Nieuws

Nothing CMF Watch-app bevatte ernstig beveiligingslek

Nothing Phone (2)
© Nothing
Nothing heeft een kwetsbaarheid gedicht in zijn CMF Watch-app. Het lek zorgde ervoor dat het wel erg eenvoudig was om wachtwoorden te kraken.

Nothing lag recent nog onder vuur voor zijn berichtendienst: Nothing Chats. Met die chatdienst wil de smartphonefabrikant iMessage naar Android brengen. Hierdoor moet het gat tussen Android en iOS kleiner worden. Helaas bleek de dienst niet zo veilig als gedacht. Onderzoekers wezen erop dat Sunbird, het bedrijf dat de techniek voor de applicatie regelde, berichten opsloeg op zijn servers ondanks beloften dit niet te doen. Ook bleek het vrij eenvoudig zulke data te achterhalen.9o/

Nothing besloot daarop de Chats-app van de Play Store te halen. Het bedrijf gaf daarbij te kennen de problemen in samenwerking met Sunbird op te lossen. Volgens Android-ontwikkelaar Dylan Roussel is dit niet de eerste keer dat het fout gaat bij de smartphonefabrikant. In berichten op X (voorheen Twitter) laat de ontwikkelaar weten in september melding te hebben gedaan van een kwetsbaarheid in de CMF by Nothing-app.

Wachtwoorden ontgrendelen

Volgens Roussel was de beveiliging van wachtwoorden en e-mailadressen ondermaats. De CMF by Nothing-app gebruikte voor het versleutelen en ontgrendelen van deze gegevens namelijk dezelfde sleutels. “Iedereen met toegang tot een versleuteld e-mailadres en wachtwoord zou in staat zijn ze te ontgrendelen”, schrijft Roussel. “Dat maakt de encryptie waardeloos”, sluit de ontwikkelaar af.

Nothing wist het probleem slechts deels op te lossen. Enkel de wachtwoorden zijn nu op een veilige wijze versleuteld. Het blijft echter mogelijk om de e-mailadressen te decrypten. Waarom Nothing de beveiligingsproblemen niet geheel heeft opgelost, blijft een raadsel. Ook voor Roussel: Nothing heeft niet gereageerd op recente berichten van de ontwikkelaar.

Interne systemen

Daarmee blijft ook een ander probleem onopgelost: die in interne systemen. Roussel claimt daarvan in augustus melding te hebben gedaan bij Nothing. Sindsdien blijft het echter stil. Roussel spreekt in zijn melding op X niet over de exacte werking van de kwetsbaarheid of welke systemen zijn geraakt.

Intussen zegt de ontwikkelaar te hopen dat Nothing een systeem uitwerkt om kwetsbaarheden voor hun producten te melden. Voor zulke meldingen kon Roussel nu enkel terecht bij de PR-afdeling, het X-account van Nothing of de privéberichten van Nothing. Niet bepaald ideaal als het gaat om zaken als beveiliging en ernstige kwetsbaarheden.

Gerelateerde artikelen

Volg ons

Zou jij plaatsnemen in een zelfrijdende Waymo-taxi?

  • Nee (70%, 138 Votes)
  • Ja (30%, 59 Votes)

Aantal stemmen: 197

Laden ... Laden ...
De beste elektronica-acties van februari

De beste elektronica-acties van februari

Bekijken bij bol.com

Business