Auch bei der Watch-App Nothing CMF wurden Sicherheitslücken festgestellt

0

Die Nothing Phone (1) und (2) wurden in der Vergangenheit dafür gelobt, dass sie über eine saubere – fast serienmäßige Android-Software – mit toller Anpassung des Startbildschirms verfügen, und das ist seit dem ersten Vorstoß des Unternehmens in den Smartphone-OEM-Bereich der Fall. Doch so vielversprechend das auch war, das Unternehmen hatte in Sachen Sicherheit keinen guten Monat.

Nach dem Nothing-Chats-Debakel, das eine Lawine von Problemen für das Unternehmen auslöste, steht Nothing vor einer weiteren Sicherheitsherausforderung. Unter der Lupe steht dieses Mal die kürzlich eingeführte Untermarke CMF von Nothing, die sich auf erschwingliche Produkte wie Smartwatches, Ohrhörer und Ladegeräte konzentriert. Das Problem ist insbesondere auf die CMF Watch-App zurückzuführen, bei der festgestellt wurde, dass sie eine Schwachstelle aufwies, durch die E-Mail-Adressen und Passwörter von Benutzern offengelegt werden konnten.
Genau wie bei Nothing Chats wurde die Schwachstelle in der CMF Watch-App von Dylan Roussel entdeckt und dem Unternehmen umgehend gemeldet, der seine Ergebnisse regelmäßig auf postet X/Twitter Und 9to5Google. In diesem Fall entdeckte er das Problem bereits im September, wie er im folgenden Thread sorgfältig dokumentierte.
Quelle – Dylan Roussel | X – Es wurden ebenfalls Sicherheitslücken in der Watch-App Nothing CMF festgestellt

Quelle – Dylan Roussel | X

Für die CMF Watch-App mussten Benutzer ein Konto mit einer E-Mail-Adresse und einem Passwort erstellen, und die App verschlüsselte diese Daten dann. Die App ließ jedoch auch die Entschlüsselungsmethode für diese Daten in der App selbst verfügbar. Dies bedeutete, dass ein böswilliger Akteur leicht auf diese sensiblen Informationen zugreifen konnte.

Das Unternehmen hat das Problem inzwischen teilweise behoben, indem es die Verschlüsselungsmethode für das Passwort aktualisiert hat, die E-Mail-Adresse ist jedoch technisch immer noch gefährdet. In einer Erklärung gegenüber 9to5Google gab Nothing jedoch an, dass man „derzeit daran arbeite“, die verbleibenden Probleme zu beheben, und habe seitdem eine Anlaufstelle für Sicherheitslücken eröffnet.

CMF nimmt Datenschutzbelange sehr ernst und das Team untersucht Sicherheitsbedenken hinsichtlich der Watch-App. Wir haben Anfang des Jahres anfängliche Bedenken hinsichtlich der Berechtigung ausgeräumt und arbeiten derzeit an der Lösung der aufgeworfenen Probleme. Sobald dieser nächste Fix abgeschlossen ist, werden wir ein OTA-Update für alle CMF Watch Pro-Benutzer bereitstellen. Sicherheitsberichte können jetzt einfacher über https://intl.cmf.tech/pages/vulnerability-report eingereicht werden.

Obwohl es eine gute Nachricht ist, dass Nothing das Problem erkannt hat und die notwendigen Schritte unternimmt, um es zu beheben, ist es etwas besorgniserregend, dass sich das Unternehmen weiterhin in dieser Situation befindet. Als relativ neuer OEM und vor allem als einer, der versucht, eine neue Untermarke auf den Markt zu bringen, sind Sicherheitslücken nicht gerade erfreulich. Hoffentlich haben Carl Pei und sein Team aus dieser Erfahrung gelernt und können die Sicherheit ihrer Apps besser gewährleisten, insbesondere wenn ein Drittunternehmen an dem Prozess beteiligt ist.

Bildnachweis für Header: https://intl.cmf.tech/


source site-33