L’entusiasmo iniziale attorno a Nothing Chats, l’app di messaggistica di Nothing Phone che prometteva di portare iMessage nel mondo Android, è stato rapidamente eclissato dai problemi di sicurezza. Dopo solo pochi giorni di stazionamento sul Play Store, l’app, che offriva emoji, invio di immagini ad alta risoluzione e la visualizzazione in bolle blu dei propri messaggi, è stata ritirata a causa di bug dichiarati da Carl Pei, ma il malcontento degli utenti suggerisce preoccupazioni più gravi, principalmente legate alla privacy.
Carl Pei ha annunciato il ritiro temporaneo della beta di Nothing Chats in un breve post su X, attribuendo il ritardo al lavoro collaborativo con Sunbird per risolvere vari bug. Tuttavia, le voci circolanti indicano che la vera ragione potrebbe essere un problema di sicurezza legato alla privacy. L’app richiede il collegamento dell’account iCloud ai server di Sunbird per consentire la messaggistica con Messaggi Apple.
Tuttavia, preoccupazioni sulla mancanza di crittografia end-to-end e la possibile compromissione del sistema di messaggistica istantanea hanno destato allarme tra gli utenti. L’infrastruttura di Sunbird, basata su decrittografia e trasmissione di messaggi tramite HTTP a un server cloud Firebase, solleva dubbi sulla sicurezza dei dati. Gli utenti hanno notato che tutti gli allegati, compresi foto, video e documenti, vengono inviati a Sentry e salvati in Firebase. Alcuni ritengono che un malintenzionato con accesso al database Firebase potrebbe compromettere i messaggi.
Entrando nel dettaglio, una ricerca di Text.com ha scoperto gravi vulnerabilità, consentendo agli analisti di intercettare un token di autenticazione inviato via HTTP non crittografato e di apportare modifiche al database. Dylan Roussel di 9to5Google ha confermato che tutti i documenti inviati tramite Nothing Chat e Sunbird, inclusi immagini, video, audio, pdf e vCard, sono accessibili pubblicamente. Ha rivelato che Sunbird detiene attualmente circa 630.000 file multimediali, con evidenze di accesso da parte loro.
In un messaggio agli utenti, Sunbird ha dichiarato la pausa dei servizi durante le indagini sulla sicurezza, senza fornire indicazioni su una possibile ripresa. Questo evento, accompagnato dal fatto che anche la versione originaria Sunbird da cui Nothing Chats deriva è stato messa in pausa, solleva interrogativi sulla sicurezza e sulla gestione delle problematiche di sicurezza emergenti da parte di entrambe le aziende coinvolte.