Uma análise de segurança conduzida pela Cybernews identificou fragilidades relevantes no Nothing Phone 3a, smartphone que utiliza chipsets Qualcomm. De acordo com os investigadores, o dispositivo conecta-se aos servidores de Mobile Device Management da Qualcomm utilizando hashes MD5, um método considerado obsoleto devido à elevada probabilidade de colisões e vulnerabilidades conhecidas. Este sistema pode permitir que atacantes imitem outros dispositivos ou que configurações incorretas sejam enviadas inadvertidamente para terminais errados.
Outra vulnerabilidade está na aplicação de meteorologia do dispositivo, que utiliza uma única chave de API da AccuWeather partilhada por todos os utilizadores. Caso essa chave seja extraída, poderá ser usada para fazer pedidos ilimitados como se fossem originados pela aplicação, resultando em custos adicionais ou esgotamento da quota da Nothing.
A investigação revelou ainda que o smartphone envia periodicamente dados de telemetria para servidores da Google, Nothing e Qualcomm. “A arquitetura inerente dos Google Mobile Services não dá aos utilizadores grande margem de escolha ou controlo sobre funcionalidades consideradas essenciais. Atualizações futuras podem ser enviadas para os dispositivos sem conhecimento ou ação do utilizador”, afirmou Aras Nazarovas, investigador de segurança da Cybernews.
No plano físico, o Nothing Phone 3a obteve resultados positivos: quando bloqueado, a porta USB fica limitada a carregamento, desativando sinais de dados e prevenindo ataques via portas maliciosas. Contudo, os atalhos de definições rápidas continuam acessíveis mesmo com o dispositivo bloqueado, uma característica comum nos equipamentos Android.
