{"id":28255,"date":"2023-11-29T12:03:03","date_gmt":"2023-11-29T10:03:03","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28255"},"modified":"2023-11-29T12:03:03","modified_gmt":"2023-11-29T10:03:03","slug":"nothing-chats-imessage-for-android-security-disaster","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/nothing-chats-imessage-for-android-security-disaster\/28255\/","title":{"rendered":"Il flop di Nothing Chats"},"content":{"rendered":"<p>L\u2019app <em>Nothing Chats<\/em> \u00e8 uno strumento di messaggistica creato dallo sviluppatore del popolarissimo smartphone <em>Nothing Phone<\/em>, l\u2019ennesimo \u201ckiller di iPhone\u201d. In teoria, il principale punto di forza di <em>Nothing Chats<\/em> avrebbe dovuto essere la promessa di offrire agli utenti Android la possibilit\u00e0 di comunicare utilizzando le funzionalit\u00e0 complete di iMessage, un sistema di messaggistica precedentemente disponibile solo per iPhone.<\/p>\n<p>In pratica, \u00e8 stato quasi immediatamente evidente che <em>Nothing Chats<\/em> presentava tutta una serie di problemi relativi a sicurezza e privacy. Inoltre, questi problemi erano cos\u00ec gravi che, meno di 24 ore dopo il rilascio in Google Play Store, <a href=\"https:\/\/arstechnica.com\/gadgets\/2023\/11\/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours\/\" target=\"_blank\" rel=\"noopener nofollow\">\u00e8 stato necessario rimuovere l\u2019applicazione<\/a>. Approfondiamo questo aspetto in modo pi\u00f9 dettagliato.<\/p>\n<h2>Nothing Chats, Sunbird e iMessage per Android<\/h2>\n<p>Lo strumento di messaggistica <em>Nothing Chats<\/em> \u00e8 stato annunciato il 14 novembre 2023 in un video su YouTube dal noto blogger Marques Brownlee (noto con l\u2019alias MKBHD). Il blogger ha spiegato che il nuovo strumento di <em>Nothing<\/em> aveva l\u2019obiettivo di consentire a tutti quelli che avevano acquistato un <em>Nothing<\/em> <em>Phone<\/em> (basato su Android) di comunicare con gli utenti iOS tramite iMessage.<\/p>\n<p>Per farti un\u2019idea di come avrebbe dovuto funzionare, ti consiglio di guardare il video di MKBHD.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/ji5HwS3bhlU?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Il video illustra brevemente il funzionamento di questo strumento di messaggistica anche da un punto di vista tecnico. Per iniziare, l\u2019utente deve fornire a <em>Nothing Chats<\/em> il nome utente e la password del proprio account ID Apple (e se ancora non ne ha uno, deve crearlo appositamente). A questo punto, per citare indirettamente il video, \u201cda qualche parte, su un Mac mini in una server farm\u201d viene effettuato l\u2019accesso a questo account Apple e il computer remoto funziona come relay per la trasmissione dei messaggi dallo smartphone dell\u2019utente al sistema iMessage e viceversa.<\/p>\n<p>A onor del vero, dobbiamo riconoscere che alla fine del sesto minuto, l\u2019autore del video tiene a <a href=\"https:\/\/www.youtube.com\/watch?v=ji5HwS3bhlU%23t=5m52s\" target=\"_blank\" rel=\"noopener nofollow\">sottolineare<\/a> che questo approccio comporta alcuni gravi rischi. In effetti, accedere con il tuo ID Apple su un dispositivo sconosciuto che non ti appartiene, situato chiss\u00e0 dove, \u00e8 sicuramente una <a href=\"https:\/\/www.kaspersky.it\/blog\/stranger-apple-id\/16717\/\" target=\"_blank\" rel=\"noopener\">pessima idea<\/a> per una serie di motivi.