{"id":22038,"date":"2023-11-30T16:44:55","date_gmt":"2023-11-30T19:44:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22038"},"modified":"2023-11-30T16:44:55","modified_gmt":"2023-11-30T19:44:55","slug":"nothing-chats-imessage-for-android-security-disaster","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/nothing-chats-imessage-for-android-security-disaster\/22038\/","title":{"rendered":"Nada deu certo com o Nothing Chats"},"content":{"rendered":"<p>O aplicativo <em>Nothing Chats<\/em> \u00e9 um app de mensagem criado pelo desenvolvedor do smartphone bastante popular <em>Nothing Phone<\/em>, mais um \u201cassassino do iPhone\u201d. O principal argumento de venda do <em>Nothing Chats<\/em> <span style=\"text-decoration: line-through\">\u00e9<\/span> a promessa de oferecer aos usu\u00e1rios do Android a capacidade de se comunicar completamente usando o iMessage (um sistema de mensagens anteriormente dispon\u00edvel apenas para propriet\u00e1rios de iPhone).<\/p>\n<p>No entanto, descobriu-se quase que imediatamente que o <em>Nothing Chats<\/em> tinha uma s\u00e9rie de problemas de seguran\u00e7a e privacidade. Esses problemas foram t\u00e3o s\u00e9rios que em menos de 24 horas ap\u00f3s seu lan\u00e7amento na Google Play Store, <a href=\"https:\/\/arstechnica.com\/gadgets\/2023\/11\/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours\/\" target=\"_blank\" rel=\"noopener nofollow\">o aplicativo teve que ser removido<\/a>. Vamos nos aprofundar nisso com mais detalhes.<\/p>\n<h2>Nothing Chats, Sunbird e iMessage for Android<\/h2>\n<p>O aplicativo de mensagens <em>Nothing Chats<\/em> foi anunciado em 14 de novembro de 2023 em um v\u00eddeo do conhecido blogueiro do YouTube Marques Brownlee (tamb\u00e9m conhecido como MKBHD). Ele falou sobre como o novo aplicativo de mensagens da <em>Nothing<\/em> tinha planos de permitir que os propriet\u00e1rios de um <em>Nothing<\/em> <em>Phone<\/em> (que \u00e9 baseado em Android) se comunicassem com usu\u00e1rios do iOS atrav\u00e9s do iMessage.<\/p>\n<p>A prop\u00f3sito, recomendo assistir ao v\u00eddeo do MKBHD, pelo menos para ver o funcionamento do aplicativo de mensagens.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/ji5HwS3bhlU?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>O v\u00eddeo tamb\u00e9m descreve brevemente como o aplicativo de mensagens opera do ponto de vista t\u00e9cnico. Para come\u00e7ar, os usu\u00e1rios precisam fornecer ao <em>Nothing Chats<\/em> o login e a senha de sua conta Apple ID (e, se ainda n\u00e3o tiverem uma, precisam criar). Depois disso, para citar indiretamente o v\u00eddeo, \u201cem algum Mac mini em algum lugar de uma fazenda de servidores\u201d, essa conta da Apple \u00e9 conectada, em seguida esse computador remoto serve como um retransmissor, transmitindo mensagens do smartphone do usu\u00e1rio para o sistema iMessage e vice-versa.<\/p>\n<p>Para dar os devidos cr\u00e9ditos, no final do sexto minuto, o autor do v\u00eddeo faz quest\u00e3o de <a href=\"https:\/\/www.youtube.com\/watch?v=ji5HwS3bhlU%23t=5m52s\" target=\"_blank\" rel=\"noopener nofollow\">enfatizar<\/a> que essa abordagem traz s\u00e9rios riscos. De fato, fazer login com sua Apple ID em algum dispositivo desconhecido que n\u00e3o \u00e9 seu, localizado quem sabe onde, \u00e9 uma <a href=\"https:\/\/www.kaspersky.com.br\/blog\/stranger-apple-id\/11210\/\" target=\"_blank\" rel=\"noopener\">ideia muito, muito ruim<\/a> por v\u00e1rios motivos.<\/p>\n<div id=\"attachment_22039\" style=\"width: 1510px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163259\/nothing-chats-imessage-for-android-security-disaster-01.