De CMF Watch-app van Nothing is echt in tegenspraak met het succes dat Nothing heeft behaald met de Nothing Phone (1) en Nothing Phone (2). De iMessage-voor-Android-app, gebouwd in samenwerking met Sunbird, bevatte een kwetsbaarheid met betrekking tot de interne gegevens van het bedrijf. Deze kwetsbaarheid haalde in augustus het nieuws, maar is nog steeds niet opgelost. Android-ontwikkelaar en reverse engineer Dylan Roussel ontdekte twee beveiligingsproblemen die verband hielden met Nothing. De eerste kwetsbaarheid werd in september geïdentificeerd in de CMF Watch-app, een product van Nothing’s samenwerking met Jingxun.
De kwetsbaarheden bestaan nog steeds in de CMF Watch-app
Hoewel de app e-mailgebruikersnamen en wachtwoorden versleutelt, ontdekte Roussel dat de versleutelingsmethode een fout vertoonde, waardoor mogelijke ontsleuteling met dezelfde sleutels mogelijk was. Dit maakte in wezen de beoogde beveiliging van encryptie teniet. Nothing en Jingxun pakten de kwetsbaarheid met betrekking tot wachtwoorden aan. De mogelijkheid om de e-mail die als gebruikersnaam werd gebruikt te ontsleutelen bleef echter bestaan.
De tweede kwetsbaarheid, die niet in detail openbaar is gemaakt, heeft betrekking op de interne gegevens van Nothing. Hoewel Nothing sinds augustus op de hoogte is van dit probleem, is de fout tot op heden niet verholpen.
Niets recente beveiligingsuitdagingen omvatten ook de kortstondige Nothing Chats-app, een poging om tegemoet te komen aan iPhone-gebruikers door een iMessage-achtig platform voor Android aan te bieden. De app werd onmiddellijk uit de circulatie gehaald vanwege ernstig toezicht op de veiligheid.
Niets belooft een oplossing voor de app uit te rollen via een toekomstige OTA-update
Als reactie op deze zorgen heeft Nothing een verklaring afgegeven aan Android Authority. Het bedrijf informeerde AA over het lopende onderzoek naar de beveiligingsproblemen met betrekking tot de CMF Watch-app.
Het bedrijf belooft een oplossing voor de geïdentificeerde beveiligingsproblemen en is van plan een OTA-update uit te rollen voor CMF Watch Pro-gebruikers zodra ze een oplossing implementeren. Daarnaast heeft Nothing een stap gezet in de richting van het stroomlijnen van het rapportageproces voor beveiligingsproblemen door een portaal voor kwetsbaarheidsrapporten aan te bieden.