<\/p>\n<div id=\"attachment_28256\" style=\"width: 1510px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-28256\" class=\"size-full wp-image-28256\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2023\/11\/29115433\/nothing-chats-imessage-for-android-security-disaster-01.jpg\" alt=\"Il teaser pubblicitario dello strumento di messaggistica Nothing \" width=\"1500\" height=\"1000\"><p id=\"caption-attachment-28256\" class=\"wp-caption-text\">Le nuvolette azzurre dei messaggi di iMessage: la principale promessa di Nothing Chats<\/p><\/div>\n<p>La societ\u00e0 <em>Nothing<\/em> non ha nascosto il fatto che \u201ciMessage per Android\u201d non era un prodotto sviluppato interamente da loro. Nato dalla collaborazione con <a href=\"https:\/\/www.washingtonpost.com\/technology\/2023\/11\/14\/imessage-on-android-nothing-sunbird\/\" target=\"_blank\" rel=\"noopener nofollow\">Sunbird<\/a>, <em>Nothing Chats<\/em> era sostanzialmente un clone (con alcune modifiche estetiche all\u2019interfaccia) dell\u2019applicazione <em>Sunbird: iMessage per Android<\/em>, un\u2019app di messaggistica annunciata alla stampa nel dicembre 2022, il cui lancio completo per un vasto pubblico \u00e8 stato tuttavia costantemente rimandato.<\/p>\n<h2>Nothing Chats e i problemi per la sicurezza<\/h2>\n<p>Dopo l\u2019annuncio, <a href=\"https:\/\/arstechnica.com\/gadgets\/2023\/11\/nothing-phone-says-it-will-hack-into-imessage-bring-blue-bubbles-to-android\/\" target=\"_blank\" rel=\"noopener nofollow\">sono sorti immediatamente i sospetti<\/a> che <em>Nothing<\/em> e Sunbird avrebbero dovuto affrontare seri problemi di privacy e sicurezza. Come accennato prima, l\u2019idea di accedere con il proprio ID Apple sul dispositivo di qualcun altro \u00e8 estremamente rischiosa perch\u00e9 questo account assicura il pieno controllo su una quantit\u00e0 significativa di informazioni sull\u2019utente e sui dispositivi stessi tramite la funzionalit\u00e0 Apple <em>Dov\u2019\u00e8<\/em>.<\/p>\n<p>Per rassicurare gli utenti, Sunbird e <em>Nothing<\/em> hanno affermato sui propri siti Web che i nomi utente e le password non vengono archiviati, che tutti i messaggi sono protetti da un sistema di criptaggio end-to-end e che tutto \u00e8 assolutamente sicuro.<\/p>\n<div id=\"attachment_28257\" style=\"width: 1898px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-28257\" class=\"size-full wp-image-28257\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2023\/11\/29115533\/nothing-chats-imessage-for-android-security-disaster-02.png\" alt=\"Le rassicuranti affermazioni sulla sicurezza pubblicate sul sito Web di Sunbird \" width=\"1888\" height=\"720\"><p id=\"caption-attachment-28257\" class=\"wp-caption-text\">Il sito Web di Sunbird conferma la sicurezza e la privacy di iMessage per Android, nonch\u00e9 l\u2019uso del criptaggio end-to-end (spoiler: non \u00e8 vero)<\/p><\/div>\n<p>Tuttavia, la realt\u00e0 si \u00e8 rivelata di gran lunga peggiore anche dalle previsioni pi\u00f9 scettiche. Non appena \u00e8 stata resa disponibile, \u00e8 stato subito chiaro che l\u2019applicazione non era in grado di mantenere le promesse relative al criptaggio end-to-end. Peggio ancora, tutti i messaggi e i file inviati o ricevuti dall\u2019utente venivano <a href=\"https:\/\/texts.blog\/2023\/11\/18\/sunbird-security\/\" target=\"_blank\" rel=\"noopener nofollow\">consegnati da <em>Nothing Chats<\/em> in un formato non criptato a due servizi contemporaneamente<\/a> (il database di Google Firebase e il servizio di monitoraggio degli errori Sentry) attraverso i quali i dipendenti di Sunbird potevano accedere a questi messaggi.<\/p>\n<div id=\"attachment_28258\" style=\"width: 1320px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-28258\" class=\"size-full wp-image-28258\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2023\/11\/29115627\/nothing-chats-imessage-for-android-security-disaster-03.png\" alt=\"Garanzie di sicurezza sul sito Web di Nothing \" width=\"1310\" height=\"758\"><p id=\"caption-attachment-28258\" class=\"wp-caption-text\">Anche nelle domande frequenti sulla pagina ufficiale di Nothing Chats si parla esplicitamente di criptaggio end-to-end<\/p><\/div>\n<p>Come se non bastasse, non solo i