L’app Nothing Chats è uno strumento di messaggistica creato dallo sviluppatore del popolarissimo smartphone Nothing Phone, l’ennesimo “killer di iPhone”. In teoria, il principale punto di forza di Nothing Chats avrebbe dovuto essere la promessa di offrire agli utenti Android la possibilità di comunicare utilizzando le funzionalità complete di iMessage, un sistema di messaggistica precedentemente disponibile solo per iPhone.
In pratica, è stato quasi immediatamente evidente che Nothing Chats presentava tutta una serie di problemi relativi a sicurezza e privacy. Inoltre, questi problemi erano così gravi che, meno di 24 ore dopo il rilascio in Google Play Store, è stato necessario rimuovere l’applicazione. Approfondiamo questo aspetto in modo più dettagliato.
Nothing Chats, Sunbird e iMessage per Android
Lo strumento di messaggistica Nothing Chats è stato annunciato il 14 novembre 2023 in un video su YouTube dal noto blogger Marques Brownlee (noto con l’alias MKBHD). Il blogger ha spiegato che il nuovo strumento di Nothing aveva l’obiettivo di consentire a tutti quelli che avevano acquistato un Nothing Phone (basato su Android) di comunicare con gli utenti iOS tramite iMessage.
Per farti un’idea di come avrebbe dovuto funzionare, ti consiglio di guardare il video di MKBHD.
Il video illustra brevemente il funzionamento di questo strumento di messaggistica anche da un punto di vista tecnico. Per iniziare, l’utente deve fornire a Nothing Chats il nome utente e la password del proprio account ID Apple (e se ancora non ne ha uno, deve crearlo appositamente). A questo punto, per citare indirettamente il video, “da qualche parte, su un Mac mini in una server farm” viene effettuato l’accesso a questo account Apple e il computer remoto funziona come relay per la trasmissione dei messaggi dallo smartphone dell’utente al sistema iMessage e viceversa.
A onor del vero, dobbiamo riconoscere che alla fine del sesto minuto, l’autore del video tiene a sottolineare che questo approccio comporta alcuni gravi rischi. In effetti, accedere con il tuo ID Apple su un dispositivo sconosciuto che non ti appartiene, situato chissà dove, è sicuramente una pessima idea per una serie di motivi.
La società Nothing non ha nascosto il fatto che “iMessage per Android” non era un prodotto sviluppato interamente da loro. Nato dalla collaborazione con Sunbird, Nothing Chats era sostanzialmente un clone (con alcune modifiche estetiche all’interfaccia) dell’applicazione Sunbird: iMessage per Android, un’app di messaggistica annunciata alla stampa nel dicembre 2022, il cui lancio completo per un vasto pubblico è stato tuttavia costantemente rimandato.
Nothing Chats e i problemi per la sicurezza
Dopo l’annuncio, sono sorti immediatamente i sospetti che Nothing e Sunbird avrebbero dovuto affrontare seri problemi di privacy e sicurezza. Come accennato prima, l’idea di accedere con il proprio ID Apple sul dispositivo di qualcun altro è estremamente rischiosa perché questo account assicura il pieno controllo su una quantità significativa di informazioni sull’utente e sui dispositivi stessi tramite la funzionalità Apple Dov’è.
Per rassicurare gli utenti, Sunbird e Nothing hanno affermato sui propri siti Web che i nomi utente e le password non vengono archiviati, che tutti i messaggi sono protetti da un sistema di criptaggio end-to-end e che tutto è assolutamente sicuro.
Tuttavia, la realtà si è rivelata di gran lunga peggiore anche dalle previsioni più scettiche. Non appena è stata resa disponibile, è stato subito chiaro che l’applicazione non era in grado di mantenere le promesse relative al criptaggio end-to-end. Peggio ancora, tutti i messaggi e i file inviati o ricevuti dall’utente venivano consegnati da Nothing Chats in un formato non criptato a due servizi contemporaneamente (il database di Google Firebase e il servizio di monitoraggio degli errori Sentry) attraverso i quali i dipendenti di Sunbird potevano accedere a questi messaggi.
Come se non bastasse, non solo i dipendenti Sunbird ma qualunque interessato poteva leggere i messaggi. Il problema era che il token richiesto per l’autenticazione in Firebase veniva trasmesso dall’applicazione tramite una connessione non protetta (HTTP) e poteva quindi essere intercettato. Grazie a questo token, chiunque avrebbe potuto accedere a tutti i messaggi e i file di tutti gli utenti dello strumento di messaggistica, dato che tutti questi dati venivano inviati a Firebase in formato di testo.
Ancora una volta: nonostante le assicurazioni sull’utilizzo del criptaggio end-to-end, qualsiasi messaggio proveniente da qualsiasi utente su Nothing Chats e tutti i file inviati (foto, video e così via) potevano essere intercettati da chiunque.
Uno dei ricercatori coinvolti nell’analisi delle vulnerabilità di Nothing Chats/Sunbird ha creato un semplice sito Web come prova della fattibilità di un attacco, consentendo a chiunque di vedere che i propri messaggi in iMessage per Android potevano essere facilmente intercettati.
Poco dopo che le vulnerabilità sono state rese pubbliche, Nothing ha deciso di rimuovere la propria app dal Google Play Store “per correggere alcuni bug”. Tuttavia, anche se Nothing Chats o Sunbird: iMessage per Android dovessero tornare nello store, è meglio evitarli, così come qualsiasi app simile. Questa storia dimostra chiaramente che quando si crea un servizio intermedio che consente l’accesso a iMessage, è molto facile commettere errori catastrofici che mettono a rischio i dati degli utenti.
Cosa dovrebbero fare gli utenti di Nothing Chats
Se hai utilizzato l’app Nothing Chats, procedi come segue:
- Accedi al tuo account ID Apple da un dispositivo attendibile, trova la pagina con le sessioni attive (i dispositivi a cui hai eseguito l’accesso) ed elimina la sessione associata a Nothing Chats/Sunbird.
- Modifica la password dell’ID Apple. È un account estremamente importante, quindi è consigliabile utilizzare una sequenza di caratteri molto lunga e casuale: Kaspersky Password Manager può aiutarti a generare una password affidabile e ad archiviarla in modo sicuro.
- Disinstalla l’app Nothing Chats.
- Puoi quindi utilizzare uno strumento creato da uno dei ricercatori per rimuovere le informazioni dal database Firebase di Sunbird.
- Se hai inviato informazioni sensibili tramite Nothing Chats, dovresti trattarle come compromesse e adottare le misure appropriate: modificare le password, riemettere le carte e così via. Kaspersky Premium ti aiuterà a tenere traccia di possibili violazioni dei tuoi dati personali collegati a indirizzi e-mail o numeri di telefono.