O Nothing Phone (1) e (2) foram elogiados no passado por terem software limpo – quase padrão do Android – com excelente personalização da tela inicial, e esse tem sido o caso desde a primeira incursão da empresa na área de OEM de smartphones. No entanto, por mais promissor que tenha sido, a empresa não teve um bom mês no que diz respeito à segurança.
Após o desastre do Nothing Chats que desencadeou uma avalanche de problemas para a empresa, a Nothing enfrenta mais um desafio de segurança. Desta vez, sob o microscópio está a submarca recentemente lançada da Nothing, CMF, que se concentra em produtos acessíveis, como smartwatches, fones de ouvido e carregadores. O problema decorre especificamente do aplicativo CMF Watch, que apresentava uma vulnerabilidade que poderia expor endereços de e-mail e senhas de usuários.
Assim como no Nothing Chats, a vulnerabilidade no aplicativo CMF Watch foi descoberta e rapidamente relatada à empresa por Dylan Roussel, que publica regularmente suas descobertas no X/Twitter e 9to5Google. Nesse caso, ele encontrou o problema em setembro, conforme documentou meticulosamente no tópico abaixo.
Fonte – Dylan Roussel | X
O aplicativo CMF Watch exigia que os usuários criassem uma conta com endereço de e-mail e senha, e o aplicativo criptografava esses dados. No entanto, o aplicativo também deixou o método de descriptografia desses dados disponível no próprio aplicativo. Isso significava que um ator mal-intencionado poderia acessar facilmente essas informações confidenciais.
Desde então, a empresa corrigiu parcialmente o problema atualizando o método de criptografia da senha, mas o endereço de e-mail ainda está tecnicamente em risco. No entanto, em comunicado ao 9to5Google, a Nothing afirmou que está “atualmente trabalhando” para corrigir os problemas restantes e, desde então, abriu um ponto de contato para vulnerabilidades de segurança.
A CMF leva as questões de privacidade muito a sério e a equipe está investigando questões de segurança relacionadas ao aplicativo Watch. Corrigimos as preocupações iniciais com credenciais no início do ano e atualmente estamos trabalhando para resolver os problemas levantados. Assim que a próxima correção for concluída, lançaremos uma atualização OTA para todos os usuários do CMF Watch Pro. Os relatórios de segurança agora podem ser enviados mais facilmente via https://intl.cmf.tech/pages/vulnerability-report.
Embora seja uma ótima notícia que a Nothing tenha reconhecido o problema e esteja tomando as medidas necessárias para corrigi-lo, é um tanto preocupante que a empresa continue nesta posição. Como um OEM relativamente novo, e especialmente aquele que está tentando lançar uma nova submarca, ter falhas em sua segurança não é uma boa ideia. Esperamos que Carl Pei e sua equipe tenham aprendido com essa experiência e façam um trabalho melhor para garantir que seus aplicativos sejam seguros, especialmente quando uma empresa terceirizada está envolvida no processo.
Crédito da imagem do cabeçalho: https://intl.cmf.tech/