dipendenti Sunbird ma <a href=\"https:\/\/9to5google.com\/2023\/11\/18\/nothing-chats-sunbird-unencrypted-data-privacy-nightmare\/\" target=\"_blank\" rel=\"noopener nofollow\">qualunque interessato<\/a> poteva leggere i messaggi. Il problema era che il token richiesto per l\u2019autenticazione in Firebase veniva trasmesso dall\u2019applicazione tramite una connessione non protetta (HTTP) e poteva quindi essere intercettato. Grazie a questo token, chiunque avrebbe potuto accedere a tutti i messaggi e i file di <em>tutti gli utenti<\/em> dello strumento di messaggistica, dato che tutti questi dati venivano inviati a Firebase in formato di testo.<\/p>\n<p>Ancora una volta: nonostante le assicurazioni sull\u2019utilizzo del criptaggio end-to-end, <em>qualsiasi<\/em> messaggio proveniente da <em>qualsiasi<\/em> utente su <em>Nothing Chats<\/em> e <em>tutti<\/em> i file inviati (foto, video e cos\u00ec via) potevano essere intercettati da chiunque.<\/p>\n<div id=\"attachment_28259\" style=\"width: 1330px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-28259\" class=\"size-full wp-image-28259\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2023\/11\/29115720\/nothing-chats-imessage-for-android-security-disaster-04.png\" alt=\"La pagina Nothing Chats afferma che i messaggi degli utenti non vengono mai archiviati \" width=\"1320\" height=\"984\"><p id=\"caption-attachment-28259\" class=\"wp-caption-text\">Inoltre, la pagina delle domande frequenti di Nothing Chats afferma che i messaggi non vengono mai archiviati in alcuna posizione: non viene da sorridere?<\/p><\/div>\n<p>Uno dei ricercatori coinvolti nell\u2019analisi delle vulnerabilit\u00e0 di <em>Nothing Chats\/Sunbird<\/em> ha <a href=\"https:\/\/sunbird-poc.vercel.app\/\" target=\"_blank\" rel=\"noopener nofollow\">creato<\/a> un semplice sito Web come prova della fattibilit\u00e0 di un attacco, consentendo a chiunque di vedere che i propri messaggi in <em>iMessage per Android<\/em> potevano essere facilmente intercettati.<\/p>\n<p>Poco dopo che le vulnerabilit\u00e0 sono state rese pubbliche, <em>Nothing<\/em> <a href=\"https:\/\/twitter.com\/nothing\/status\/1725902458189119690\" target=\"_blank\" rel=\"noopener nofollow\">ha deciso di rimuovere la propria app dal Google Play Store<\/a> \u201cper correggere alcuni bug\u201d. Tuttavia, anche se <em>Nothing Chats<\/em> o <em>Sunbird: iMessage per Android<\/em> dovessero tornare nello store, \u00e8 meglio evitarli, cos\u00ec come qualsiasi app simile. Questa storia dimostra chiaramente che quando si crea un servizio intermedio che consente l\u2019accesso a iMessage, \u00e8 molto facile commettere errori catastrofici che mettono a rischio i dati degli utenti.<\/p>\n<h2>Cosa dovrebbero fare gli utenti di Nothing Chats<\/h2>\n<p>Se hai utilizzato l\u2019app <em>Nothing Chats<\/em>, procedi come segue:<\/p>\n<ul>\n<li>Accedi al tuo account ID Apple da un dispositivo attendibile, trova la pagina con le sessioni attive (i dispositivi a cui hai eseguito l\u2019accesso) ed elimina la sessione associata a <em>Nothing Chats\/Sunbird<\/em>.<\/li>\n<li>Modifica la password dell\u2019ID Apple. \u00c8 un account estremamente importante, quindi \u00e8 consigliabile utilizzare una sequenza di caratteri molto lunga e casuale: <a href=\"https:\/\/www.kaspersky.it\/password-manager?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a> pu\u00f2 aiutarti a generare una password affidabile e ad archiviarla in modo sicuro.<\/li>\n<li>Disinstalla l\u2019app <em>Nothing Chats<\/em>.<\/li>\n<li>Puoi quindi utilizzare uno strumento creato da <a href=\"https:\/\/twitter.com\/batuhan\/status\/1725985096463724838\" target=\"_blank\" rel=\"noopener nofollow\">uno dei ricercatori<\/a> per <a href=\"https:\/\/sunbird-poc.vercel.app\/nuke-data.html\" target=\"_blank\" rel=\"noopener nofollow\">rimuovere le informazioni dal database Firebase di Sunbird<\/a>.