L’app Nothing Chats, presentata come un’alternativa a iMessage, è stata recentemente rimossa dal Google Play Store, suscitando notevoli preoccupazioni in merito alla sua sicurezza. Inizialmente attribuita a “diversi bug” da risolvere, la rimozione dell’app sembra essere stata motivata da preoccupazioni significative per la sicurezza, secondo un’approfondita analisi tecnica condotta dai ricercatori di sicurezza.
Le preoccupazioni sollevate
Kishan Bagaria, Fondatore di Texts.com, è stato il primo a sollevare tali preoccupazioni su X/Twitter. Successivamente, il team di Texts.com ha pubblicato un articolo dettagliato che illustra le vulnerabilità dell’app.
L’indagine ha rivelato che Sunbird, il provider di servizi di Nothing, aveva ingannato gli utenti riguardo alla crittografia end-to-end dei messaggi instradati attraverso i suoi server. Sebbene i messaggi inviati ai server di Sunbird fossero crittografati, i JSON Web Token (JWT) generati dal servizio venivano inviati senza alcuna crittografia a un altro server Sunbird, rendendoli vulnerabili all’intercettazione. Inoltre, i messaggi venivano decriptati e memorizzati sui server di Sunbird, esponendoli a accessi non autorizzati.
Texts.com ha dimostrato ciò intercettando i JWT scambiati tra due dispositivi, ottenendo l’accesso al database Firebase in tempo reale. I ricercatori sono stati in grado di intercettare i token JWT e accedere alle informazioni degli utenti e alle conversazioni con appena 23 righe di codice.
Critiche a Nothing e conseguenze
Mentre le problematiche sulla privacy sono direttamente attribuibili a Sunbird, Nothing è stato criticato per aver scelto di collaborare con l’azienda e per minimizzare la gravità della situazione etichettandola come “bug”.
Con l’annuncio di Apple sul supporto RCS, l’appeal dell’app Nothing Chats è ulteriormente diminuito. Gli utenti sono ora avvisati di prestare attenzione quando effettuano l’accesso a servizi di terze parti utilizzando i loro ID Apple, anche se viene promessa la crittografia.
Resta da vedere se Nothing Chats riuscirà ad affrontare queste preoccupazioni di sicurezza e a fare un ritorno di successo sul Play Store. La vicenda solleva interrogativi importanti sulla sicurezza delle applicazioni di messaggistica e sottolinea l’importanza di una verifica accurata delle pratiche di sicurezza prima di adottare nuove piattaforme di comunicazione.