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-22039\" class=\"wp-image-22039 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163259\/nothing-chats-imessage-for-android-security-disaster-01.jpg\" alt=\"Teaser do aplicativo de mensagens Nothing Chats\" width=\"1500\" height=\"1000\"><\/a><p id=\"caption-attachment-22039\" class=\"wp-caption-text\">As cobi\u00e7adas nuvens de mensagens azuis do iMessage: a principal promessa do Nothing Chats<\/p><\/div>\n<p>A empresa <em>Nothing<\/em> nunca escondeu o fato de que o \u201ciMessage for Android\u201d n\u00e3o foi desenvolvido por ela mesma. A empresa fez parceria com outra empresa, a <a href=\"https:\/\/www.washingtonpost.com\/technology\/2023\/11\/14\/imessage-on-android-nothing-sunbird\/\" target=\"_blank\" rel=\"noopener nofollow\">Sunbird<\/a>, portanto, o aplicativo de mensagens <em>Nothing Chats<\/em> era um clone do aplicativo <em>Sunbird: iMessage for Android<\/em>, com algumas altera\u00e7\u00f5es cosm\u00e9ticas na interface. A prop\u00f3sito, o aplicativo da Sunbird foi anunciado \u00e0 imprensa em dezembro de 2022, mas seu lan\u00e7amento completo para o grande p\u00fablico foi constantemente adiado.<\/p>\n<h2>Nothing Chats e problemas de seguran\u00e7a<\/h2>\n<p>Ap\u00f3s o an\u00fancio, <a href=\"https:\/\/arstechnica.com\/gadgets\/2023\/11\/nothing-phone-says-it-will-hack-into-imessage-bring-blue-bubbles-to-android\/\" target=\"_blank\" rel=\"noopener nofollow\">imediatamente surgiram suspeitas de<\/a> que a <em>Nothing<\/em> e a Sunbird enfrentariam s\u00e9rios problemas de privacidade e seguran\u00e7a. Como mencionado anteriormente, a ideia de efetuar login com sua Apple ID no dispositivo de outra pessoa \u00e9 altamente arriscada, porque essa conta fornece controle total sobre uma quantidade significativa de informa\u00e7\u00f5es do usu\u00e1rio e sobre os pr\u00f3prios dispositivos atrav\u00e9s do recurso <em>Find My.<\/em><\/p>\n<p>Para tranquilizar os usu\u00e1rios, tanto a Sunbird quanto a <em>Nothing<\/em> afirmaram em seus sites que logins e senhas n\u00e3o s\u00e3o armazenados em lugar nenhum, todas as mensagens s\u00e3o protegidas por criptografia de ponta a ponta e tudo \u00e9 absolutamente seguro.<\/p>\n<div id=\"attachment_22040\" style=\"width: 1898px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163351\/nothing-chats-imessage-for-android-security-disaster-02.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-22040\" class=\"wp-image-22040 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163351\/nothing-chats-imessage-for-android-security-disaster-02.png\" alt=\"Garantias de seguran\u00e7a no site da Sunbird\" width=\"1888\" height=\"720\"><\/a><p id=\"caption-attachment-22040\" class=\"wp-caption-text\">O site da Sunbird confirmando a seguran\u00e7a e a privacidade do iMessage for Android, bem como o uso de criptografia de ponta a ponta (spoiler: isso n\u00e3o \u00e9 verdade)<\/p><\/div>\n<p>No entanto, a realidade estava longe at\u00e9 mesmo das previs\u00f5es mais c\u00e9ticas. Depois que o aplicativo ficou dispon\u00edvel, rapidamente ficou claro que ele falhou totalmente em cumprir suas promessas em rela\u00e7\u00e3o \u00e0 criptografia de ponta a ponta. Pior ainda, todas as mensagens e arquivos enviados ou recebidos pelo usu\u00e1rio foram <a href=\"https:\/\/texts.blog\/2023\/11\/18\/sunbird-security\/\" target=\"_blank\" rel=\"noopener nofollow\">entregues pelo <em>Nothing Chats<\/em> em formato n\u00e3o criptografado para dois servi\u00e7os simultaneamente<\/a>: o banco de dados do Google Firebase e o servi\u00e7o de monitoramento de erros Sentry, onde os funcion\u00e1rios da Sunbird podiam acessar essas mensagens.<\/p>\n<div id=\"attachment_22041\" style=\"width: 1320px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163719\/nothing-chats-imessage-for-android-security-disaster-03.