Η εφαρμογή ρολογιού Nothing CMF ανακαλύφθηκε επίσης ότι έχει ελαττώματα ασφαλείας

By

Marizas Dimitris

On

Δεκ 5, 2023

Τα

Nothing

Phone (1) και (2) έχουν

επα

ινεθεί στο παρελθόν για το καθαρό —σχεδόν απόθεμα Android-ish — λογισμικό με εξαιρετική προσαρμογή της αρχικής οθόνης, και αυτό συνέβη από την πρώτη εισβολή της εταιρείας στην αρένα των smartphone OEM. Ωστόσο, όσο πολλά υποσχόμενο κι αν ήταν αυτό, η εταιρεία δεν είχε έναν υπέροχο μήνα όσον αφορά την ασφάλεια.

Μετά την καταστροφή του Nothing Chats που εξαπέλυσε μια χιονοστιβάδα ζητημάτων για την εταιρεία, το Nothing αντιμετωπίζει ακόμη μια πρόκληση ασφαλείας. Στο μικροσκόπιο αυτή τη φορά βρίσκεται η υπο-μάρκα CMF που κυκλοφόρησε πρόσφατα η Nothing, η οποία εστιάζει σε προσιτά

προϊόντα

όπως smartwatches,

ακουστικά

και φορτιστές. Το ζήτημα προέρχεται συγκεκριμένα, από την εφαρμογή CMF

Watch

, η οποία διαπιστώθηκε ότι είχε μια ευπάθεια που θα μπορούσε να εκθέσει τις διευθύνσεις email και τους κωδικούς πρόσβασης των χρηστών.

Όπως και με το Nothing Chats, η ευπάθεια με την εφαρμογή CMF Watch ανακαλύφθηκε και αναφέρθηκε γρήγορα στην εταιρεία από τον Dylan Roussel, ο οποίος δημοσιεύει τακτικά τα ευρήματά του στο

X/Twitter

και

9to5Google

. Σε αυτή την περίπτωση, βρήκε το θέμα τον Σεπτέμβριο, όπως κατέγραψε με κόπο στο παρακάτω νήμα.

Η εφαρμογή ρολογιού Nothing CMF ανακαλύφθηκε επίσης ότι έχει ελαττώματα ασφαλείας, Η εφαρμογή ρολογιού Nothing CMF ανακαλύφθηκε επίσης ότι έχει ελαττώματα ασφαλείας, TechWar.gr

Πηγή – Dylan Roussel | Χ

Η εφαρμογή CMF Watch απαιτούσε από τους χρήστες να δημιουργήσουν έναν λογαριασμό με διεύθυνση ηλεκτρονικού ταχυδρομείου και κωδικό πρόσβασης και στη συνέχεια η εφαρμογή κρυπτογραφούσε αυτά τα δεδομένα. Ωστόσο, η εφαρμογή άφησε επίσης τη μέθοδο αποκρυπτογράφησης για αυτά τα δεδομένα διαθέσιμη στην ίδια την εφαρμογή. Αυτό σήμαινε ότι ένας κακόβουλος παράγοντας μπορούσε εύκολα να έχει πρόσβαση σε αυτές τις ευαίσθητες πληροφορίες.

Έκτοτε, η εταιρεία έχει επιλύσει εν μέρει το πρόβλημα ενημερώνοντας τη μέθοδο κρυπτογράφησης για τον κωδικό πρόσβασης, αλλά η διεύθυνση ηλεκτρονικού ταχυδρομείου εξακολουθεί να είναι τεχνικά σε κίνδυνο. Ωστόσο, σε μια δήλωση στο 9to5Google, η Nothing δήλωσε ότι «εργάζεται επί του παρόντος» για να διορθώσει τα υπόλοιπα ζητήματα και έκτοτε άνοιξε ένα σημείο επαφής για ευπάθειες ασφαλείας.

Η CMF λαμβάνει πολύ σοβαρά τα ζητήματα απορρήτου και η ομάδα ερευνά ανησυχίες για την ασφάλεια σχετικά με την εφαρμογή Watch. Διορθώσαμε τις αρχικές ανησυχίες σχετικά με τα διαπιστευτήρια νωρίτερα μέσα στο έτος και επί του παρόντος εργαζόμαστε για να επιλύσουμε τα ζητήματα που τέθηκαν. Μόλις ολοκληρωθεί αυτή η επόμενη επιδιόρθωση, θα διαθέσουμε μια ενημέρωση OTA σε όλους τους χρήστες του CMF Watch Pro. Οι αναφορές ασφαλείας μπορούν πλέον να υποβάλλονται πιο εύκολα μέσω της https://intl.cmf.tech/pages/vulnerability-report.

Ενώ είναι σπουδαίο νέο ότι η Nothing έχει αναγνωρίσει το ζήτημα και λαμβάνει τα απαραίτητα μέτρα για να το διορθώσει, είναι κάπως ανησυχητικό το γεγονός ότι η εταιρεία συνεχίζει να βρίσκεται σε αυτή τη θέση. Ως σχετικά νέος ΚΑΕ, και ειδικά αυτός που προσπαθεί να αποκτήσει μια νέα υπο-μάρκα από το έδαφος, το να υπάρχουν κενά στην ασφάλειά τους δεν είναι καλή εμφάνιση. Ας ελπίσουμε ότι ο Carl Pei και η ομάδα του έχουν διδαχθεί από αυτήν την εμπειρία και κάνουν καλύτερη δουλειά διασφαλίζοντας ότι οι εφαρμογές τους είναι ασφαλείς, ειδικά όταν μια εταιρεία τρίτου μέρους εμπλέκεται στη διαδικασία.

Πίστωση εικόνας κεφαλίδας: https://intl.cmf.tech/

VIA:

phonearena.com

Παρόμοια άρθρα