Raporlar, hata imha çalışmaları nedeniyle lansmanın ertelendiğini gösteriyor. Uygulama, iMessage ile mesajlaşmak için kullanıcıların iCloud hesaplarına erişim gerektiriyordu. Texts.blog Nothing Chats'i Sunbird uygulamasının yeniden düzenlenmiş, güvensiz bir versiyonu olarak nitelendirdi.

Texts.com'un tersine mühendislik ekibi yaptığı araştırmada Sunbird ve Nothing Chats uygulamalarının Apple ID kimlik bilgilerinin sunuculara gönderilmesini gerektirdiğini tespit etti. İlk bulgular, Nothing'in sürümünü etkileyen güvenlik açıklarını ortaya çıkardı.

Ekip, önemli kimlik bilgilerinin şifrelenmemiş bir kanal (HTTP) üzerinden gönderilmesi de dahil olmak üzere güvenlik sorunları keşfetti. Sunbird'ün ISO27001 sertifikası olduğunu iddia etmesine rağmen, soruşturma uçtan uca şifreleme hakkında yanıltıcı bilgiler ortaya çıkardı.

Sunbird sunucularına gönderilen mesajlar şifrelenmişti, ancak JSON Web Token'ları (JWT) şifrelenmeden başka bir Sunbird sunucusuna gönderiliyordu, bu da onları müdahaleye açık hale getiriyordu.

Mesajların şifresi çözüldü ve yetkisiz erişime açık Sunbird sunucularında saklandı. Texts.com JWT'leri ele geçirerek Firebase gerçek zamanlı veritabanına ve kullanıcı bilgilerine sadece 23 satır kodla erişim sağladı.

Gizlilik sorunlarından doğrudan Sunbird sorumlu olsa da, Nothing onlarla çalıştığı ve durumu "hata" olarak küçümsediği için eleştiri aldı. Nothing Chats'in bu güvenlik endişelerini giderip gideremeyeceği ve Play Store'a başarılı bir şekilde geri dönüp dönemeyeceği belirsizliğini koruyor.