Kas jums jāzina
- Nothing's CMF Watch lietotnei ir nopietna ievainojamība saistībā ar tās šķietami šifrētajiem lietotāja datiem,
- Atklājumi liecina, ka lietotāja e-pasta un paroles Nekas šifrēšana faktiski nedarbojas, jo atslēgas nav labi paslēptas, palielinot iedarbības risku.
- Nekas nav tikai uzlabojis lietotāja paroļu šifrēšanas stiprumu, taču e-pasta ziņojumi joprojām ir apdraudēti.
Šķiet, ka nekas nav saistīts ar citu ievainojamības problēmu, kas apdraud lietotāju informāciju.
Saskaņā ar Android izstrādātāja teikto Dilans Rusels, Nekas vēl nav labojis kritisku ievainojamības problēmu savā CMF Watch lietotnē (izmantojot Android iestāde). Problēma ir saistīta ar lietotnes lietotāja e-pasta un paroles šifrēšanu, jo tā nepiedāvā pilnīgu aizsardzību.
No tā, kas tika atklāts, metode Nekas izmantota sadarbībā ar uzņēmumu Jingxun ļauj ikvienam viegli piekļūt personas sensitīvajai informācijai, izmantojot lietotnes atšifrēšanas datus, kas "būtībā veica šifrēšanu bezjēdzīgi."
Rusels saskārās ar šo ievainojamību septembrī un viņu
pierādījumi tam parādīja, cik "slikti" Nekas neslēpa arvien tik svarīgās atslēgas, kas nepieciešamas, lai atšifrētu lietotāja informāciju.Parunāsim par neko... atkal. Pirms Sunbird/Nothing haosa es viņiem ziņoju par vēl vienu ievainojamību septembrī... un vēl vienu augustā. Parunāsim par vienu no septembra. Tas ir par CMF Watch lietotni.2023. gada 1. decembris
Redzēt vairāk
Kopš sākotnējās atklāšanas septembrī nekas nav strādājis, lai novērstu dīvaino šifrēšanas problēmu, bet tikai parolēm. Rusels piebilst, ka lietotāja e-pasts joprojām ir pakļauts riskam, neskatoties uz to, ka paroles šifrēšana tiek atjaunināta.
Viņi saka: "Nekas neatbildēja uz manu sākotnējo ziņojumu, bet pārtrauca atbildēt pēc tam."
Ir vēl viena ievainojamība, par kuru tika ziņots augustā, un tā netika atklāta. Iespējams, ka tam ir kāds sakars ar Nothing iekšējiem datiem, un tas vēl ir jānovērš.
Android Central ir sazinājies ar neko par problemātiskajām šifrēšanas problēmām, ar kurām saskaras lietotāji lietotnē CMF Watch.
Uzņēmums turpina cīnīties ar programmatūras privātumu un uzticamību nesenā kļūda ar lietotni Nothing Chats. Pēc ziņojumu skaita pieauguma tika konstatēts, ka lietotnē nav lietotāja multivides vai ziņojumu šifrēšanas, kas bija tieši pretrunā ar to, ko Nothing apgalvoja.
Turklāt turpmākā rakšana parādīja, ka lietotāja informācija bija viegli pieejama lasīšanai, jo tā tika glabāta serverī. Nekas to neradījatiltsstarp Android un iMessage, izmantojot Sunbird; tomēr pēdējam acīmredzot "ir piekļuve katram ziņojumam, kas nosūtīts un saņemts, izmantojot lietotni".
Lietotājiem, kuri ir izmantojuši lietotni, ieteicams veikt nopietnus pasākumus, lai aizsardzība viņu sensitīvā Apple ID informācija.