Sunbird запускает клон iMessage на Android.
Sunbird, сервис, который, как утверждается, перенес iMessage на Android, вернулся в бета-версию, поскольку фирма клянется, что устранила множество проблем с безопасностью.
Sunbird на короткое время популяризировала компания Nothing, которая объявила, что ее телефон Android будет поддерживать iMessage через этот сторонний мост. За этим заявлением через несколько часов последовали эксперты по безопасности, которые с подозрением относились к Sunbird.
Затем, через несколько дней, Nothing удалило свое приложение после серии споров с Apple, убившей его, и Nothing, работавшего вокруг этого квартала.
Теперь разработчик Sunbird объявил, что его сервис вернулся в бета-версию. Sunbird Messaging также опубликовала, на первый взгляд, удивительно полный список своих предыдущих проблем безопасности и причин их возникновения.
Однако обширный список представлен вместе с заявлениями об «основных ценностях компании». [and] непоколебимая приверженность конфиденциальности и безопасности наших пользователей». Обнаружение проблем «стало суровым напоминанием о нашей ответственности», и компания стремится «предложить надежный, безопасный и унифицированный интерфейс обмена сообщениями, который устраняет разрыв между Android и пользователи iOS».
Лишь люди за пределами компании заметили поразительное множество проблем с безопасностью, начиная с того, что, очевидно, никто в Sunbird не догадался использовать сквозное шифрование. Утверждалось, что если пользователь отправлял и получал сообщения через приложение Nothing’s на базе Sunbird, то все отправленное через него было доступно для публичного просмотра.
По мнению Sunbird, это звучит как ошибка, которую может совершить любая компания, даже любая компания, производящая программное обеспечение, функция которого заключается в передаче личных сообщений отдельных лиц. В нем говорится, что отчасти проблема заключалась в том, что его сервис использовал «временное хранение полученных сообщений в хранилище данных реального времени Firebase», и объясняет, что это означает, что они могут быть открыты для атак, но в то же время преуменьшает это.
«Важно отметить, что, хотя сообщения временно хранились в базе данных Firebase, они были удалены либо при загрузке из внешнего приложения, либо автоматически через 24 часа», — говорится в сообщении. «Более того, ни один неавторизованный пользователь никогда не мог получить доступ или прочитать какие-либо сообщения, отправленные или полученные через Sunbird другим пользователем».
Итак, компания утверждает, что возникла проблема с хранилищем, затем заявляет, что это не проблема, и в любом случае теперь она ее устранила.
Компания так же тщательно формулирует вопрос о том, как неавторизованный пользователь мог получать и отправлять сообщения, используя данные чужой учетной записи. Sunbird в общих чертах заявляет, что это не было проблемой, потому что этот мошеннический пользователь мог сделать это только с одним пользователем, для которого у него были учетные данные, и есть все остальные пользователи, с которыми он столкнулся.
Несмотря на это, эта уязвимость устранена, говорит Санберд, и теперь мы все можем двигаться дальше, пожалуйста.
За исключением того, что не изменилось, что никогда не изменится и что полностью игнорируется в объявлениях Sunbird, так это то, что для этого по-прежнему требуются действительные имя пользователя и пароль iCloud.
Поэтому пользователи должны предоставить этой компании свой Apple ID. Передавать данные своего Apple ID сторонней компании никогда не будет разумным шагом, и Sunbird уже доказал свою небезопасность.
Фирма действительно хочет, чтобы пользователи знали, что за всеми этими дилетантскими недостатками безопасности стоят именно они, и что она предприняла как кадровые, так и технические меры, чтобы обеспечить безопасность своих услуг.
То, что утверждает Sunbird, было исправлено
Во-первых, преимущественно одна и та же команда, которая совершенно не заметила, что их услуги были крайне небезопасными, провела «исчерпывающую оценку». Теперь они выпустили новую бета-версию, которая исправляет все проблемы, которые они наконец заметили.
Сейчас команду контролирует эксперт по безопасности Бобби Гилл, и она пользуется услугами независимой консалтинговой компании по безопасности CIPHER.
Sunbird сообщает, что она также наняла бывшего исполнительного директора Google Джареда Джордана, особенно потому, что намерена расширить свой сервис приложений для обмена сообщениями.
Sunbird главным образом возлагает вину за свои проблемы с безопасностью на свое прежнее использование устаревшего программного обеспечения. Это не объясняет и не оправдывает предыдущее использование.
Судя по всему, компания действительно считает, что ее команда разработчиков виновата либо в использовании этого программного обеспечения, либо в том, что она не обнаружила каких-либо проблем с безопасностью.
Теперь компания заявляет, что она перешла от того, что она называла архитектурой AV1, устаревшего программного обеспечения, к реализации RCS, которую она называет AV2. Sunbird сообщает, что в ходе тестирования консультанты CIPHER с тех пор не смогли воссоздать предыдущие уязвимости.
Пользователям Android предлагается присоединиться к новому списку ожидания Sunbird. Хотя мы этого не предлагаем.
