Nada ha funcionado con Nothing Chats

La aplicación Nothing Chats de Nothing Phone prometía ser el iMessage para Android, pero en menos de 24 horas se eliminó de Google Play debido a una impactante falta de seguridad.

La aplicación Nothing Chats es un servicio de mensajería instantánea creado por el desarrollador de un teléfono inteligente bastante popular: Nothing Phone, otro “asesino del iPhone”. El principal punto de venta de Nothing Chats era la promesa de brindar a los usuarios de Android la capacidad de comunicarse mediante iMessage, un sistema de mensajería que solo estaba disponible para los propietarios de dispositivos iPhone.

Sin embargo, se descubrió casi de inmediato que Nothing Chats tenía una gran cantidad de problemas de seguridad y privacidad. Estos problemas eran tan graves que menos de 24 horas después de su lanzamiento en Google Play Store la aplicación tuvo que ser eliminada. Analicemos esto con más detalle.

Nothing Chats, Sunbird e iMessage para Android

El servicio de mensajería instantánea Nothing Chats se anunció al público el 14 de noviembre de 2023 en un vídeo del conocido bloguero de YouTube Marques Brownlee (alias MKBHD). Este habló sobre cómo el nuevo servicio de mensajería instantánea de Nothing tenía planes para permitir a los propietarios de un teléfono Nothing (que está basado en Android) comunicarse con usuarios de iOS a través de iMessage.

Por cierto, recomiendo ver el vídeo de MKBHD, al menos para entender cómo funcionaba el servicio de mensajería instantánea.

El vídeo también describe brevemente cómo funciona este servicio de mensajería instantánea desde un punto de vista técnico. Para comenzar, los usuarios deben proporcionar a Nothing Chats el nombre de usuario y la contraseña de su cuenta de ID de Apple (y, si aún no tienen una, deben crearla). A continuación, para citar indirectamente el vídeo, “en algún Mac mini ubicado en una granja de servidores”, se inicia sesión en esta cuenta de Apple, después de lo cual este ordenador remoto sirve como retransmisor, que transmite mensajes desde el teléfono inteligente del usuario al sistema iMessage, y viceversa.

Algo que hay que reconocer es que, al final del sexto minuto, el autor del vídeo hace hincapié en que este enfoque conlleva algunos riesgos graves. En efecto, iniciar sesión con tu ID de Apple en un dispositivo desconocido que no te pertenece, ubicado quién sabe dónde, es una muy, muy mala idea por varias razones.

Avance del servicio de mensajería instantánea de Nothing Chats.

Las codiciadas nubes de mensajes azules de iMessage: la principal promesa de Nothing Chats.

La empresa Nothing no ocultó el hecho de que “iMessage para Android” no fue un desarrollo propio. La empresa se asoció con otra empresa, Sunbird, por lo que el servicio de mensajería instantánea Nothing Chats era un clon de la aplicación Sunbird: iMessage para Android, con algunos cambios estéticos en la interfaz. Por cierto, la aplicación de Sunbird se anunció a los medios en diciembre de 2022, pero su lanzamiento completo para una audiencia general se pospuso constantemente.

Nothing Chats y problemas de seguridad

Inmediatamente después del anuncio, surgieron las sospechas de que Nothing y Sunbird enfrentarían graves problemas de privacidad y seguridad. Como se mencionó antes, la idea de iniciar sesión con tu ID de Apple en el dispositivo de otra persona es muy arriesgada, porque esta cuenta brinda un control total sobre una cantidad significativa de información del usuario y sobre los dispositivos en sí a través de la función de Apple Find My.

Para tranquilizar a los usuarios, tanto Sunbird como Nothing afirmaron en sus sitios web que los inicios de sesión y las contraseñas no se almacenan en ningún lugar, que todos los mensajes están protegidos por cifrado de extremo a extremo y que todo es absolutamente seguro.

Garantías de seguridad en el sitio web de Sunbird.

