Det har gått åt pipsvängen med Nothings försök att föra Imessage till företagets senaste telefon. Inte nog med att Apple strax efter Nothings tillkännagivande berättade att Iphones kommer få stöd för RCS; själva appen visade sig dessutom ha kraftigt bristande säkerhet.

Så pass att Nothing redan tagit bort meddelandeappen från Play Store, bara en dag efter att den släpptes. Både Nothing och samarbetspartnern Sunbird utlovade end-to-end-krypterade meddelanden och att inga meddelanden lagras, vilket snabbt visade sig vara felaktigt.

Första säkerhetsmissen som upptäcktes var att inloggningsuppgifterna för Apple-id initialt skickas via HTTP och inte via säkra HTTPS. Större problem uppdagades. Data som skickas är inte end-to-end-krypterad utan lagras som okrypterad vanlig text på en Firebase-server.

Sunbird har enligt utsago tillgång till varje skickat meddelande, tvärtemot vad som påståtts av utvecklaren. Angripare med rätt förkunskaper sägs därtill kunna få tag på andras skickade meddelanden, inklusive bilder. Nothing hoppades att Imessage-stödet skulle bli ett unikt försäljningsargument, generera publicitet och stärka varumärket. Publicitet har för all del skapats, men av oönskat slag.

Frågan är om ”Nothing Chats” kan räddas efter den här fadäsen, även om säkerhetsluckorna täpps till. Att Nothing inte verkar ha gjort en egen oberoende undersökning av säkerheten i Sunbirds lösning innan lanseringen är oroväckande. Om en sådan granskning faktiskt genomförts har den i vilket fall varit bristfällig.

Både Nothing Chats och Sunbird bör sannolikt undvikas i framtiden för att vara på säkra sidan, även om appen återlanseras.