Τι πρέπει να ξέρετε
- Η εφαρμογή CMF Watch της Nothing έχει σοβαρή ευπάθεια όσον αφορά τα υποτιθέμενα κρυπτογραφημένα δεδομένα χρήστη της,
- Οι ανακαλύψεις δείχνουν ότι η κρυπτογράφηση του Nothing του email και του κωδικού πρόσβασης ενός χρήστη δεν λειτουργεί στην πραγματικότητα καθώς τα κλειδιά δεν είναι καλά κρυμμένα, αυξάνοντας τον κίνδυνο έκθεσης.
- Τίποτα δεν έχει αναβαθμίσει μόνο την ισχύ κρυπτογράφησης πίσω από τους κωδικούς πρόσβασης των χρηστών, αλλά τα email εξακολουθούν να διατρέχουν κίνδυνο.
Φαίνεται ότι το Nothing είναι τυλιγμένο σε ένα άλλο πρόβλημα ευπάθειας που θέτει τις πληροφορίες των χρηστών σε κίνδυνο έκθεσης.
Σύμφωνα με τον προγραμματιστή Android Ντύλαν Ρουσέλ, Τίποτα δεν έχει ακόμη διορθώσει ένα κρίσιμο πρόβλημα ευπάθειας στην εφαρμογή CMF Watch (μέσω Android Authority). Το πρόβλημα έγκειται στην κρυπτογράφηση του email και του κωδικού πρόσβασης ενός χρήστη από την εφαρμογή, καθώς δεν προσφέρει πλήρη προστασία.
Από ό, τι ανακαλύφθηκε, η μέθοδος Nothing που χρησιμοποιείται, σε συνεργασία με την εταιρεία Jingxun, καθιστά εύκολο για οποιονδήποτε να πρόσβαση στις ευαίσθητες πληροφορίες ενός ατόμου χρησιμοποιώντας τα δεδομένα αποκρυπτογράφησης εντός της εφαρμογής, τα οποία "ουσιαστικά έκαναν την κρυπτογράφηση άχρηστος."
Ο Roussel αντιμετώπισε αυτήν την ευπάθεια τον Σεπτέμβριο και το δικό τους απόδειξη αυτού έδειξε πόσο «κακά» Το Nothing έκρυψε τα πάντα τόσο σημαντικά κλειδιά που απαιτούνται για την αποκρυπτογράφηση των πληροφοριών ενός χρήστη.
Ας μιλήσουμε για το Τίποτα... πάλι. Πριν από το Sunbird/Nothing chaos, τους ανέφερα άλλη μια ευπάθεια τον Σεπτέμβριο... και άλλο τον Αύγουστο. Ας μιλήσουμε για αυτόν του Σεπτεμβρίου. Πρόκειται για την εφαρμογή CMF Watch.1 Δεκεμβρίου 2023
Δείτε περισσότερα
Από την αρχική ανακάλυψή του τον Σεπτέμβριο, τίποτα δεν λειτούργησε για να διορθώσει το περίεργο πρόβλημα κρυπτογράφησης — αλλά μόνο για τους κωδικούς πρόσβασης. Ο Roussel προσθέτει ότι το email ενός χρήστη εξακολουθεί να κινδυνεύει να εκτεθεί, παρά το γεγονός ότι η κρυπτογράφηση κωδικού πρόσβασης λαμβάνει αναβάθμιση.
Δηλώνουν, «Τίποτα δεν απάντησε στην αρχική μου αναφορά, αλλά σταμάτησα να απαντώ μετά».
Υπάρχει μια άλλη ευπάθεια, που αναφέρθηκε τον Αύγουστο, η οποία δεν αποκαλύφθηκε. Υποτίθεται ότι αυτό έχει να κάνει με τα εσωτερικά δεδομένα του Nothing και δεν έχει ακόμη επιδιορθωθεί.
Το Android Central έχει επικοινωνήσει με το Nothing σχετικά με τα προβληματικά προβλήματα κρυπτογράφησης που αντιμετωπίζουν οι χρήστες στην εφαρμογή CMF Watch.
Οι αγώνες της εταιρείας με το απόρρητο και την αξιοπιστία του λογισμικού της συνεχίζονται πρόσφατη γκάφα με την εφαρμογή Nothing Chats. Μετά από ένα κύμα αναφορών, διαπιστώθηκε ότι η εφαρμογή δεν είχε καμία κρυπτογράφηση για τα μέσα ή τα μηνύματα του χρήστη, κάτι που αντίκειται σε αυτό που ισχυριζόταν το Nothing.
Επιπλέον, η περαιτέρω ανασκαφή έδειξε ότι οι πληροφορίες ενός χρήστη ήταν άμεσα διαθέσιμες για ανάγνωση καθώς αποθηκεύονταν σε έναν διακομιστή. Τίποτα δεν δημιούργησε το "γέφυρα" μεταξύ Android και iMessage με Sunbird. Ωστόσο, ο τελευταίος προφανώς «έχει πρόσβαση σε κάθε μήνυμα που αποστέλλεται και λαμβάνεται μέσω της εφαρμογής».
Συνιστάται στους χρήστες που έχουν χρησιμοποιήσει την εφαρμογή να λάβουν σοβαρά μέτρα προστασία τις ευαίσθητες πληροφορίες Apple ID τους.