Mal, muy mal comienzo ha tenido Nothing en su intento de traer iMessage a Android y es que tras solo unas disponible en la Play Store de Google en forma de beta, la compañía ha anunciado que retira Nothing Chats para solucionar algunos errores. Un eufemismo que parece esconder detrás un importante fallo de seguridad.
La compañía de Carl Pei trata de ofrecer el servicio de iMessage en Android a través de SunBird, un servicio externo que requiere de acceso a nuestras credenciales de Apple, pero que en teoría no almacenaba ninguna información y que la usaba la transmitía de forma encriptada para garantizar su seguridad. Esto es algo que afirmaban en su web, pero que parece podría no ser del todo cierto y como consecuencia podrían haber dejado expuesta información muy sensible de sus usuarios.
Según recogen desde AndroidPolice, tras el anuncio de esta retirada los desarrolladores de Texts (competencia de SunBird) se pusieron a investigar posibles causas. Su fundador Kishan Bagaria afirma que fruto de esta investigación descubrieron que SunBird usa una instancia de Bluebbles, la cual no admite cifrado de extremo a extremo. Esto ya de por si es una claro peligro para el envío de datos tan sensibles como los que pasarían a través de SunBird y por ende de Nothing Chats.
![Caótico inicio de Nothing Chats. Podría haber dejado al descubierto los datos de sus usuarios [Actualizado] 28](https://one-tech.es/wp-content/uploads/2023/11/Nothing-Chats-Dektop-1000x667.webp "Caótico inicio de Nothing Chats. Podría haber dejado al descubierto los datos de sus usuarios [Actualizado] 1")
Si ya de por si el hecho de no usar cifrado de extremo a extremo es preocupante, la cosa toma peor cariz cuando vemos que Bagaria afirma que las credenciales se estarían enviando en texto plano via HTTP, es decir que ni siquiera usarían el protocolo HTTPS.
Ante tales acusaciones Nothing ha querido salir al paso con unas declaraciones a 9to5Google, donde dan a entender que la información de Bagaria no es correcta ya que lo que han descubierto en texto sin formato es una versión tokenizada de las credenciales de la ID de Apple, la cual no tendría utilidad para “malos actores”.
Una vez que se proporciona el ID de Apple, ya sea existente o recién creado, se tokeniza en una base de datos cifrada y los datos del ID de Apple se destruyen. El token no es de utilidad para los malos actores ya que no contiene ninguna información confidencial como su ID de Apple, y los datos que proporcionó inicialmente se eliminan automáticamente, lo que garantiza que su ID de Apple sea segura y en ningún momento vulnerable a los malos actores.
Del mismo modo afirman que el nombre de Blue Bubbles (Burbujas azules) es solo una coincidencia ya que cuando el cofundador de Sunbird estaba construyendo los servidores, a estos les llamó Blue Bubbles, negando usar una tecnología de terceros e insistiendo en que el uso de eso nombre es solo una coincidencia.
De momento sigue la información cruzada, por lo que no podemos afirmar hasta que punto tiene razón cada parte, por lo que tendremos que esperar para saber la verdad. Como precaución os aconsejamos esperar antes de tratar de usar Nothing Chats. Por nuestra parte trataremos de contactar con la empresa para tener mas información al respecto.
Declaración oficial añadida:
Tras contactar con la empresa esta nos ha remitido el comunicado oficial al respecto, el cual por cierto no dice nada y se limita a repetir lo ya anunciado vía X.
Hemos retirado la beta de Nothing Chats de la Play store y retrasaremos el lanzamiento hasta nuevo aviso para trabajar con Sunbird en la corrección de varios errores. Pedimos disculpas por el retraso y haremos lo correcto por nuestros usuarios
