L’application CMF Watch de Nothing contredit vraiment le succès que Nothing a obtenu avec Nothing Phone (1) et Nothing Phone (2). L’application iMessage pour Android, construite en collaboration avec Sunbird, abritait une vulnérabilité liée aux données internes de l’entreprise. Cette vulnérabilité a fait la une des journaux en août dernier, mais elle n’est toujours pas résolue. Le développeur Android et rétro-ingénieur Dylan Roussel a découvert deux problèmes de sécurité liés à Nothing. La première vulnérabilité a été identifiée en septembre au sein de l’application CMF Watch, fruit de la collaboration de Nothing avec Jingxun.
Les vulnérabilités subsistent dans l’application CMF Watch
Bien que l’application chiffre les noms d’utilisateur et les mots de passe des e-mails, Roussel a découvert que la méthode de chiffrement présentait une faille, permettant un décryptage potentiel en utilisant les mêmes clés. Cela annulait essentiellement la sécurité prévue par le cryptage. Nothing et Jingxun ont corrigé la vulnérabilité concernant les mots de passe. Cependant, la possibilité de décrypter l’e-mail utilisé comme nom d’utilisateur est restée.
La deuxième vulnérabilité, non divulguée publiquement en détail, concerne les données internes de Nothing. Bien que Nothing soit au courant de ce problème depuis le mois d’août, la faille n’a pas été corrigée à ce jour.
Les récents défis de sécurité de Nothing incluent également l’application éphémère Nothing Chats, une tentative de répondre aux utilisateurs d’iPhone en proposant une plate-forme de type iMessage pour Android. L’application a été immédiatement retirée de la circulation en raison de graves failles de sécurité.
Rien ne promet de déployer un correctif sur l’application via une future mise à jour OTA
En réponse à ces préoccupations, Nothing a publié une déclaration à Android Authority. La société a informé AA de l’enquête en cours sur les problèmes de sécurité liés à l’application CMF Watch.
La société promet un correctif pour les problèmes de sécurité identifiés et prévoit de déployer une mise à jour OTA pour les utilisateurs de CMF Watch Pro une fois qu’ils auront mis en œuvre une solution. De plus, Nothing a fait un pas en avant vers la rationalisation du processus de signalement des problèmes de sécurité en fournissant un portail pour les rapports de vulnérabilité.
