Sunbird — схематичное приложение iMessage для Android — просто закрылось

Дядя Влад
Приложение сообщений Sunbird для Android
Надим Сарвар / Digital Trends

То, что должно было стать спасителем iMessage для пользователей Android-смартфонов, быстро исчезло в хаосе безопасности и полной небрежности . Всего через несколько дней после того, как приложение Nothing Chats было удалено из Play Store, технология, лежащая в его основе, предоставленная Sunbird, также уходит в неуказанный отпуск, что усиливает подозрения в том, что что-то серьезно не так.

Sunbird появился на нашем радаре в конце прошлого года, обещая синие пузыри для сообщений между Android и iPhone. Также было обещано объединить все приложения для обмена сообщениями в один кластер, что-то вроде Beeper . Компания Nothing внедрила технологию Sunbird, включила ее в собственное приложение для Nothing Phone 2 и выпустила амбициозный видеоролик. — Прости, Тим. Именно такое сообщение отправил генеральный директор Nothing Карл Пей.

Достаньте синие пузыри.

Мы верим в окна, а не в стены. Если службы обмена сообщениями разделяют пользователей телефонов, мы хотим разрушить эти барьеры.

Итак… мы разработали совместимость iMessage для вашего телефона (2). pic.twitter.com/kArtGfXlQO

— Ничего (@nothing) 14 ноября 2023 г.

На выходных я заметил, что в Google Play Store приложения Sunbird отображается пустая страница. Изначально я думал, что он недоступен из-за некоторых географических ограничений. Компания не делала публичных заявлений по этому поводу, за исключением уведомления участников на канале Sunbird Discord.

«Мы временно отключили приложение Sunbird, пока проводим подробный анализ безопасности», — говорится в предупреждении, добавляя, что компания предоставит дополнительную информацию, когда определит «точные случаи».

Объявление Sunbird Discord 1. Объявление Sunbird Discord 2. Объявление Sunbird Discord 3.

Интересно, что это открытие было впервые сделано на канале объявлений для разработчиков в сети Sunbird Discord. «Из соображений предосторожности и для защиты ваших конфиденциальных данных мы временно закрываем Sunbird», — говорится в сообщении.

Чего я не могу понять, так это того, почему потребовался целый день, чтобы опубликовать ту же информацию в общедоступном канале. И, прежде всего, почему Sunbird не сделала объявления на своих активных страницах в Facebook и X (ранее Twitter)?

В сообщении, которое появилось сегодня на общедоступном канале Discord, Sunbird только сказала, что «многое происходит», но не предоставила никаких дополнительных технических подробностей или прогресса в снижении рисков. «Мы решили на данный момент приостановить использование Sunbird, пока исследуем проблемы безопасности», — говорится в сообщении.

Компания Digital Trends обратилась к техническому руководителю Sunbird Гарину за дополнительной информацией и обновит эту историю, как только они ответят.

Sunbird начала уведомлять пользователей только через сообщение в приложении. Ранее сегодня 9to5Google обнаружил уведомления в приложении от пользователей Sunbird, опубликованные на Reddit , уведомляющие их о том, что приложение временно приостановлено. Это то же самое сообщение, которое впервые было опубликовано в сообществе Discord.

Риски безопасности

Заставка Nothing Chats в приложении.
Энди Боксалл / Цифровые тенденции

Специалисты по безопасности Texts обнаружили, что приложение для обмена сообщениями Nothing Chats не использует протоколы безопасности HTTPS для своих сообщений. Вместо этого он использовал менее безопасный стандарт HTTP, передавая сообщения в незашифрованном виде в виде обычного текста. Если история научила нас чему-нибудь о цифровой безопасности, простой текст — это плохая новость.

Отдельное расследование показало, что все виды общения через Nothing Chats, включая текст, изображения и другие медиа-файлы, отправлялись в этом незащищенном, легко видимом формате. Кроме того, было обнаружено, что все сообщения, отправленные и сохраненные в Nothing Chats, были незашифрованными и размещались на легкодоступной платформе Firebase.

Дальнейшие исследования показали, что после аутентификации пользователей с использованием веб-токенов JSON (JWT), которые не защищены во время передачи, они получают доступ к базе данных Firebase Nothing Chat. Этот доступ позволяет им просматривать сообщения и файлы других пользователей, которые отправляются и сохраняются в режиме реального времени и в виде обычного текста.

Nothing Chats на Nothing Phone 2 по сравнению с iMessage на iPhone 15 Pro Max.
iMessage на iPhone 15 Pro Max (слева) и Nothing Chats на телефоне Nothing 2 Энди Боксалл / Digital Trends

Все это вызывает огромную тревогу по поводу приложения Sunbird (и Nothings Chats) . Это особенно тревожно, когда он запрашивает ваши учетные данные Apple ID, волшебный токен, который связывает все, от вашей электронной почты и личных фотографий, до ваших банковских реквизитов.

Было бы интересно посмотреть, куда дальше пойдут Nothing и Sunbird. Но поскольку Apple внедрила RCS и заполнила пробел в функциях обмена сообщениями Android-iPhone, я не думаю, что стоит рисковать вашей конфиденциальностью и безопасностью данных из-за взлома, который дает вам синие пузыри в чате.