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-22041\" class=\"wp-image-22041 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163719\/nothing-chats-imessage-for-android-security-disaster-03.png\" alt=\"Garantias de seguran\u00e7a no site da Nothing\" width=\"1310\" height=\"758\"><\/a><p id=\"caption-attachment-22041\" class=\"wp-caption-text\">A se\u00e7\u00e3o de perguntas frequentes na p\u00e1gina oficial do Nothing Chats tamb\u00e9m menciona explicitamente a criptografia de ponta a ponta<\/p><\/div>\n<p>E se isso ainda n\u00e3o bastasse, n\u00e3o apenas os funcion\u00e1rios da Sunbird, mas <a href=\"https:\/\/9to5google.com\/2023\/11\/18\/nothing-chats-sunbird-unencrypted-data-privacy-nightmare\/\" target=\"_blank\" rel=\"noopener nofollow\">qualquer pessoa interessada<\/a> poderia ler as mensagens. O problema era que o token necess\u00e1rio para a autentica\u00e7\u00e3o no Firebase era transmitido pelo aplicativo por meio de uma conex\u00e3o desprotegida (HTTP) e, portanto, podia ser interceptado. Posteriormente, esse token forneceu acesso a todas as mensagens e arquivos de <em>todos os usu\u00e1rios<\/em> do aplicativo de mensagens e, conforme mencionado anteriormente, todos esses dados foram enviados ao Firebase em texto simples.<\/p>\n<p>Mais uma vez: apesar das garantias de usar criptografia de ponta a ponta, <em>qualquer<\/em> mensagem de <em>qualquer<\/em> usu\u00e1rio no <em>Nothing Chats<\/em> e <em>todos os<\/em> arquivos enviados por eles (fotos, v\u00eddeos e assim por diante) poderiam ser interceptados por qualquer pessoa.<\/p>\n<div id=\"attachment_22042\" style=\"width: 1330px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163817\/nothing-chats-imessage-for-android-security-disaster-04.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-22042\" class=\"wp-image-22042 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2023\/11\/30163817\/nothing-chats-imessage-for-android-security-disaster-04.png\" alt=\"A p\u00e1gina do Nothing Chats afirma que as mensagens do usu\u00e1rio nunca s\u00e3o armazenadas em lugar nenhum\" width=\"1320\" height=\"984\"><\/a><p id=\"caption-attachment-22042\" class=\"wp-caption-text\">Al\u00e9m disso, a p\u00e1gina de perguntas frequentes do Nothing Chats afirma que as mensagens nunca s\u00e3o armazenadas em lugar nenhum\u2026 isso n\u00e3o d\u00e1 vontade de chorar?<\/p><\/div>\n<p>Um dos pesquisadores envolvidos na an\u00e1lise das vulnerabilidades do <em>Nothing Chats\/Sunbird<\/em> <a href=\"https:\/\/sunbird-poc.vercel.app\/\" target=\"_blank\" rel=\"noopener nofollow\">criou<\/a> um site simples como prova da viabilidade de um ataque, permitindo que qualquer pessoa visse que suas mensagens no <em>iMessage for Android<\/em> poderiam ser facilmente interceptadas.<\/p>\n<p>Logo depois que as vulnerabilidades foram tornadas p\u00fablicas, a <em>Nothing<\/em> <a href=\"https:\/\/twitter.com\/nothing\/status\/1725902458189119690\" target=\"_blank\" rel=\"noopener nofollow\">decidiu remover seu aplicativo da Google Play Store<\/a> \u201cpara corrigir alguns bugs\u201d. No entanto, mesmo que o <em>Nothing Chats<\/em> ou o <em>Sunbird: iMessage for Android<\/em> retorne \u00e0 loja, \u00e9 melhor evit\u00e1-los, assim como qualquer aplicativo semelhante. Essa hist\u00f3ria demonstra claramente que, ao criar um servi\u00e7o intermedi\u00e1rio que permite o acesso ao iMessage, \u00e9 muito f\u00e1cil cometer erros catastr\u00f3ficos que colocam os dados dos usu\u00e1rios em risco extremo.<\/p>\n<h2>O que os usu\u00e1rios do Nothing Chats devem fazer agora<\/h2>\n<p>Se voc\u00ea usou o aplicativo <em>Nothing Chats<\/em>, fa\u00e7a o seguinte:<\/p>\n<ul>\n<li>Fa\u00e7a login em sua conta Apple ID usando um dispositivo confi\u00e1vel, localize a p\u00e1gina com sess\u00f5es ativas (dispositivos nos quais voc\u00ea est\u00e1 conectado) e exclua a sess\u00e3o associada ao <em>Nothing Chats\/Sunbird<\/em>.<\/li>\n<li>Altere a senha do Apple ID. \u00c9 uma conta extremamente importante, por isso \u00e9 aconselh\u00e1vel usar uma sequ\u00eancia de caracteres bastante longa e aleat\u00f3ria (o <a href=\"https:\/\/www.kaspersky.com.br\/password-manager?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a> pode ajud\u00e1-lo a gerar uma senha confi\u00e1vel e armazen\u00e1-la com seguran\u00e7a).<\/li>\n<li>Desinstale o aplicativo <em>Nothing Chats<\/em>.