I slutet av förra veckan presenterade Nothing sin nya meddelandetjänst Nothing Chats. Den stora nyheten och trumfkortet var stöd för Apples internetuppkopplade Imessage, för att enklare skicka bilder, filer och röstmeddelanden utan "grön bubbla". Stödet blev dock kortlivat – bara några dagar efter lanseringen drogs applikationen tillbaka från Google Play.
► Nothing utmanar Iphone med eget Imessage-stöd
Nothing Chats är framtagen i samarbete med Sunbird, vars applikation med samma namn erbjuder motsvarande funktionalitet. Nothings version är i allt väsentligt identiskt, med lite annorlunda yttre. I samband med att applikationen försvann från Google Play uppmärksammades det på sociala medier att såväl Sunbird som Nothing Chats har omfattande säkerhetsbrister.
Ett av X-inläggen som pekar ut säkerhetsbristerna.
I blogginlägget demonstreras det i bilder hur meddelanden är tillgängliga i klartext.
Upptäckten är ett samarbete mellan tre X-användare och finns sammanfattad i ett blogginlägg. Sammanfattningsvis kritiseras hur Sunbird och i förlängningen Nothing Chats skickar vidare och lagrar meddelanden till Sunbirds servrar och Firebase-databaser, där osäkra metoder resulterar i att meddelanden lagras i okrypterat och i klartext.
Från inläggen framgår att löften om att Nothing Chats meddelanden är end-to-end-krypterade helt enkelt inte stämmer. Därtill demonstreras att såväl meddelanden som skickade bilder, videor och andra filer inte bara är synliga för anställda på Sunbird, utan även förhållandevis lättåtkomliga för utomstående.
Inledningsvis försvarade Sunbird sina metoder och uppgav att "Sunbird prioriterat säkerhet redan från början". Nothing skjuter därtill upp lanseringen av Nothing Chats och enligt The Verge meddelade de i samband med att applikationen drogs tillbaka från Google Play att de skulle åtgärda "flera buggar".
