Nothing, baru-baru ini telah mengeluarkan perbaikan terbagi untuk kerentanan keamanan yang berdampak pada aplikasi pelengkap CMF Watch Pro. Kelemahan terkait enkripsi mampu membocorkan alamat email dan password yang digunakan untuk mendaftarkan akun. Masalah telah hadir setelah aplikasi iMessage Nothing di Android dihapus karena tuduhan bahwa layanan tersebut tidak melakukan enkripsi pesan dan media seperti yang diiklankan oleh Nothing dan partnernya, Sunbird.
Dylan Roussel selaku kontributor 9to5Google, dalam thread terbaru di X menjelaskan bahwa aplikasi CMF Watch telah mengenkripsi alamat email dan password yang diberikan pengguna ketika mendaftarkan akun, sementara membuat dekripsi email dan password dengan kunci yang sama. Publikasi melaporkan bahwa dekripsi informasi pengguna juga ditemukan pada aplikasi Android, yang membuat semua bisa melihat detil tersebut.
Pada bulan September, Roussel telah mengatakan bahwa aplikasi CMF Watch dikembangkan oleh perusahaan Jingxun asal China, dan mereferensikan perusahaan telah terlihat dalam aplikasi. Pada waktu itu, ia mengatakan bahwa situs perusahaan juga mendaftarkan OnePlus sebagai salah satu partnernya, bersama dengan Sony, Philips, dan Toshiba.
Berbulan-bulan setelah kerentanan ini dilaporkan, CMF dari Nothing mengatakan pada publikasi bahwa mereka sedang mengerjakan kelemahan keamanan yang dikatakan oleh Roussel. Perusahaan mengatakan pada 9to5Google bahwa pembaruan OTA akan keluar ke pengguna CMF Watch Pro untuk menyelesaikan masalah yang ada.
Perlu menjadi catatan bahwa Nothing baru-baru ini telah terjebak pada kontroversi privasi ketikan perusahaan merilis aplikasi Nothing Chat dalam beta, menjanjikan pengguna Nothing Phone 2 akses ke layanan pesan milik Apple. Setelah beberapa masalah dengan privasi dan keamanan timbul secara online, perusahaan menarik aplikasinya dari PlayStore, sementara SunBird juga menginformasikan bahwa mereka menghentikan sementara akses ke layanan mereka.
