Sunbird, приложение, разработанное для доставки iMessage на устройства Android, было временно приостановлено из-за проблем с безопасностью. На этой неделе Sunbird разослало уведомление пользователям, информируя их о приостановке работы (через 9to5Google).

Sunbird сообщил, что расследует проблемы безопасности, поднятые приложением iMessage от Nothing Chats, и вскоре после этого уведомил пользователей о временной приостановке работы Sunbird. «Мы сообщим вам, когда будем готовы продолжить», — говорилось в уведомлении.

Приложение Sunbird было впервые представлено в конце 2022 года, и оно было доступно только клиентам, зарегистрированным в списке ожидания. Веб-сайт Sunbird описывает приложение как объединяющее «самые популярные в мире приложения для обмена сообщениями» в одном приложении, с поддержкой iMessage, SMS/MMS, Facebook Messenger и WhatsApp.

Использование Sunbird на устройстве Android позволяло пользователям Android отправлять сообщения пользователям iPhone, которые доставлялись как «синие пузыри» iMessage, а не как зеленые текстовые сообщения. Приложение заявляло о сквозном шифровании и конфиденциальном обмене сообщениями для этих разговоров Android с iPhone, но эти заявления были поставлены под сомнение, что привело к приостановке обслуживания.

На прошлой неделе Sunbird объединился с производителем смартфонов Nothing для запуска «Nothing Chats», приложения для обмена сообщениями, которое обещало совместимость с iMessage. Широкое объявление привело к углубленному изучению того, как работает Nothing Chats и как функционирует Sunbird в качестве основы этой функции.

Приложение Nothing Chats требовало от пользователей входа в систему с использованием их Apple ID, что стало одним из многих «красных флажков», поднятых в отношении безопасности Sunbird. Text.com изучил принцип работы Sunbird и обнаружил, что приложение отправляет учетные данные Apple ID пользователя на сервер Sunbird, где эти учетные данные аутентифицируются с помощью виртуальной машины, работающей под управлением macOS. Учетные данные Apple ID отправлялись через HTTP, что является незашифрованным способом.

В итоге Nothing убрала приложение Nothing Chats из Google Play Store менее чем через 24 часа после его анонса, однако Sunbird настаивал на безопасности своего сервиса и на том, что учетные данные Apple ID и сообщения «всегда зашифрованы». Это оказалось неточным, и существуют уязвимости, которые могут позволить злоумышленнику перехватывать все сообщения и медиафайлы Sunbird. Сотрудники Sunbird также имели прямой доступ к платформе, на которой хранилось содержимое сообщений, контактная информация и URL-адреса вложений. 9to5Google обнаружил, что Sunbird хранит более 630 000 медиафайлов, таких как изображения, видео и PDF-файлы, от своих пользователей.

Texts.com выпустил демонстрационный пример приложения, показывающий, насколько легко можно было перехватить и просмотреть переписку iMessage, отправленную через Sunbird и Nothing Chats, поскольку контент передавался в открытом виде.

Nothing заявила, что приложение Nothing Chats было отозвано «до дальнейшего уведомления», поскольку они работают с Sunbird над «исправлением нескольких ошибок», но Sunbird хранит молчание о ситуации, помимо отправленного пользователям уведомления. Как отмечает Ars Technica, первоначальная реакция Sunbird на проблемы безопасности, по-видимому, не исходит от «компетентного разработчика», что ставит под сомнение способность Sunbird устранить проблемы безопасности.

Существующим пользователям Sunbird и Nothing Chats рекомендуется сменить пароли своих Apple ID, удалить приложения, и предпринять дополнительные шаги для удаления своих данных. Если приложения будут восстановлены, рекомендуется не загружать их.