Encuentran serios problemas de seguridad en Sunbird, la aplicación en la que se basa Nothing Chats
Nada le sale bien a Nothing con el lanzamiento de Nothing Chats, la aplicación de chat basada en Sunbird con la cual es posible chatear con iMessage desde Android. Anunciada el miércoles pasado, al día siguiente Apple anunció que adaptaría el estándar RCS, aguando la fiesta. Después, varios investigadores han encontrado fallos de seguridad graves en la aplicación y finalmente Nothing ha pausado las descargas de la aplicación en Google Play mientras se aclara el asunto.
Nothing Chats usa la tecnología de Sunbird para poder chatear con iMessage con Android, burbujas azules incluídas, pero algunas de las características anunciadas, como el hecho de que todos los mensaje estén cifrados de extremo a extremo parecen no ser ciertas, de acuerdo a varios investigadores de seguridad.
Nothing Chats no dura nada en Google Play
A día de hoy no es posible usar iMessage en Android y todas las soluciones posibles, como Beeper o Sunbird, se basan en tener que se use iMessage en otro dispositivo que use de puente entre el ecosistema de Mac y nuestro Android. En el caso de Sunbird, una granja de servidores mac con la que, en teoría, los móviles Android se comunican de forma segura, incluyendo cifrado de extremo a extremo, y sin guardar una copia de tus mensajes.
El problema es que el sistema parece ser bastante menos seguro de lo que se promociona. Las pesquisas de Texts.blog, Dylan Roussel, Wukko y otros detallan lo que denominan la "pesadilla de la privacidad" que son Nothing Chats y Sunbird.
Desde el uso de HTTP y no HTTPS a que todos los mensajes se guardan sin cifrar en Firebase y, de hecho, pueden ser accedidos por una persona que intercepte el Token, que se envía de forma insegura. Es más, técnicamente Sunbird tiene la capacidad para leer todos y cada uno de los mensajes de los usuarios.
Sunbird por su parte ha defendido su aplicación e implementación, aunque la mejor prueba de los problemas de privacidad son las pruebas de concepto, disponibles en Github, con el código para demostrar las distintas vulnerabilidades de Sunbird y cómo los mensajes se guardan en texto sin cifrar en la base de datos de Firebase.
A todo esto, Nothing Chats es Sunbird con el diseño de la casa, por lo que las vulnerabilidades de Sunbird son vulnerabilidades de Nothing Chats. Como consecuencia, Nothing ha decidido sacar Nothing Chats de Google Play hasta que "se corrijan algunos errores".
Así, lo que debería haberse convertido en una maniobra de márketing por parte de Nothing ha terminado generando bastante buzz, sí, aunque no del bueno. Primero, el anuncio de que Apple soportará RCS en el futuro empañó algunas de las ventajas de una aplicación como Nothing Chats, aunque no todas: seguía existiendo el asunto de las burbujas verdes.
Ahora, los problemas de privacidad del sistema y la salida "forzosa" de la aplicación de la tienda de aplicaciones afecta a otro de los reclamos principales de la aplicación, su seguridad. Habrá que ver si la aplicación vuelve a la tienda en un futuro y, de hacerlo, si los usuarios confiarán en ella.
Vía | 9to5Google
En Xataka Android | WhatsApp añade passkeys como alternativa a la verificación por SMS
Ver todos los comentarios en https://www.xatakandroid.com
VER 1 Comentario