Nothing Chats (iMessage sur Android) est déjà supprimée pour des problèmes de sécurité
L’application Nothing Chats, qui propose iMessage sur Android, a vu le jour vendredi… avant d’être retirée ce week-end sur le Google Play Store. Plusieurs problèmes en lien avec la vie privée ont été la cause du retrait.
Déjà la suppression de Nothing Chats
Nothing Chats est une application de Nothing, mais gérée par Sunbird. Ce groupe utilise des Mac mini comme serveurs pour permettre d’avoir iMessage sur Android. L’utilisateur doit se connecter avec son identifiant Apple pour avoir accès au service. Dès le départ, cette connexion était plus que suspecte. Et ça se confirme aujourd’hui parce que la connexion se fait en HTTP et non HTTPS.
Plusieurs personnes ont remarqué que les messages envoyés via l’application Nothing Chats ne sont en réalité pas chiffrés de bout en bout, contrairement à ce que Nothing avait annoncé. Sunbird a ainsi accès à tous les messages qui passent par la plateforme.
De plus, tous les documents (photos, vidéos, audio, PDF, vCards, etc) que les utilisateurs envoient sont publics. En effet, Sunbird utilise un serveur de synchronisation Firebase et stocke les contenus sans chiffrement. L’entreprise a accès aux messages parce qu’elle les mentionne comme des erreurs à l’aide de Sentry, un service de débogage. Le problème est qu’une personne malveillante peut très bien s’abonner à la base de données en temps réel de Firebase et sera toujours en mesure d’accéder aux messages avant ou au moment où ils sont lus par l’utilisateur.
Sunbird has access to every message sent and received through the app. They do this by abusing @getsentry, which is used to monitor errors.
But Sunbird logs messages, pretending they are errors.
Here are part of the requests (img 1, 3) and their entire « message » (img 2, 4) pic.twitter.com/pzwwQVWfOb
— Dylan Roussel (@evowizz) November 18, 2023
Et pour couronner le tout, cet accès aux messages montre que Nothing a menti. Dans sa foire à question, le constructeur indique :
Nothing Chats est basé sur la plateforme de Sunbird et tous les messages sont chiffrés de bout en bout, ce qui veut dire que ni nous ni Sunbird ne pouvons accéder aux messages que vous envoyez ou recevez.
« Nous retardons le lancement jusqu’à nouvel ordre »
Au vu de la situation, Nothing a décidé de retirer son application Nothing Chats avec iMessage sur Android. Dans un message posté sur X (ex-Twitter), le groupe indique :
Nous avons retiré la version bêta de Nothing Chats du Play Store et nous en retardons le lancement jusqu’à nouvel ordre pour travailler avec Sunbird à la correction de plusieurs bugs
Nous nous excusons pour ce retard et nous ferons ce qu’il faut pour nos utilisateurs.
