Una aplicación de mensajes disponible para Android fue eliminada de la Google Play debido a una falla en seguridad
Aunque no tengas iPhone seguramente has escuchado hablar de la aplicación iMessage, mensajes de textos, fotos o video que se envían entre dispositivos de la marca Apple, están encriptados y se pueden identificar porque aparecen en globos de texto de color azul. Recientemente, apareció una aplicación para Android que prometía lo mismo. Sin embargo, ha sido dada de baja de la Play Store debido a que compartía información privada de los usuarios.
La aplicación Nothing Chats es una plataforma de mensajes creadas por el desarrollador del teléfono inteligente Nothing Phone y básicamente permitía a los usuarios de Android poder comunicarse a través del sistema de iMessage con dispositivos de Apple, una función que solo estaba disponible para propietarios de iPhone, Mac, iPad y otros equipos de la marca.
Pero no estuvo disponible durante mucho tiempo debido a que investigadores de ciberseguridad se dieron cuenta de que tenía graves problemas de privacidad, tanto que en solo 24 horas fue eliminada de la tienda de aplicaciones.
La aplicación de Android que exponía información de los usuarios
De acuerdo con un artículo de la compañía de ciberseguridad Kaspersky, Nothing Chats se anunció el pasado 14 de noviembre en un video en donde aparecía el bloguero de YouTube Marques Brownlee (también conocido como MKBHD), en donde se explicaba que pretendían llevar a los usuarios de Android la comunicación que hasta ese momento solo estaba disponible para iOS a través de hay iMessage.
En el video se explicaba cómo es que funcionaba la plataforma y señalaba que para poder utilizarla el primer paso era proporcionar el nombre y contraseña de la cuenta de ID de Apple, en caso de no tenerla generar una. Después de inicia sesión en la cuenta de Apple la plataforma generaba una conexión para transmitir mensajes desde el teléfono del usuario al sistema hay iMessage y viceversa.
Desde ese momento la propia compañía mencionaba que el sistema tenía riesgos. De hecho, iniciar sesión con el ID de Apple en algún dispositivo desconocido puede generar una alerta de seguridad y una posible filtración de datos. Incluso Nothing no ocultó el hecho de que su app no fue un desarrollo propio sino que se asoció con Sunbird, lo que significaba que la plataforma era una copia de la aplicación Sunbird: iMessage para Android, básicamente con cambios de diseño. Cabe decir que dicha plataforma fue anunciada a la prensa en diciembre de 2022 pero su lanzamiento se pospuso.
Inmediatamente después de que se lanzaran la plataforma surgieron sospechas con respecto a la privacidad y seguridad que la aplicación podía ofrecer pues cuando se iniciaba sesión con el ID de Apple se brindaba control total sobre una gran cantidad de información del usuario y sobre los dispositivos que utiliza.
Tanto Sunbird como Nothing afirmaron en sus sitios que los inicios de sesión y las contraseñas no se almacenaban en ningún lugar y que todos los mensajes que se compartían entre Android y iPhone estaban protegidos a través de cifrado de extremo, por lo que su uso era seguro.
Sin embargo, la realidad fue otra. Cuando la aplicación estuvo disponible no solo no ofrecía cifrado de extremo a extremo sino que todos los mensajes y archivos que se compartían se almacenaron simultáneamente en dos servicios: la base de datos Google Firebase y el servicio de monitoreo de errores Sentry desde donde los empleados de Sunbird podrían acceder a los mensajes.
Y no solo los empleados podían ver lo que estaban compartiendo los usuarios, la aplicación transmitía el token requerido para la autenticación en Firebase a través de una conexión desprotegida, lo que significaba que alguien podía interceptarlo y después acceder a todos los mensajes.
La vulnerabilidad resultó tan grave y evidente que uno de los analistas involucrados en el descubrimiento del problema generó un sitio web para demostrar que era posible ver los mensajes de los usuarios. Ante la situación Nothing decidió eliminar su aplicación de la Google Play Store afirmando que debía corregir algunos errores, pero la recomendación de Kaspersky es que, incluso, si vuelve a estar disponibles lo mejor es no volver a descargarla.
¿Qué pasa si ya descargaste Nothing Chats?
Las recomendaciones que brinda Kaspersky para estar seguro ante las filtraciones probables de Nothing Chats son:
- Inicia sesión en tu cuenta de ID de Apple desde un dispositivo confiable. Busca la pestaña sesiones activas y elimina la que esté asociada a Nothing Chats.
- Cambia la contraseña de tu ID de Apple. Recuerda que es importante utilizar un password seguro que incluya letras, números y caracteres especiales.
- Elimina la aplicación Nothing Chats.
- Posteriormente puedes buscar alguna de las herramientas disponibles por los investigadores de ciberseguridad para solicitar que se elimine tu información de la base de datos.
- En caso de que hayas utilizado esta plataforma para compartir información confidencial lo mejor es tomar todas las precauciones para evitar posibles filtraciones.