Sunbird, um aplicativo projetado para entregar iMessages para dispositivos Android, foi temporariamente encerrado devido a questões de segurança. O Sunbird enviou esta semana uma notificação aos usuários informando-os sobre o desligamento (via 9to5Google).
Sunbird disse que estava investigando problemas de segurança levantados pelo aplicativo Nothing Chats iMessage e, logo depois, informou aos usuários que o uso do Sunbird havia sido pausado. “Iremos atualizá-lo quando estivermos prontos para prosseguir”, dizia a notificação.
O aplicativo Sunbird foi introduzido pela primeira vez no final de 2022 e foi limitado aos clientes que se inscreveram na lista de espera. O site Sunbird descreve o aplicativo como a unificação dos “aplicativos de mensagens mais populares do mundo” em um único aplicativo, com suporte para iMessage, SMS/MMS, Facebook Messenger e WhatsApp.
O uso do Sunbird em um dispositivo Android permitiu que os usuários do Android enviassem mensagens aos usuários do iPhone que foram entregues como “bolhas azuis” do iMessage em vez de mensagens de texto verdes. O aplicativo alegou ter criptografia de ponta a ponta e mensagens confidenciais para conversas entre Android e iPhone, mas essas afirmações foram questionadas, levando à pausa no serviço.
Na semana passada, a Sunbird se uniu ao fabricante de smartphones Nothing para lançar o “Nothing Chats”, um aplicativo de mensagens que prometia compatibilidade com o iMessage. O anúncio de alto perfil levou a um mergulho profundo em como o Nothing Chats funcionava e como o Sunbird, como a espinha dorsal do recurso, funcionava.
O aplicativo Nothing Chats exigia que os usuários fizessem login com seu ID Apple, um dos muitos sinais de alerta levantados sobre a segurança do Sunbird. Text.com investigou como o Sunbird funciona e descobriu que ele está enviando as credenciais do Apple ID de um usuário para um servidor Sunbird, onde essas credenciais são autenticadas usando uma máquina virtual executando o macOS. As credenciais do Apple ID estavam sendo enviadas por HTTP, que não é criptografado.
Nada acabou retirando o aplicativo Nothing Chats da Google Play Store menos de 24 horas depois de ter sido anunciado, mas Sunbird insistiu que seu serviço era seguro e que as credenciais e mensagens do Apple ID eram “criptografadas o tempo todo”. Isso acabou sendo impreciso e existem vulnerabilidades que podem permitir que um invasor intercepte todas as mensagens e anexos de mídia do Sunbird. Os funcionários da Sunbird também tinham acesso direto a uma plataforma que armazenava conteúdo de mensagens, informações de contato e URLs de anexos. 9to5Google descobriu que o Sunbird está armazenando mais de 630.000 arquivos de mídia como imagens, vídeos e PDFs de seus usuários.
Texts.com acabou lançando um aplicativo de prova de conceito demonstrando como era fácil interceptar e visualizar conversas do iMessage enviadas pelo Sunbird e Nothing Chats porque o conteúdo estava sendo enviado em texto simples.
Nada disse que o aplicativo Nothing Chats foi retirado “até novo aviso”, pois funciona com o Sunbird para “corrigir vários bugs”, mas o Sunbird não falou nada sobre a situação, além da notificação enviada aos usuários. Como Ars Técnica aponta, a resposta inicial do Sunbird às preocupações de segurança não parece ter vindo de “um desenvolvedor competente”, levantando questões sobre a capacidade do Sunbird de resolver os problemas de segurança.
Os usuários existentes do Sunbird e do Nothing Chats são aconselhados a alterar suas senhas Apple ID, remover os aplicativos, e siga as etapas adicionais para remover seus dados. Se os aplicativos forem restabelecidos, é recomendado que os usuários não os baixem.
