleur choix.