O iMessage, app de mensagens instantâneas exclusivo da Apple, sempre foi um assunto delicado no mundo Android. Diante desse cenário, a Nothing apresentou uma solução para levar o mensageiro aos seus celulares com o sistema operacional do Google. O recurso, porém, foi rapidamente derrubado por problemas de segurança e privacidade.
Toda história começou na terça-feira da semana passada (14). Naquele dia, a fabricante de smartphones anunciou que ofereceria acesso ao iMessage através do Nothing Chats com a tecnologia da Sunbird.
A integração estava prevista para ser liberada ao público na sexta-feira (17), e era exclusiva para o celular Nothing Phone 2.
O youtuber Marques Brownlee antecipou o funcionamento da solução no mesmo dia. Entre os detalhes revelados, está a possibilidade de enviar mídias de alta qualidade entre celulares Android e iPhone sem nenhum atraso. O aplicativo também oferece uma interface intuitiva para conversar com o iPhone, iPad e Mac.
Parecia o sonho, até as demais particularidades virem à tona. A começar pelo método para acessar a conta, que consiste em autenticar o ID Apple em um Mac Mini remoto, que não está em posse do usuário. Segundo disse a Nothing ao site The Verge, o sistema credenciais são registradas como um token em um banco de dados criptografado.
No entanto, isto não ameniza as preocupações. Ao conectar a conta da Apple em um computador, é possível acessar todos as informações do iCloud, indo muito além do iMessage. Incluindo os arquivos guardados, o calendário e e-mails. Também é possível gerenciar os aparelhos conectados ao perfil, desde o Apple Watch até o Mac.
nothing chats app (skinned sunbird) is an absolute privacy nightmare that sends/stores ALL data unencrypted on firebase
and for whatever reason it also sends ALL messages and attachments to sentry (again, in plain text) pic.twitter.com/CxBS7TZwCl
— wukko (@uwukko) November 18, 2023
Nothing Chat oferece iMessage, mas não é criptografado
Vários sinais de atenção surgiram nos dias seguintes. De acordo com o 9to5Google, o Nothing Chats utiliza o sistema da Sunbird, com a promessa de criptografia de ponta a ponta. A Nothing até chega a mencionar que as mensagens são confidenciais, e que ninguém consegue acessar as conversas.
Mas as coisas não caminham dessa forma.
Em uma análise independente do site especializado e do usuário do X (ex-Twitter) conhecido como Wukko, descobriu-se que o armazenamento e a transmissão das mensagens e dos arquivos, na verdade, não são criptografados. Ou seja, os conteúdos não são protegidos e podem ser acessados sem muita dificuldade.
O Text também analisou o aplicativo através de um processo de engenharia reversa. Durante o processo, a equipe do portal identificou que as informações são repassadas pelo protocolo HTTP. Ao contrário do HTTPS, trata-se de um canal que não é criptografado e é potencialmente inseguro.
Ao 9to5Google, a Nothing chegou a afirmar que, apesar do HTTP, os dados são criptografados antes de serem repassados entre os servidores. A empresa também reforçou que possui a certificação ISO27001, voltada para sistemas comprometidos com a segurança.
“Todos os dados de usuários sensíveis como as credenciais do ID Apple e mensagens são completamente criptografados”, insistiram.
“iMessage para Android” é retirado do ar após polêmica
Diante das preocupações, a Nothing voltou atrás um dia após o lançamento da ferramenta. “Removemos a versão beta do Nothing Chats da Play Store e adiaremos o lançamento até novo aviso para trabalhar com a Sunbird na correção de vários bugs”, informaram pelo X no sábado (18).
“Pedimos desculpas pelo atraso e faremos o que é certo para nossos usuários”, complementaram.
O posicionamento também foi alvo de reclamações na rede social. “Estamos classificando questões de privacidade de dados como ‘bugs’ agora?”, disse o engenheiro de dados Yogesh Brar. “A ausência da criptografia de ponta a ponta não é um bug, é um enorme problema de privacidade”, afirmou outra pessoa.
“Vocês chamam a falta de criptografia de ponta a ponta, a exposição de dados públicos e a falta de protocolo HTTPS como ‘bugs'”, destacou mais um tweet.
O Nothing Message não foi o único serviço afetado. Na terça-feira (21), segundo o The Verge, a Sunbird também pausou o desenvolvimento da integração para levar o iMessage ao Android.