Nada deu certo com o Nothing Chats

O aplicativo Nothing Chats da Nothing Phone prometia ser o iMessage para Android, mas em menos de 24 horas foi removido do Google Play devido a uma falha de segurança gravíssima.

O aplicativo Nothing Chats é um app de mensagem criado pelo desenvolvedor do smartphone bastante popular Nothing Phone, mais um “assassino do iPhone”. O principal argumento de venda do Nothing Chats é a promessa de oferecer aos usuários do Android a capacidade de se comunicar completamente usando o iMessage (um sistema de mensagens anteriormente disponível apenas para proprietários de iPhone).

No entanto, descobriu-se quase que imediatamente que o Nothing Chats tinha uma série de problemas de segurança e privacidade. Esses problemas foram tão sérios que em menos de 24 horas após seu lançamento na Google Play Store, o aplicativo teve que ser removido. Vamos nos aprofundar nisso com mais detalhes.

Nothing Chats, Sunbird e iMessage for Android

O aplicativo de mensagens Nothing Chats foi anunciado em 14 de novembro de 2023 em um vídeo do conhecido blogueiro do YouTube Marques Brownlee (também conhecido como MKBHD). Ele falou sobre como o novo aplicativo de mensagens da Nothing tinha planos de permitir que os proprietários de um Nothing Phone (que é baseado em Android) se comunicassem com usuários do iOS através do iMessage.

A propósito, recomendo assistir ao vídeo do MKBHD, pelo menos para ver o funcionamento do aplicativo de mensagens.

O vídeo também descreve brevemente como o aplicativo de mensagens opera do ponto de vista técnico. Para começar, os usuários precisam fornecer ao Nothing Chats o login e a senha de sua conta Apple ID (e, se ainda não tiverem uma, precisam criar). Depois disso, para citar indiretamente o vídeo, “em algum Mac mini em algum lugar de uma fazenda de servidores”, essa conta da Apple é conectada, em seguida esse computador remoto serve como um retransmissor, transmitindo mensagens do smartphone do usuário para o sistema iMessage e vice-versa.

Para dar os devidos créditos, no final do sexto minuto, o autor do vídeo faz questão de enfatizar que essa abordagem traz sérios riscos. De fato, fazer login com sua Apple ID em algum dispositivo desconhecido que não é seu, localizado quem sabe onde, é uma ideia muito, muito ruim por vários motivos.

Teaser do aplicativo de mensagens Nothing Chats

As cobiçadas nuvens de mensagens azuis do iMessage: a principal promessa do Nothing Chats

A empresa Nothing nunca escondeu o fato de que o “iMessage for Android” não foi desenvolvido por ela mesma. A empresa fez parceria com outra empresa, a Sunbird, portanto, o aplicativo de mensagens Nothing Chats era um clone do aplicativo Sunbird: iMessage for Android, com algumas alterações cosméticas na interface. A propósito, o aplicativo da Sunbird foi anunciado à imprensa em dezembro de 2022, mas seu lançamento completo para o grande público foi constantemente adiado.

Nothing Chats e problemas de segurança

Após o anúncio, imediatamente surgiram suspeitas de que a Nothing e a Sunbird enfrentariam sérios problemas de privacidade e segurança. Como mencionado anteriormente, a ideia de efetuar login com sua Apple ID no dispositivo de outra pessoa é altamente arriscada, porque essa conta fornece controle total sobre uma quantidade significativa de informações do usuário e sobre os próprios dispositivos através do recurso Find My.

Para tranquilizar os usuários, tanto a Sunbird quanto a Nothing afirmaram em seus sites que logins e senhas não são armazenados em lugar nenhum, todas as mensagens são protegidas por criptografia de ponta a ponta e tudo é absolutamente seguro.

Garantias de segurança no site da Sunbird

O site da Sunbird confirmando a segurança e a privacidade do iMessage for Android, bem como o uso de criptografia de ponta a ponta (spoiler: isso não é verdade)

No entanto, a realidade estava longe até mesmo das previsões mais céticas. Depois que o aplicativo ficou disponível, rapidamente ficou claro que ele falhou totalmente em cumprir suas promessas em relação à criptografia de ponta a ponta. Pior ainda, todas as mensagens e arquivos enviados ou recebidos pelo usuário foram entregues pelo Nothing Chats em formato não criptografado para dois serviços simultaneamente: o banco de dados do Google Firebase e o serviço de monitoramento de erros Sentry, onde os funcionários da Sunbird podiam acessar essas mensagens.

Garantias de segurança no site da Nothing

A seção de perguntas frequentes na página oficial do Nothing Chats também menciona explicitamente a criptografia de ponta a ponta

E se isso ainda não bastasse, não apenas os funcionários da Sunbird, mas qualquer pessoa interessada poderia ler as mensagens. O problema era que o token necessário para a autenticação no Firebase era transmitido pelo aplicativo por meio de uma conexão desprotegida (HTTP) e, portanto, podia ser interceptado. Posteriormente, esse token forneceu acesso a todas as mensagens e arquivos de todos os usuários do aplicativo de mensagens e, conforme mencionado anteriormente, todos esses dados foram enviados ao Firebase em texto simples.

Mais uma vez: apesar das garantias de usar criptografia de ponta a ponta, qualquer mensagem de qualquer usuário no Nothing Chats e todos os arquivos enviados por eles (fotos, vídeos e assim por diante) poderiam ser interceptados por qualquer pessoa.

A página do Nothing Chats afirma que as mensagens do usuário nunca são armazenadas em lugar nenhum

Além disso, a página de perguntas frequentes do Nothing Chats afirma que as mensagens nunca são armazenadas em lugar nenhum… isso não dá vontade de chorar?

Um dos pesquisadores envolvidos na análise das vulnerabilidades do Nothing Chats/Sunbird criou um site simples como prova da viabilidade de um ataque, permitindo que qualquer pessoa visse que suas mensagens no iMessage for Android poderiam ser facilmente interceptadas.

Logo depois que as vulnerabilidades foram tornadas públicas, a Nothing decidiu remover seu aplicativo da Google Play Store “para corrigir alguns bugs”. No entanto, mesmo que o Nothing Chats ou o Sunbird: iMessage for Android retorne à loja, é melhor evitá-los, assim como qualquer aplicativo semelhante. Essa história demonstra claramente que, ao criar um serviço intermediário que permite o acesso ao iMessage, é muito fácil cometer erros catastróficos que colocam os dados dos usuários em risco extremo.

O que os usuários do Nothing Chats devem fazer agora

Se você usou o aplicativo Nothing Chats, faça o seguinte:

  • Faça login em sua conta Apple ID usando um dispositivo confiável, localize a página com sessões ativas (dispositivos nos quais você está conectado) e exclua a sessão associada ao Nothing Chats/Sunbird.
  • Altere a senha do Apple ID. É uma conta extremamente importante, por isso é aconselhável usar uma sequência de caracteres bastante longa e aleatória (o Kaspersky Password Manager pode ajudá-lo a gerar uma senha confiável e armazená-la com segurança).
  • Desinstale o aplicativo Nothing Chats.
  • Você pode, então, usar uma ferramenta criada por um dos pesquisadores para remover suas informações do banco de dados Firebase da Sunbird.
  • Se você tiver enviado informações confidenciais por meio do Nothing Chats, trate-as como comprometidas e tome as medidas apropriadas: altere senhas, reemita cartões e assim por diante. Isso o ajudará a rastrear possíveis vazamentos de seus dados pessoais vinculados a endereços de e-mail ou números de telefone.
Dicas
Inscreva-se para receber nossos destaques em seu e-mail