Rien n’a tiré le Nothing Chats version bêta du Google Play Store, affirmant qu’il « retarde le lancement jusqu’à nouvel ordre » tout en corrigeant « plusieurs bugs ». L’application promettait de permettre aux utilisateurs de Nothing Phone 2 d’envoyer des SMS avec iMessage, mais elle nécessitait d’autoriser Sunbird, qui fournit la plate-forme, à se connecter aux comptes iCloud des utilisateurs sur ses propres serveurs Mac Mini, ce qui… n’est pas génial ?
La suppression est intervenue après que les utilisateurs ont largement partagé un blog de Texts.com montrant que les messages envoyés avec le système de Sunbird ne sont pas réellement cryptés de bout en bout – et qu’il n’est pas difficile de les compromettre. L’application a été lancée en version bêta hier après avoir été annoncée plus tôt cette semaine.
9to5Google pointu à un fil de auteur du site Dylan Rousselqui a découvert qu’une partie de la solution de Sunbird implique le décryptage et la transmission des messages via HTTP vers un serveur de synchronisation cloud Firebase et leur stockage en texte brut non chiffré. Roussel a posté que l’entreprise elle-même a accès aux messages car elle les enregistre comme des erreurs à l’aide de Sentry, un service de débogage.
Sunbird a revendiqué hier que HTTP n’est « utilisé que dans le cadre de la demande initiale unique de l’application informant le back-end de la prochaine connexion iMessage ».
C’était en réponse à quelqu’un qui montrait Le blog de Texts.com examiner la vulnérabilité. Texts.com a écrit qu ‘«un attaquant abonné à la base de données en temps réel Firebase pourra toujours accéder aux messages avant ou au moment où ils sont lus par l’utilisateur». Le blog souligne également que l’entreprise pourrait consulter les messages de son tableau de bord Sentry, contredisant directement le réclamation de la FAQ de Nothing que personne chez Sunbird ne peut accéder aux messages envoyés ou reçus.
Nous avons contacté Nothing pour plus de commentaires, mais la société n’a pas répondu au moment de la publication.