El sitio web de Sunbird confirma la seguridad y la privacidad de iMessage para Android, así como el uso del cifrado de extremo a extremo (spoiler: esto no es cierto)

Sin embargo, la realidad estaba muy lejos incluso de las predicciones más escépticas. Una vez que la aplicación estuvo disponible, no se tardó en demostrar que no cumplía en absoluto con sus promesas sobre el cifrado de extremo a extremo. Y, peor aún, todos los mensajes y archivos enviados o recibidos por el usuario se enviaban por Nothing Chats en forma no cifrada a dos servicios a la vez: la base de datos de Google Firebase y el servicio de supervisión de errores Sentry, donde los empleados de Sunbird podían acceder a estos mensajes.

Garantías de seguridad en el sitio web de Nothing.

La sección de preguntas frecuentes en la página oficial de Nothing Chats también menciona el cifrado de extremo a extremo de forma explícita.

Y, como si eso no fuera suficiente, no solo los empleados de Sunbird, sino cualquier persona interesada podía leer los mensajes. El problema era que la aplicación transmitía el token requerido para la autenticación en Firebase a través de una conexión no protegida (HTTP) y, por lo tanto, podía interceptarse. Después, este token proporcionaba acceso a todos los mensajes y archivos de todos los usuarios del servicio de mensajería instantánea; como se mencionó antes, todos estos datos se enviaban a Firebase en texto plano.

Una vez más: a pesar de las garantías de uso del cifrado de extremo a extremo, cualquier mensaje de cualquier usuario en Nothing Chats y todos los archivos enviados por ellos (fotos, vídeos, etc.) podían ser interceptados por cualquier persona.

La página de Nothing Chats afirma que los mensajes de los usuarios nunca se almacenan en ningún lugar.

Además, la página de preguntas frecuentes de Nothing Chats afirma que los mensajes nunca se almacenan en ningún lugar, ¿no te dan ganas de llorar?

Uno de los investigadores involucrados en el análisis de las vulnerabilidades de Nothing Chats/Sunbird creó un sitio web sencillo como prueba de la viabilidad de un ataque, que permitía a cualquier persona ver que sus mensajes en iMessage para Android podían interceptarse sin dificultad.

Poco después de que las vulnerabilidades se hicieran públicas, Nothing decidió eliminar su aplicación de Google Play Store “para corregir algunos errores”. Sin embargo, incluso si Nothing Chats o Sunbird: iMessage para Android regresan a la tienda, es mejor evitarlos, así como cualquier aplicación similar. Esta historia demuestra de manera clara que, al crear un servicio intermediario que permita el acceso a iMessage, es muy fácil cometer errores catastróficos que ponen en riesgo los datos de los usuarios.

Lo que los usuarios de Nothing Chats deben hacer ahora

Si has utilizado la aplicación Nothing Chats, debes hacer lo siguiente:

  • Inicia sesión en tu cuenta de ID de Apple desde un dispositivo de confianza, busca la página con las sesiones activas (dispositivos en los que has iniciado sesión) y elimina la sesión asociada a Nothing Chats/Sunbird.
  • Cambia la contraseña de tu ID de Apple. Es una cuenta muy importante, por lo que es recomendable usar una secuencia de caracteres muy larga y aleatoria; Kaspersky Password Manager puede ayudarte a generar una contraseña de confianza y almacenarla de forma segura.
  • Desinstala la aplicación Nothing Chats.
  • A continuación, puedes usar una herramienta creada por uno de los investigadores para eliminar tu información de la base de datos de Firebase de Sunbird.
  • Si has enviado información confidencial a través de Nothing Chats, debes tratarla como información vulnerada y tomar las medidas adecuadas: cambiar las contraseñas, volver a emitir tarjetas, etc. Kaspersky Premium te ayudará a rastrear posibles filtraciones de datos personales vinculados a direcciones de correo electrónico o números de teléfono.
Consejos
Suscríbete y recibe nuestras publicaciones en tu correo
  • Para el resto de países