Sunbird — недостоверное приложение для Android, iMessage — прекратило работу | ENBLE
Sunbird - не надежное приложение на Android, iMessage - перестало функционировать | ENBLE
То, что должно было стать искуплением для пользователей Android-смартфонов вроде iMessage, быстро оказалось в хаосе безопасности и полного безразличия. Чуть ли не день после того, как приложение Nothing Chats было удалено из Play Store, технология Sunbird, на которой оно основывалось, также решила взять неопределенный отпуск, усиливая подозрения, что что-то серьезно не так.
Sunbird появился на нашем радаре в конце прошлого года, обещая голубые пузырьки для сообщений между Android и iPhone. Он также обещал объединить все приложения для обмена сообщениями в одну кластер, похожую на Beeper. Nothing взял технологию Sunbird, упаковал ее в свое собственное приложение для телефона Nothing Phone 2 и запустил это с амбициозным видео. “Прости, Тим”. Это сообщение отправил глава Nothing Карл Пей.
В выходные я заметил, что страница приложения Sunbird на Google Play Store вернулась пустой. Изначально я подумал, что это связано с некоторыми географическими ограничениями. Компания не сделала никакого публичного объявления об этом, кроме уведомления участников в канале Sunbird Discord.
“Мы временно отключили приложение Sunbird, пока проводим подробный анализ безопасности”, – гласило оповещение, добавляя, что компания предоставит дополнительные подробности, когда определит “точное происхождение”.
Интересно, что такое раскрытие впервые было сделано в канале dev-announcements сети Discord Sunbird. “Из предосторожности и для защиты ваших конфиденциальных данных мы временно приостанавливаем Sunbird”, – говорится в нем.
- Почему добавление RCS от Apple не изменит драму синего и зеленого п...
- Samsung расширяет распродажу в Черную пятницу с большими скидками н...
- «Сделка Motorola на раскладной телефон за 499 долларов – это ...
Я не мог понять, почему на это ушел целый день, чтобы передать такую же информацию в публичный канал. И, что самое главное, почему Sunbird не сделал объявление на своих активных страницах в Facebook и X (ранее Twitter)?
В сообщении, которое появилось сегодня в публичном канале Discord, Sunbird лишь сказал “много всего происходит”, но не предоставил никаких технических подробностей или информации о продвижении устранения рисков. “Мы решили приостановить использование Sunbird на данный момент, пока мы исследуем вопросы безопасности”, – гласит сообщение.
ENBLE связался с техническим руководителем Sunbird Гарином за дополнительной информацией и обновит эту историю, как только они ответят.
Sunbird начал уведомлять пользователей через внутреннее сообщение в приложении. Сегодня 9to5Google заметил уведомления в приложении от пользователей Sunbird, размещенные на Reddit, которые сообщали о временной приостановке работы приложения. Это то же самое сообщение, которое сначала было размещено в сообществе Discord.
Риски безопасности
Сотрудники Texts выяснили, что приложение для обмена сообщениями Nothing Chats не использовало протоколы безопасности HTTPS для своих сообщений. Вместо этого оно использовало менее безопасный стандарт HTTP, передавая сообщения в незашифрованном виде. Если история чему-то научила нас в области цифровой безопасности, то незашифрованный текст – это дурные вести.
Отдельное расследование показало, что все типы коммуникации через Nothing Chats – включая текст, изображения и другие медиа – отправлялись в этом незащищенном, легко видимом формате. Кроме того, было обнаружено, что все сообщения, отправленные и хранимые в Nothing Chats, были незашифрованными и размещены на легко доступной платформе Firebase.
Дальнейшие результаты показали, что после аутентификации пользователей с использованием JSON Web Tokens (JWT), которые не являются безопасными во время передачи, они получают доступ к базе данных Firebase Nothing Chat. Этот доступ позволяет просматривать сообщения и файлы других пользователей, которые передаются и хранятся в реальном времени и в открытом виде.
Все это громко звучит сигналы тревоги о приложении Sunbird (и Nothings Chats). Особенно беспокоит, когда оно запрашивает ваши учетные данные Apple ID, волшебный токен, который связывает все, начиная от ваших электронных писем и личных фотографий и заканчивая банковскими данными.
Было бы интересно узнать, куда двинутся Nothing и Sunbird отсюда. Но с тем, что Apple внедряет RCS и заполняет пробел в функциях для обмена сообщениями между Android и iPhone, я не думаю, что стоит рисковать своей конфиденциальностью и безопасностью данных ради приема синих облачков чата.