<\/li>\n<li>Se hai inviato informazioni sensibili tramite <em>Nothing Chats<\/em>, dovresti trattarle come compromesse e adottare le misure appropriate: modificare le password, riemettere le carte e cos\u00ec via. <a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> ti aiuter\u00e0 a tenere traccia di possibili violazioni dei tuoi dati personali collegati a indirizzi e-mail o numeri di telefono.<input type=\"hidden\" class=\"category_for_banner\" value=\"kpm\"><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;app Nothing Chats di Nothing Phone prometteva di essere l&#8217;iMessage per Android, ma in meno di 24 ore \u00e8 stata rimossa da Google Play a causa di una impressionante mancanza di sicurezza.<\/p>\n","protected":false},"author":2726,"featured_media":28260,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641,2194],"tags":[70,3,3754,114,3417,2197,3157,1722,62,111,45,3751],"class_list":{"0":"post-28255","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"category-privacy","10":"tag-android","11":"tag-apple","12":"tag-criptaggio-end-to-end","13":"tag-dispositivi-mobili","14":"tag-e2e","15":"tag-id-apple","16":"tag-imessage","17":"tag-messaggistica","18":"tag-password","19":"tag-privacy","20":"tag-sicurezza","21":"tag-strumenti-di-messaggistica"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/nothing-chats-imessage-for-android-security-disaster\/28255\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/nothing-chats-imessage-for-android-security-disaster\/26674\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/22099\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/11215\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/29424\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/nothing-chats-imessage-for-android-security-disaster\/26958\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/26871\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/nothing-chats-imessage-for-android-security-disaster\/29432\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/nothing-chats-imessage-for-android-security-disaster\/36609\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/nothing-chats-imessage-for-android-security-disaster\/11882\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/nothing-chats-imessage-for-android-security-disaster\/49895\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/nothing-chats-imessage-for-android-security-disaster\/21265\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nothing-chats-imessage-for-android-security-disaster\/22038\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/nothing-chats-imessage-for-android-security-disaster\/30712\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/nothing-chats-imessage-for-android-security-disaster\/35227\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/nothing-chats-imessage-for-android-security-disaster\/27227\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/nothing-chats-imessage-for-android-security-disaster\/32949\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/nothing-chats-imessage-for-android-security-disaster\/32598\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/strumenti-di-messaggistica\/","name":"strumenti di messaggistica"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=28255"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28255\/revisions"}],"predecessor-version":[{"id":28262,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28255\/revisions\/28262"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/28260"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=28255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=28255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=28255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}