Jest całkiem jasne, że iMessage dla Androida nie będzie łatwym zadaniem, ale jedna z aplikacji, która próbowała to zrobić (zanim dowiedzieliśmy się, że był to straszny koszmar związany z bezpieczeństwem), Sunbird, daje mu kolejną szansę.
W komunikacie prasowym Sunbird potwierdził plany ponownego uruchomienia usług iMessage dla systemu Android już od dzisiaj.
Sunbird po raz pierwszy pojawił się na scenie w 2022 roku, obiecując wprowadzenie iMessage na Androida. Aplikacja została uruchomiona w prywatnej wersji beta z listą oczekujących, ale nigdy nie dotarła do dużej liczby użytkowników. Tak naprawdę dopiero po nawiązaniu współpracy z firmą Nothing i Sunbird w celu uruchomienia „Nothing Chats” usługa stała się powszechnie dostępna.
W ciągu kilku dni od uruchomienia usługi „Nothing Chats” opartej na technologii Sunbird informowaliśmy o ogromnych problemach związanych z bezpieczeństwem aplikacji obejmowało to między innymi setki tysięcy fragmentów multimediów udostępnianych przez użytkowników, które były stosunkowo łatwo dostępne, a wiadomości były widoczne w czasie rzeczywistym w ten sam sposób, w jaki zostały wysłane. To było złe.
Kilka dni po zdarzeniu, Sunbird ogłosił, że zaprzestanie działalności na czas nieokreślony.
Teraz w jakiś sposób Sunbird powrócił.
Słoneczny ptak mówi że zaproszenia do osób znajdujących się na liście oczekujących będą udostępniane w „małych fazach” począwszy od dzisiaj, 5 kwietnia.
W komunikacie prasowym Sunbird wspomina o zablokowaniu przez Apple „nieautoryzowanego dostępu” Beepera do iMessage i zachwala jego platformę, która „zapewnia pomost między użytkownikami Androida i Apple, umożliwiając bezpieczną komunikację w ekosystemie Apple”.
Sam komunikat prasowy nie zawiera żadnego wyjaśnienia zmian, jakie wprowadził Sunbird, poza zobowiązaniem się do „oferowania solidnego, bezpiecznego i ujednoliconego sposobu przesyłania wiadomości”.
W kolejnym poście dot jego strona internetowaSunbird faktycznie zajmuje się kwestiami bezpieczeństwa „nieszyfrowanego protokołu HTTP”, a także zaprzecza, jakoby kiedykolwiek korzystał z „Aplikacja BlueBubbles” jako część swojej infrastruktury w następstwie pewnych ustaleń oraz wielu problemów związanych z bezpieczeństwem. Sunbird twierdzi, że po ubiegłorocznej porażce „dokładna ponowna ocena zarówno naszych wdrożeń technicznych, jak i procesów organizacyjnych” wymagała czasu.
Czy coś się zatem zmieniło?
Sunbird twierdzi, że jego „starsza architektura”, która korzystała z Firestore (część Firebase), została zastąpiona. Nowa architektura „AV2”, wyjaśnia Sunbird, wykorzystuje „brokera komunikatów MQTTS, który jest standardem OASIS dotyczącym bezpiecznego przesyłania wiadomości”. Aplikacja będzie teraz integrować się z RCS za pośrednictwem Wiadomości Google, tak jak miało to miejsce w przypadku Nothing Chats.
Firma dalej twierdzi, że:
- Niezaszyfrowane wiadomości nigdy nie są przechowywane nigdzie na dysku ani w bazie danych. Gdy wiadomości są odszyfrowywane w celu przekazania ich do sieci iMessage i RCS/Google Messages, istnieją one w tym stanie jedynie w pamięci przez ograniczony czas. W aplikacji front-end wiadomości są przechowywane wyłącznie w postaci zaszyfrowanej w bazie danych znajdującej się w aplikacji.
- Pliki statyczne przesyłane za pośrednictwem usługi są przechowywane w bezpiecznych zasobnikach w chmurze, które są szyfrowane podczas przesyłania i przechowywania. Są one chronione za pomocą dozwolonych adresów URL, które uniemożliwiają nieautoryzowany dostęp i są całkowicie usuwane z systemów Sunbird nie później niż 48 godzin po ich wysłaniu lub otrzymaniu.
- Cała komunikacja między aplikacją Sunbird a interfejsem API Sunbird jest chroniona w warstwie transportowej za pośrednictwem protokołu HTTPS lub MQTTS.
- Broker MQTTS jest zabezpieczony za pomocą ścisłych list kontroli dostępu, aby zapewnić użytkownikom dostęp wyłącznie do tematów brokera specjalnie im przypisanych, a nie do innych.
- Co więcej, sama zawartość wiadomości jest szyfrowana w warstwie aplikacji przy użyciu szyfrowania AES z kluczem szyfrującym kontrolowanym całkowicie przez klienta i przechowywanym wyłącznie w pamięci po stronie Sunbirda. Wiadomości przepływają przez system Sunbird w stanie zaszyfrowanym i są odszyfrowywane (w pamięci) dopiero w momencie przesłania wiadomości do natywnej platformy przesyłania wiadomości.
Sunbird dodaje również, że dokonał zmian organizacyjnych, włączając utworzenie „niezależnej firmy konsultingowej ds. bezpieczeństwa” – CIPHER, a także Jareda Jordana, byłego dyrektora ds. inżynierii w Google for Gmail, który obecnie jest „formalnym doradcą” Sunbirda (uwaga: post Sunbirda twierdzi, że Jordan obecnie pracuje w Google, ale jego profil na LinkedIndo którego linkuje Sunbird, twierdzi, że opuścił Google w marcu i obecnie współpracuje z CapitalOne).
Rozwiązanie 9to5Google
Ja na przykład jestem zszokowany faktem, że Sunbird rzeczywiście próbuje powrócić. Po przerażających problemach wykrytych w zeszłym roku byłem pewien, że firmie nie uda się odzyskać sił (i nadal nie jestem przekonany, że zyskają czyjeś zaufanie).
I chociaż wspaniale jest widzieć, jak Sunbird wkłada wysiłek w naprawianie tego, nadal jestem dość ostrożny. Jak wspomniano powyżej, dużą czerwoną flagą jest to, że firma twierdzi, że jej nowy doradca pracuje dla Google, podczas gdy w rzeczywistości opuścił to stanowisko (które piastował jedynie przez sześć miesięcy) wcześniej w tym tygodniu.
Nie zapiszę się na listę oczekujących Sunbirda, ale mam nadzieję, że firma rzeczywiście rozwiązała swoje problemy.
Więcej o iMessage dla Androida:
Podążaj za Benem: Twitterze/X, WątkiI Instagrama
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.