Oczywiście programu nie stworzono we współpracy z Apple. Zamiast tego, Nothing zwróciło się do startupu Sunbird, który od jakiegoś czasu prowadził zamknięte testy swojej aplikacji oferującej komunikację z użytkownikami iMessage. Jak? Firma po prostu stworzyła farmę komputerów Mac, na których zdalnie loguje się podanymi przez nas danymi do iMessage i następnie synchronizuje iMessage na tych komputerach z danymi w aplikacji dla Androida.

Niestety, dość szybko okazało się, że Sunbird nie przyłożył się za bardzo do kwestii bezpieczeństwa komunikacji. O ile bowiem iMessage jako takie jest szyfrowane end-to-end, to komunikacja pomiędzy komputerami Mac z farmy i telefonami użytkowników już nie jest szyfrowana w ten sposób. Co gorsza, pierwsze zapytanie z tokenem dostępu w ogóle nie było szyfrowane (nawet poprzez zastosowanie HTTPS), a wszystkie wysłane wiadomości i pliki były zapisywane (również niezaszyfrowane) w osobnej bazie w usłudze Firebase. Nie były tam też w żaden sposób zabezpieczone przed niepowołanym dostępem, więc dowolny użytkownik znający parametry zapytań mógł uzyskać do nich dostęp (o pracownikach Nothing czy Sunbird nie wspominając).

Kiedy internet zalały doniesienia o wspomnianych wyżej dziurach, Nothing szybko wycofał aplikację Chats z Google Play. Firma nie przyznała się jednak do tych rażących błędów, tylko wykręciła się konieczność naprawy bliżej nieokreślonych błędów. Sunbird natomiast praktycznie w ogóle nie odnosi się całej sprawy.

Źródło: Android Police