<\/li>\n<li>Voc\u00ea pode, ent\u00e3o, usar uma ferramenta criada por <a href=\"https:\/\/twitter.com\/batuhan\/status\/1725985096463724838\" target=\"_blank\" rel=\"noopener nofollow\">um dos pesquisadores<\/a> para <a href=\"https:\/\/sunbird-poc.vercel.app\/nuke-data.html\" target=\"_blank\" rel=\"noopener nofollow\">remover suas informa\u00e7\u00f5es do banco de dados Firebase da Sunbird<\/a>.<\/li>\n<li>Se voc\u00ea tiver enviado informa\u00e7\u00f5es confidenciais por meio do <em>Nothing Chats<\/em>, trate-as como comprometidas e tome as medidas apropriadas: altere senhas, reemita cart\u00f5es e assim por diante. Isso o ajudar\u00e1 a rastrear poss\u00edveis vazamentos de seus dados pessoais vinculados a endere\u00e7os de e-mail ou n\u00fameros de telefone.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kpm\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"kpm\" value=\"9960\">\n","protected":false},"excerpt":{"rendered":"<p>O aplicativo Nothing Chats da Nothing Phone prometia ser o iMessage para Android, mas em menos de 24 horas foi removido do Google Play devido a uma falha de seguran\u00e7a grav\u00edssima.<\/p>\n","protected":false},"author":2726,"featured_media":22044,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1028],"tags":[34,20,3240,3193,2378,408,2439,1756,2010,53,40,102],"class_list":{"0":"post-22038","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-android","10":"tag-apple","11":"tag-apps-de-mensagem","12":"tag-apps-de-mensagens","13":"tag-criptografia-de-ponta-a-ponta","14":"tag-dispositivos-moveis","15":"tag-e2e","16":"tag-id-apple","17":"tag-imessage","18":"tag-privacidade","19":"tag-seguranca","20":"tag-senhas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nothing-chats-imessage-for-android-security-disaster\/22038\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nothing-chats-imessage-for-android-security-disaster\/26674\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/22099\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/11215\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/29424\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nothing-chats-imessage-for-android-security-disaster\/26958\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/26871\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nothing-chats-imessage-for-android-security-disaster\/29432\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/nothing-chats-imessage-for-android-security-disaster\/28255\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nothing-chats-imessage-for-android-security-disaster\/36609\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/nothing-chats-imessage-for-android-security-disaster\/11882\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/49895\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nothing-chats-imessage-for-android-security-disaster\/21265\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nothing-chats-imessage-for-android-security-disaster\/30712\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/nothing-chats-imessage-for-android-security-disaster\/35227\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nothing-chats-imessage-for-android-security-disaster\/27227\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nothing-chats-imessage-for-android-security-disaster\/32949\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nothing-chats-imessage-for-android-security-disaster\/32598\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apps-de-mensagens\/","name":"apps de mensagens"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22038","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=22038"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22038\/revisions"}],"predecessor-version":[{"id":22046,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22038\/revisions\/22046"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/22044"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=22038"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=22038"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=22038"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}