O que você precisa saber
- Sunbird, o aplicativo de mensagens que visa levar o iMessage aos usuários do Android, anunciou na sexta-feira que o está relançando como uma versão beta.
- O aplicativo original foi encerrado rapidamente depois que os usuários foram expostos a graves falhas de segurança e privacidade que permitiram que suas mensagens fossem interceptadas.
- A empresa adicionou uma página ao seu site detalhando o que deu errado e o que mudou desde então.
Sunbird fez parceria com o infame Nothing para trazer o iMessage para Android, um aplicativo de mensagens que foi encerrado rapidamente, mas agora está de volta. A empresa anunciou na sexta-feira, 5 de abril, que relançaria a versão beta do aplicativo após fazer alterações em sua infraestrutura de backend. Sunbird disse que mais de 165 mil usuários estão na lista de espera do aplicativo e os convites serão disponibilizados gradualmente.
Pela primeira vez, a Sunbird trouxe o iMessage para o Android por meio de seu próprio aplicativo e do aplicativo Nothing Chats. Nothing, o fabricante de telefones Android por trás do Nothing Phone 2 e do Phone 2a, queria que todos os seus dispositivos fossem compatíveis com o iMessage por meio do Nothing Chats. No entanto, os usuários descobriram rapidamente que suas mensagens e processos internos não eram criptografados e que as mensagens e arquivos compartilhados dos usuários eram acessíveis publicamente.
A Sunbird descreveu mudanças técnicas em sua arquitetura iMessage em seu site com o objetivo de aumentar a segurança e resolver questões de privacidade no aplicativo original. Se você estiver interessado ou cético, veja abaixo.
- Mensagens não criptografadas não são armazenadas em nenhum lugar do disco ou do banco de dados. Quando uma mensagem é descriptografada e passada para o iMessage e para a rede RCS/Google Messages, ela permanece na memória apenas por um período limitado de tempo. Em aplicativos front-end, as mensagens são armazenadas criptografadas apenas no banco de dados do aplicativo.
- Os arquivos estáticos enviados por meio do Serviço são armazenados em depósitos seguros de armazenamento em nuvem que são criptografados em trânsito e em repouso. Eles são protegidos por URLs autorizados para impedir acesso não autorizado e são excluídos permanentemente dos sistemas Sunbird dentro de 48 horas após serem enviados ou recebidos.
- Toda a comunicação dos aplicativos Sunbird com a API Sunbird é protegida na camada de transporte por meio de protocolos HTTPS ou MQTTS.
- Os brokers MQTTS são protegidos por listas de controle de acesso rígidas que garantem que os usuários possam acessar apenas os tópicos do broker atribuídos a eles e nenhum outro tópico.
- Além disso, o conteúdo da carga útil da mensagem em si é totalmente controlado pelo cliente e criptografado na camada do aplicativo usando criptografia AES com uma chave de criptografia mantida apenas na memória do lado do Sunbird. As mensagens passam pelo sistema Sunbird criptografadas e só são descriptografadas (na memória) ao encaminhar a mensagem para a plataforma de mensagens nativa.
Sunbird também menciona indiretamente o Beeper em seus comunicados à imprensa, mas o suporte para seu cliente iMessage (chamado Beeper Mini) foi descontinuado após repetidos desligamentos da Apple. A empresa afirma que o Sunbird resolve problemas de compatibilidade do iMessage sem tomar medidas para fornecer acesso não autorizado aos servidores iMessage da Apple. Ironicamente, Sunbird observa “preocupações de segurança e privacidade” relacionadas ao “acesso não autorizado ao iMessage” no aplicativo Beeper Mini.
No entanto, cabe ao usuário final decidir se realmente vale a pena confiar no Sunbird. Na verdade, a empresa já está no meio de mais um desentendimento. 9to5Google notou que Sunbird afirma ter contratado o diretor de engenharia do Google, Jared Jordan, como consultor oficial. No entanto, a página de Jordan no LinkedIn revela que ele deixou a empresa há vários meses. A Sunbird atualizou discretamente seu site para mudar a linguagem sobre a experiência passada de Jordan, sem mencionar ou reconhecer as mudanças.
Sunbird disse que o motivo pelo qual descontinuou o aplicativo depois de vários meses foi devido ao seu “compromisso inabalável com a privacidade e segurança do usuário”. Em vez de oferecer uma solução rápida, a Sunbird optou por reconstruir completamente sua arquitetura interna.
Ainda assim, resta saber se os usuários confiarão novamente no Sunbird. O aplicativo ainda tem um longo caminho a percorrer, pois estamos recomeçando em uma versão beta muito limitada.
