In den letzten Wochen hatte das in London ansässige Technologie-Startup Nothing mit Sicherheitsproblemen zu kämpfen. Zuvor hatte sich das von Carl Pei geführte Unternehmen mit Sunbird zusammengetan, um Nothing Chats zu starten, mit denen Benutzer von Nothing Phone (2) über iMessage chatten konnten blaue Blasen. Es gab zahlreiche Sicherheitsprobleme und der Dienst wurde später vom Unternehmen eingestellt. Nun steht Nothing vor einer weiteren Sicherheitsherausforderung. Vor einigen Monaten stellte das Unternehmen seine Submarke CMF vor, die sich hauptsächlich auf erschwingliche Produkte wie Smartwatches, Ohrhörer und Ladegeräte konzentriert. Laut einem Bericht von 9to5Google weist die CMF Watch-App, die zur Einrichtung und Steuerung der Smartwatch verwendet wird, einige Sicherheitsprobleme auf.
Ein Benutzer namens Dylan Roussel nutzte die Social-Media-Plattform X, um Details zu einer teilweise behobenen Sicherheitslücke in der CMF Watch-App preiszugeben. Der X-Beitrag behauptet, dass die Sicherheitslücke die E-Mail-Adressen und Passwörter von Benutzern offenlegen kann.
Wie sich diese Sicherheitslücke auf Benutzer auswirken kann
Roussels erster Entdeckung zufolge hat Nothing die App mit Hilfe einer separaten Firma namens „Jingxun“ entwickelt. Im X-Beitrag erklärte er, dass die CMF Watch-App Benutzer auffordert, ein Konto mit einer E-Mail-Adresse und einem Passwort zu erstellen. In der Zwischenzeit verschlüsselt die App Benutzerdaten aus Datenschutzgründen.
Allerdings behauptet Roussel, dass die App auch die Entschlüsselungsmethode für die in der App verfügbaren Daten biete. Dies bedeutet, dass Hacker auch über die App auf diese sensiblen Informationen zugreifen können. Die in der App verfügbare Entschlüsselungsmethode macht die Verschlüsselung praktisch nutzlos.Was zu diesem Thema nichts zu sagen hat
Dieses Problem wurde Nothing erstmals im September gemeldet. Seitdem hat das Unternehmen das Problem teilweise behoben. Nichts hat die Verschlüsselungsmethode für das Passwort in den neuesten Versionen der App aktualisiert. Allerdings sind die registrierten E-Mail-Adressen technisch weiterhin gefährdet.In einer Erklärung gegenüber 9to5Google sagte Nothing, dass man „derzeit daran arbeite“, die verbleibenden Probleme zu beheben, und bekräftigte, dass das ursprüngliche Problem behoben sei. Noch wichtiger ist, dass Nothing auch eine Anlaufstelle für Sicherheitslücken benannt hat.Das Unternehmen sagte: „CMF nimmt Datenschutzbelange sehr ernst und das Team untersucht Sicherheitsbedenken bezüglich der Watch-App. Wir haben Anfang des Jahres anfängliche Bedenken hinsichtlich der Berechtigung ausgeräumt und arbeiten derzeit an der Lösung der aufgeworfenen Probleme. Sobald dieser nächste Fix abgeschlossen ist, werden wir ein OTA-Update für alle CMF Watch Pro-Benutzer bereitstellen. Sicherheitsberichte können jetzt einfacher über eingereicht werden.“
FacebookTwitterLinkedin
Ende des Artikels