Lo sviluppatore ha scoperto che l’app CMF è stata sviluppata in collaborazione con un’altra società, Jingxun, e che richiedeva la creazione di un account utilizzando un indirizzo email e una password, che venivano poi crittografati. Ma la vera rivelazione è stata che il modo per decrittografare i dati rimaneva visibile all’interno dell’app stessa, in modo che chiunque potesse ottenere quei dati, rendendo superflua la crittografia. Ha segnalato una vulnerabilità a Nothing, che però ha risolto solo parzialmente il problema e si continua a lavorare per risolverlo completamente: la crittografia delle password è stata aggiornata, mentre gli indirizzi email sono ancora vulnerabili. Questo non è certamente un ottimo biglietto da visita per un marchio emergente come CMF, e ancor meno per Nothing, che sembra scegliere i partner sbagliati per costruire le sue app.
Un altro scopo speciale per niente: è stata trovata una vulnerabilità in CMF
Nothing in the Storm: dopo aver attraversato un periodo difficile a novembre per Nothing Chats, Sunbird e aver tentato di portare iMessage su Android, ora si trova ad affrontare un altro momento di imbarazzo per CMF, il suo marchio secondario. CMF nasce con l’idea di rendere il design accessibile senza essere necessariamente costoso e allo stesso tempo garantendo un’esperienza d’uso focalizzata sulle principali funzioni del prodotto: per questo motivo i primi dispositivi da lui realizzati furono delle cuffie Bluetooth, un orologio connesso e un caricabatterie. In realtà, il problema deriva proprio dal suo smartwatch, o meglio dall’app dello smartwatch: sembra essere affetto da una vulnerabilità di sicurezza ed è stato scoperto dallo sviluppatore Dylan Russell, che ha annunciato il problema tramite un post su X.