Nada – a startup do Reino Unido liderada pelo cofundador da OnePlus Cal Pei – lançou recentemente uma correção parcial para uma vulnerabilidade de segurança que afetou o aplicativo complementar do CMF Watch Pro, de acordo com um relatório. A falha relacionada à criptografia foi capaz de expor endereços de e-mail e senhas usadas para se inscrever em uma conta. Os problemas vieram à tona semanas depois que o aplicativo iMessage-on-Android da Nothing foi encerrado em meio a alegações de que o serviço não criptografava mensagens e mídia conforme anunciado pela Nothing e seu parceiro Sunbird.
O colaborador do 9to5Google, Dylan Roussel, em um tópico recente no X (antigo Twitter), explicou que o aplicativo CMF Watch estava criptografando o endereço de e-mail e a senha fornecidos pelos usuários ao se inscreverem em uma conta – enquanto permitia a descriptografia do e-mail e da senha com as mesmas chaves. A publicação relata que os meios para descriptografar as informações do usuário também foram encontrados no aplicativo Android, o que permitiu que qualquer pessoa visualizasse esses detalhes.
> Então qual é o problema? Em setembro, o aplicativo CMF Watch criptografava o e-mail e a senha, o que era ótimo! >> Mas o método de criptografia usado também permitia que qualquer pessoa descriptografasse o e-mail e a senha exatamente com as mesmas chaves. >> – Dylan Roussel (@evowizz) 1º de dezembro de 2023
Em setembro, Roussel destacou que o aplicativo CMF Watch foi desenvolvido pela empresa chinesa Jingxun, e referências à empresa eram visíveis no aplicativo. Na época, ele destacou que o site da empresa também lista a OnePlus como uma de suas parceiras, ao lado de Sony, Philips e Toshiba.
Meses depois de as vulnerabilidades terem sido relatadas, o CMF by Nothing disse à publicação que está trabalhando para corrigir as falhas de segurança apontadas por Roussel — o método de criptografia da senha de um usuário teria sido resolvido, enquanto o endereço de e-mail ainda é impactado pela falha. A empresa disse ao 9to5Google que uma atualização OTA será lançada para usuários do CMF Watch Pro para resolver problemas pendentes.
De acordo com o relatório 9to5Google, a empresa abriu recentemente diferentes pontos de contato para vulnerabilidades com os produtos Nothing e CMF by Nothing – estes não estavam disponíveis em setembro, quando as falhas foram relatadas.
É importante notar que a Nothing se envolveu recentemente em uma controvérsia de privacidade quando a empresa lançou seu aplicativo Nothing Chats em beta, prometendo aos usuários do Nothing Phone 2 acesso ao serviço iMessage proprietário da Apple. Depois que vários problemas com a privacidade e segurança do serviço foram levantados on-line – incluindo o tratamento de mensagens e mídia não criptografadas pelo parceiro da Nothing, Sunbird – a empresa retirou seu aplicativo da Play Store, enquanto a Sunbird também informou aos usuários que estava pausando o acesso ao seu próprio serviço. .
source – www.gadgets360.com
