Abbiamo visto come quest’estate Nothing, l’ormai nota azienda di Carl Pei, abbia lanciato il proprio sub brand CMF by Nothing con il quale la società si propone l’obbiettivo di rendere disponibile per gli utenti una serie innovativa di prodotti economici, che al contempo possano vantare l’iconico design dei dispositivi dell’azienda. Qualche mese più tardi abbiamo visto come Nothing abbia portato il brand CMF in molti più mercati, Italia inclusa.
Uno dei prodotti del neonato brand è uno smartwatch economico, il dispositivo utilizza un’app proprietaria per l’associazione allo smartphone, la configurazione e la gestione di alcuni controlli; purtroppo è emerso che l’applicazione in questione presentava alcuni gravi problemi lato sicurezza, alcuni dei quali sono stati già fortunatamente risolti da Nothing stessa. Vediamo qualche dettaglio.
Nothing risolve un problema nell’app CMF Watch e propone un nuovo metodo per effettuare le segnalazioni
La notizia delle vulnerabilità riscontrate nell’app CMF Watch non è nuova, risale infatti al mese di settembre la segnalazione dello sviluppatore Dylan Roussel (collaboratore dei colleghi di 9to5Google) sul social network X (ex Twitter); dalle ricerche condotte è emerso come Nothing si fosse affidata ad un’azienda esterna per lo sviluppo dell’applicazione in questione, Jingxun, il che non è poi una pratica così strana o estranea anche ad altri brand.
Il problema di base sta nel lavoro condotto da questa società che non ha prestato attenzione ad alcuni importanti dettagli dal punto di vista della sicurezza, dettagli che volendo dirla tutta sono sfuggiti anche alla stessa Nothing: l’app CMF Watch per poter essere utilizzata richiede agli utenti di creare un account con un indirizzo email e una password, si preoccupa di crittografare tali dati, ma lascia la chiave di decrittazione sul dispositivo stesso vanificando di fatto la procedura di crittografia dei dati ed esponendo questi ad eventuali malintenzionati.
Lo sviluppatore ha inoltre riscontrato diverse difficoltà per poter segnalare all’azienda quanto emerso dalle proprie ricerche, Nothing non aveva infatti ancora predisposto alcuna procedura per consentire agli utenti di segnalare casistiche simili ma fortunatamente qualcosa è cambiato. In seguito alla segnalazione e grazie ad una serie di aggiornamenti, nelle ultime versioni dell’app CMF Watch il metodo di crittografia della password è stato aggiornato, anche se tecnicamente l’indirizzo e-mail è ancora a rischio.
I colleghi sopra menzionati hanno interpellato l’azienda al riguardo, Nothing ha riconosciuto il problema asserendo al contempo di essere al lavoro per risolvere i problemi rimanenti, inoltre la società ha provveduto a predisporre un punto di contatto per la segnalazione delle vulnerabilità della sicurezza:
CMF prende molto sul serio le questioni relative alla privacy e il team sta indagando sui problemi di sicurezza relativi all’app Watch. Abbiamo risolto i dubbi iniziali sulle credenziali all’inizio dell’anno e stiamo attualmente lavorando per risolvere i problemi sollevati. Non appena la prossima correzione sarà completata, distribuiremo un aggiornamento OTA a tutti gli utenti di CMF Watch Pro. I rapporti sulla sicurezza ora possono essere inviati più facilmente tramite https://intl.cmf.tech/pages/vulnerability-report .
Ben venga dunque l’intervento di Nothing per risolvere, almeno in parte, i problemi riscontrati nell’app CMF, anche se volendo cercare il pelo nell’uovo questa non è la prima volta che un partner esterno dell’azienda fornisce un prodotto afflitto da problemi di sicurezza, è infatti già capitato con l’app Nothing Chats. Non ci resta che attendere per scoprire quando Nothing risolverà gli altri problemi che ancora permangono nell’app CMF Watch.
Potrebbe interessarti anche: Nothing come Google? Potrebbe arrivare un Nothing Phone (2a)