Toestelmaker Nothing had een oplossing bedacht waardoor je iMessage met blauwe praatbubbels kunt gebruiken, ook als je geen iPhone hebt. Nothing Chats bleek echter geen gebruik te maken van end-to-end encryptie, zo blijkt uit de broncode. De makers zijn er nu alweer mee gestopt.

Nothing Chats is misschien wel de kortst bestaande chatdienst ooit. Al na een paar dagen trekken Nothing de stekker er alweer uit. De fabrikant van Nothing smartphones en oordopjes kondigde eerder deze week een oplossing aan om gebruik te maken van iMessage, zonder dat je daarvoor een Apple-device nodig hebt. Daarbij werd gebruik gemaakt van de softwareoplossing Sunbird. Volgens de oprichter van Nothing zouden de chats end-to-end versleuteld zijn, maar dat bleek niet zo. Inspectie van de broncode maakte pijnlijk duidelijk dat je inloggegevens en de chats gemakkelijk onderschept kunnen worden. Na deze onthulling stoppen Nothing en Sunbird er voorlopig mee.

Nothing Chats was onveilig

Er is ondertussen nog meer verontrustende informatie boven water gekomen. Om de iMessage-workaround te gebruiken moest je je Apple ID en wachtwoord opgeven. En dat is een probleem, want het Apple ID vormt voor veel mensen de sleutel tot het complete Apple-ecosysteem. Ook bleek dat Norhing’s partner Sunbird niet alleen berichten en vCards van contacten bewaarde, maar dat de gebruikersgegevens ook door anderen konden worden gedownload. Dit bleek afgelopen vrijdag al. Op zaterdag kwamen nog meer onthullingen naar buiten over de slechte beveiliging van de app.

Nothing heeft de app nu uit de Google Play Store gehaald en meldt optimistisch “dat de introductie tot nader order is uitgesteld om samen met Sunbird diverse bugs op te lossen”. Het gaat daarbij onder andere om het feit dat gegevens niet versleuteld zijn en dat inloggegevens niet met https over internet worden verstuurd. Het is alleen de vraag of gebruikers nog voldoende vertrouwen hebben in de app om ‘m een tweede kans te geven. Nothing Chat speelde in op de behoefte van Android-gebruikers om met blauwe chatbubbels te kunnen communiceren, zodat het lijkt alsof je een iPhone hebt. Apple’s belofte om RCS te ondersteunen lost dat niet op; dit maakt het voor anderen weliswaar gemakkelijker om iMessage te gebruiken, maar je berichten zullen in groene chatbubbels te zien zijn.

Een van de mensen die de beveiliging van Nothing Chat onderzocht is Android-ontwikkelaar Dylan Roussel. Hij legde uit dat Sunbird “toegang heeft tot elk bericht dat via de app op je apparaat wordt verzonden en ontvangen”. Hij ontdekte ook dat alle bestanden inclusief afbeeldingen, video’s en vCards die via de app worden verzonden, openbaar zijn en dat Nothing Chats helemaal geen end-to-end encryptie gebruikt.

Nothing Chats legde elk bericht vast als bug

Toen Sunbird daarna beweerde dat de HTTP in orde was, ging Roussel verder op onderzoek uit en ontdekte dat Sunbird misbruik maakt van de foutdetectietool Sentry. In plaats van het loggen van fouten en bugs wordt Sentry gebruikt om chatberichten op te slaan, alsof het bugs zijn. Roussel controleerde of het behalve met teksten ook werkte met afbeeldingen en video’s. Die werden naar Firebase gestuurd, een reeks backend-cloudcomputingservices en platforms voor appontwikkelaars, gemaakt door Google. Roussel vroeg zich toen af of het mogelijk was om media van andere gebruikers te bekijken – en ook dat lukte. Hij ontdekte dat er meer dan 637.000 media-items waren opgeslagen door Sunbird, waaronder vCards met het e-mailadres en telefoonnummer van contactpersonen. Roussel ontdekte ongeveer 2.300 vCards en downloadde er eentje om te bewijzen dat hij telefoonnummers en andere gebruikersgegevens van willekeurige personen kon achterhalen.

Grootste privacy-nachtmerrie ooit bij een telefoonfabrikant

De ontwikkelaar spoorde Nothing aan om met de app te stoppen en de app uit de Play Store te verwijderen. Hij zegt erover: “Dit is waarschijnlijk de grootste privacy-nachtmerrie’ die ik in jaren heb gezien van een telefoonfabrikant.” Nothing Chats is weliswaar niet ontwikkeld door Nothing zelf, maar het bedrijf had moeten controleren of hun app wel goed beveiligd is en had niet zomaar moeten beweren dat alles wel goed zit, vindt Roussel. Het is een smet op het imago van Nothing, een bedrijf dat over het algemeen goed wordt gewaardeerd vanwege de smartphones en oordopjes die ze maken.

Oprichter Carl Pei heeft nogal een reputatie: hij werkte eerder voor Meizu en Oppo en richtte daarna OnePlus op. In 2021 startte hij met een nieuw merk: Nothing. Van hem wordt gezegd dat zijn reality distortion field groter is dan die van Steve Jobs. Pei vergelijkt zichzelf dan ook graag met de Apple-oprichter.