Mitä sinun tarvitsee tietää
- Nothingin CMF Watch -sovelluksessa on vakava haavoittuvuus koskien sen oletettuja salattuja käyttäjätietoja,
- Löydöt osoittavat, että Nothing's-salaus käyttäjän sähköpostissa ja salasanassa ei itse asiassa toimi, koska avaimia ei ole piilotettu hyvin, mikä lisää altistumisen riskiä.
- Mikään ei ole vain parantanut salausvoimakkuutta käyttäjien salasanojen takana, mutta sähköpostit ovat edelleen vaarassa.
Näyttää siltä, että Mikään ei ole kietoutunut toiseen haavoittuvuusongelmaan, joka saattaa käyttäjien tiedot altistumisriskiin.
Android-kehittäjän mukaan Dylan Roussel, Mikään ei ole vielä korjannut kriittistä haavoittuvuusongelmaa sen CMF Watch -sovelluksessa (via Android Authority). Ongelma liittyy sovelluksen käyttäjän sähköpostin ja salasanan salaukseen, koska se ei tarjoa täydellistä suojaa.
Löydetyn menetelmän perusteella Nothing used yhteistyössä Jingxun-yrityksen kanssa on helppoa kenen tahansa päästä käsiksi henkilön arkaluontoisiin tietoihin käyttämällä sovelluksen salauksenpurkutietoja, jotka "pääasiassa tekivät salauksen hyödytön."
Roussel törmäsi tähän haavoittuvuuteen syyskuussa ja heidän todisteita siitä osoitti kuinka "pahasti" Mikään ei piilottanut aina niin tärkeitä avaimia, joita tarvitaan käyttäjän tietojen salauksen purkamiseen.
Puhutaan ei mistään... uudelleen. Ennen Sunbird/Nothing kaaosta ilmoitin heille toisesta haavoittuvuudesta jo syyskuussa... ja toinen elokuussa. Puhutaanpa siitä syyskuusta. Se koskee CMF Watch -sovellusta.1. joulukuuta 2023
Katso lisää
Syyskuussa tehdyn alkuperäisen löydön jälkeen Mikään ei ole onnistunut korjaamaan outoa salausongelmaansa - mutta vain salasanojen osalta. Roussel lisää, että käyttäjän sähköposti on edelleen vaarassa paljastua, vaikka salasanan salaus on päivitetty.
He sanovat: "Mikään ei vastannut alkuperäiseen raporttiini, mutta lopetti vastaamisen myöhemmin."
Elokuussa ilmoitettiin toinenkin haavoittuvuus, jota ei paljastettu. Väitetään, että tällä on jotain tekemistä Nothingin sisäisten tietojen kanssa, eikä sitä ole vielä korjattu.
Android Central on ottanut yhteyttä Mitään ongelmallisista salausongelmista, joita käyttäjät kohtaavat CMF Watch -sovelluksessa.
Yrityksen kamppailu ohjelmistojensa yksityisyyden ja luotettavuuden kanssa jatkuu viimeaikainen virhe Nothing Chats -sovelluksella. Useiden raporttien seurauksena sovelluksessa ei havaittu salausta käyttäjän medialle tai viesteille, mikä oli suoraan Nothingin väittämää vastaan.
Lisäksi lisäkaivaus osoitti, että käyttäjän tiedot olivat helposti luettavissa, kun niitä tallennettiin palvelimelle. Mikään ei luonut sitä"silta" Androidin ja iMessagen välillä Sunbirdin avulla; jälkimmäisellä on kuitenkin ilmeisesti "pääsy kaikkiin sovelluksen kautta lähetettyihin ja vastaanotettuihin viesteihin".
Käyttäjiä, jotka ovat käyttäneet sovellusta, kehotetaan ryhtymään vakaviin toimenpiteisiin suojata heidän arkaluontoisia Apple ID -tietojaan.