Aplikacja mobilna CMF Watch firmy Nothing ma poważną lukę dotyczącą szyfrowania danych użytkowników – tylko częściowo rozwiązano dotychczasowe problemy.
Najnowsze informacje wskazują że szyfrowanie adresu e-mail i hasła użytkownika Nothing w CMF Watch dla zegarków CMF Watch Pro w rzeczywistości nie działa, ponieważ klucze nie są dobrze ukryte, co zwiększa ryzyko ujawnienia danych. Nothing poprawiło jedynie siłę szyfrowania haseł użytkowników, ale adresy e-mail są nadal zagrożone. Wygląda na to, że aplikacja ma inną lukę w zabezpieczeniach, która naraża dane użytkowników na ryzyko.
Według programisty na Androida Dylana Roussela, firma Nothing nie naprawiła jeszcze krytycznej luki w zabezpieczeniach aplikacji CMF Watch (za pośrednictwem Android Authority). Problem polega na szyfrowaniu adresu e-mail i hasła użytkownika przez aplikację, które nie zapewnia całkowitej ochrony.
Z ustaleń wynika, że zastosowana we współpracy z firmą Jingxun metoda Nothing ułatwia każdemu dostęp do poufnych informacji danej osoby za pomocą danych deszyfrujących zawartych w aplikacji, co „w zasadzie sprawiło, że szyfrowanie stało się bezużyteczne”.
Od pierwszego odkrycia we wrześniu Nothing rozwiązało dziwny problem z szyfrowaniem – ale tylko w przypadku haseł. Roussel dodaje, że pomimo aktualizacji dla szyfrowania haseł, adres e-mail użytkownika jest nadal narażony na ryzyko.
Istnieje jeszcze jedna luka, zgłoszona w sierpniu, która nie została ujawniona. Podobno ma to coś wspólnego z wewnętrznymi danymi Nothing i nie zostało to jeszcze naprawione.
Firma nadal boryka się z problemami związanymi z prywatnością i niezawodnością oprogramowania po niedawnej wtopie z aplikacją Nothing Chats. Po fali raportów stwierdzono, że aplikacja nie szyfruje multimediów ani wiadomości użytkownika, co jest bezpośrednio sprzeczne z zapewnieniami Nothing.
Co więcej, dalsze poszukiwania wykazały, że informacje o użytkowniku były łatwo dostępne do odczytania, gdy były przechowywane na serwerze. Nothing stworzyło swój „pomost” pomiędzy Androidem a iMessage za pomocą Sunbirda — jednak ten ostatni najwyraźniej „ma dostęp do każdej wiadomości wysłanej i otrzymanej za pośrednictwem tej aplikacji”.
Użytkownikom, którzy korzystali z aplikacji, zaleca się podjęcie poważnych kroków w celu ochrony poufnych informacji Apple ID.
➔ Obserwuj nas w Google News, aby być na bieżąco!
źródło: Android Central