Sunbird – o aplicativo iMessage para Android incompleto – acabou de desligar
O que deveria ser um redentor do iMessage para usuários de smartphones Android foi rapidamente consumido em um caos de segurança e total negligência . Poucos dias depois de o aplicativo Nothing Chats ter sido removido da Play Store, a tecnologia fornecida pela Sunbird também está de licença não especificada, intensificando as suspeitas de que algo está seriamente errado.
Sunbird apareceu em nosso radar no final do ano passado, prometendo bolhas azuis para mensagens de Android para iPhone. Também prometeu agrupar todos os aplicativos de mensagens em um único cluster, semelhante ao Beeper . A Nothing adotou a tecnologia Sunbird, incorporou-a em seu próprio aplicativo para o Nothing Phone 2 e lançou-a com um vídeo ambicioso. “Desculpe, Tim.” Essa é a mensagem que o CEO da Nothing, Carl Pei, enviou.
No fim de semana, percebi que a listagem do aplicativo Sunbird na Google Play Store retornou uma página em branco. Originalmente pensei que não estava disponível devido a algumas restrições geográficas. A empresa não fez nenhum anúncio público sobre o mesmo, exceto notificar os membros do canal Sunbird Discord.
“Desligamos temporariamente o aplicativo Sunbird enquanto fazemos uma análise detalhada de segurança”, dizia o alerta, acrescentando que a empresa oferecerá mais detalhes quando identificar as “ocorrências exatas”.
Curiosamente, a revelação foi feita pela primeira vez no canal de anúncios de desenvolvimento da rede Discord da Sunbird. “Com muita cautela e para proteger seus dados confidenciais, estamos fechando o Sunbird temporariamente”, afirmou.
O que não consigo entender é por que demorou um dia para divulgar a mesma informação no canal público. E acima de tudo, por que o Sunbird não fez um anúncio em seus identificadores ativos do Facebook e do X (antigo Twitter)?
Em uma mensagem que apareceu hoje no canal público Discord, Sunbird disse apenas “muita coisa acontecendo”, mas não forneceu mais detalhes técnicos ou progresso na mitigação de riscos. “Decidimos pausar o uso do Sunbird por enquanto enquanto investigamos questões de segurança”, diz a mensagem.
A Digital Trends entrou em contato com o líder técnico da Sunbird, Garin, para obter mais informações e atualizará esta história assim que responder.
O Sunbird só começou a notificar os usuários por meio de uma mensagem no aplicativo. Hoje cedo, 9to5Google detectou notificações no aplicativo de usuários do Sunbird postadas no Reddit , notificando-os de que o aplicativo foi temporariamente colocado em espera. É a mesma mensagem que foi compartilhada pela primeira vez na comunidade Discord.
Os riscos de segurança
Os especialistas em segurança da Texts descobriram que o aplicativo de mensagens Nothing Chats não empregava protocolos de segurança HTTPS para suas mensagens. Em vez disso, usou o padrão HTTP menos seguro, transmitindo mensagens em texto simples e não criptografado. Se a história nos ensinou alguma coisa sobre segurança digital, o texto simples é uma má notícia.
Uma investigação separada revelou que todos os tipos de comunicação através do Nothing Chats – incluindo texto, imagens e outras mídias – foram enviados neste formato inseguro e facilmente visível. Além disso, foi descoberto que todas as mensagens enviadas e armazenadas no Nothing Chats não eram criptografadas e hospedadas em uma plataforma Firebase de fácil acesso.
Outras descobertas mostraram que depois que os usuários se autenticam usando JSON Web Tokens (JWT), que não são seguros durante a transmissão, eles ganham acesso ao banco de dados Firebase do Nothing Chat. Este acesso permite visualizar mensagens e arquivos de outros usuários, que são enviados e armazenados em tempo real e em texto simples.
Tudo isso soa alarmes de segurança gigantescos sobre o aplicativo Sunbird (e o Nothings Chats) . É especialmente preocupante quando solicita as credenciais do seu ID Apple, o token mágico que vincula tudo, desde seus e-mails e fotos pessoais até seus dados bancários.
Seria interessante ver para onde vão Nothing e Sunbird a partir daqui. Mas com a Apple adotando o RCS e preenchendo o abismo de recursos para mensagens Android-iPhone, não acho que valeria a pena arriscar sua privacidade e segurança de dados por um hack que fornece bolhas azuis de bate-papo.