A Nothing suspendeu a distribuição do seu novo aplicativo de chat para Android com suporte ao iMessage e adiará o lançamento dele para “corrigir vários bugs”, uma medida que foi tomada após a revelação de que a Sunbird (empresa cuja tecnologia é usada como base do app) não apenas registrava e retinha mensagens, mas também permitia que os dados de usuários fossem baixados por outros.
O Nothing Chats foi retirado da Play Store (loja de aplicativos do Google) no sábado (18/11) — apenas alguns dias depois de ter sido lançado —, como anunciado pela própria empresa no X (ex-Twitter).
Pedimos desculpas pelo atraso e faremos o que é certo para nossos usuários.
Antes que a distribuição do app fosse suspensa, o desenvolvedor Dylan Roussel fez algumas descobertas sobre o aplicativo que revelaram diversos problemas de privacidade e segurança.
Em uma thread no X, Roussel declarou que “a Sunbird tinha acesso a todas as mensagens enviadas e recebidas por meio do aplicativo” e que todos os documentos (incluindo imagens, vídeos e vCards) são visíveis publicamente, uma vez que o Nothing Chats não usa criptografia de ponta a ponta.
Resumo:
– A Sunbird tem acesso a todas as mensagens enviadas e recebidas através do aplicativo no seu dispositivo.
– Todos os documentos (imagens, vídeos, áudios, PDFs, vCards…) enviados por meio do Nothing Chat E do Sunbird são públicos.
– O Nothing Chats não é criptografado de ponta a ponta.
Ainda de acordo com as descobertas do desenvolvedor, mais de 637 mil itens de mídia foram armazenados pela Sunbird no momento da publicação da thread. Ele, então, fez o download de um dos cerca de 2.300 vCards da base de dados — provando que era possível obter números de telefone e detalhes de outros usuários.
Os arquivos também foram armazenados com os nomes originais dos documentos — outro grande problema, pois eles poderiam incluir parte de uma URL ou informações confidenciais, o que teria implicações adicionais de segurança.
Quanto ao que a Nothing poderia fazer, Roussel disse que o aplicativo deveria ser removido da Play Store e depois avisar todos os usuários — o que realmente foi feito. O que ainda não está claro neste momento é como isso afetará o aplicativo Sunbird (cuja distribuição ainda segue via convite), já que ele apresenta os mesmíssimos problemas.
via 9to5Google
