News

Καμία εφαρμογή CMF Watch δεν είχε ανησυχητικό πρόβλημα ασφαλείας

By

Marizas Dimitris

On

Δεκ 4, 2023

Το Nothing Phone (2) διαθέτει εκπληκ

τι

κό λογισμικό όσον αφορά την εμπειρία χρήστη, αλλά η εταιρεία αρχίζει να αναπτύσσει ένα μικρό ιστορικό σχετικά με ανησυχητικά προβλήματα ασφαλείας, με το πιο πρόσφατο παράδειγμα να προέρχεται από την υπο-μάρκα CMF της εταιρείας.

Η CMF είναι μέρος της επωνυμίας της Nothing, η οποία επικεντρώνεται στην παροχή προϊόντων πολύ χαμηλού κόστους, συμπεριλαμβανομένου ενός smartwatch 69 $. Αυτό το ρολόι συνδέεται μέσω μιας

εφαρμογή

ς που χρησιμοποιείται για ρύθμιση και ορισμένων στοιχείων ελέγχου, αλλά αυτή η εφαρμογή είχε ένα ανησυχητικό πρόβλημα ασφαλείας στα παρασκήνια.

Όπως εντόπισε

9to5Google

συνεργάτης Dylan Roussel και

αναλυτικά σε ένα νήμα στο Twitter/X

,

την εφαρμογή CMF Watch

έχει επιδιορθώσει εν μέρει μια ευπάθεια ασφαλείας που θα μπορούσε να εκθέσει τις διευθύνσεις

email

και τους κωδικούς πρόσβασης των χρηστών.

Η ίδια η εφαρμογή, όπως ανακάλυψε αρχικά ο Dylan, αναπτύχθηκε με τη βοήθεια μιας ξεχωριστής εταιρείας, της “Jingxun”. Αυτό από μόνο του δεν είναι πραγματικά πρόβλημα, αλλά η ευπάθεια βρίσκεται λίγο πιο βαθιά μέσα στην εφαρμογή. Όπως εξηγεί ο Dylan, η εφαρμογή CMF

Watch

απαιτεί από τους χρήστες να δημιουργήσουν έναν λογαριασμό με μια διεύθυνση email και έναν κωδικό πρόσβασης και στη συνέχεια η εφαρμογή κρυπτογραφεί αυτά τα δεδομένα, κάτι που είναι καλό. Ωστόσο, η εφαρμογή άφησε επίσης τη μέθοδο αποκρυπτογράφησης για αυτά τα δεδομένα διαθέσιμη στην εφαρμογή, πράγμα που σημαίνει ότι δεν θα χρειαζόταν πολύ για ένα κακόβουλο μέρος για να αποκτήσει πρόσβαση σε αυτές τις ευαίσθητες πληροφορίες.

Ουσιαστικά, έκανε την κρυπτογράφηση πρακτικά άχρηστη.

Ουσιαστικά, όποιος είχε στα χέρια του ένα κρυπτογραφημένο email και έναν κωδικό πρόσβασης θα μπορούσε να τα αποκρυπτογραφήσει, κάτι που ουσιαστικά έκανε την κρυπτογράφηση άχρηστη.

Αυτό βρέθηκε με τη βοήθεια του

@linuxct

.

— Dylan Roussel (@evowizz)

1 Δεκεμβρίου 2023

9to5Google

βοήθησε τον Dylan να αναφέρει το ζήτημα στο Nothing τον Σεπτέμβριο, καθώς, εκείνη την εποχή, το Nothing δεν είχε άμεσο σημείο

επα

φής για ευπάθειες ασφάλειας/απόρρητου.

Έκτοτε, η εταιρεία έχει επιλύσει εν μέρει το πρόβλημα, καθώς στις πιο πρόσφατες εκδόσεις της εφαρμογής η μέθοδος κρυπτογράφησης για τον κωδικό πρόσβασης έχει ενημερωθεί, αν και η διεύθυνση ηλεκτρονικού ταχυδρομείου εξακολουθεί τεχνικά να βρίσκεται σε κίνδυνο.

Μιλώντας σε

9to5Google

Αυτή την εβδομάδα, το Nothing δεν λέει ότι «εργάζεται αυτήν τη στιγμή» για να διορθωθούν τα υπόλοιπα ζητήματα και επανέλαβε ότι το αρχικό πρόβλημα διορθώθηκε. Το πιο σημαντικό, τίποτα δεν άνοιξε έκτοτε ένα σημείο επαφής για τρωτά σημεία ασφαλείας.

Η CMF λαμβάνει πολύ σοβαρά τα ζητήματα απορρήτου και η ομάδα ερευνά ανησυχίες για την ασφάλεια σχετικά με την εφαρμογή Watch. Διορθώσαμε τις αρχικές ανησυχίες σχετικά με τα διαπιστευτήρια νωρίτερα μέσα στο έτος και επί του παρόντος εργαζόμαστε για να επιλύσουμε τα ζητήματα που τέθηκαν. Μόλις ολοκληρωθεί αυτή η επόμενη επιδιόρθωση, θα διαθέσουμε μια ενημέρωση OTA σε όλους τους χρήστες του CMF Watch Pro. Οι αναφορές ασφαλείας μπορούν πλέον να υποβάλλονται πιο εύκολα μέσω

https://intl.cmf.tech/pages/vulnerability-report

.

Σημειωτέον, δεν είναι μόνο μια ευπάθεια

σημείο επαφής διαθέσιμο για CMF

αλλά

επίσης για το ίδιο το Τίποτα

.

Αν και αυτό το ζήτημα δεν ήταν τόσο επιδραστικό όσο τα τεύχη Nothing Chats/Sunbird από τον Νοέμβριο, δείχνει μια ανησυχητική τάση με το Nothing καθώς, τουλάχιστον δύο φορές τώρα, οι συνεργάτες της εταιρείας έχουν αφήσει κενά στην ασφάλεια που η ίδια η Nothing πιθανώς θα έπρεπε να είχε μπορέσει αναγνωρίζω. Αλλά, τουλάχιστον, η εταιρεία φαίνεται να ωθεί τα πράγματα προς τη σωστή κατεύθυνση.