O que você precisa saber
- Sunbird, o aplicativo de mensagens que pretendia levar o iMessage aos usuários do Android, anunciou na sexta-feira que está sendo relançado em beta.
- O aplicativo original foi encerrado rapidamente depois que os usuários expuseram falhas críticas de segurança e privacidade que deixaram as mensagens dos usuários suscetíveis de serem interceptadas.
- A empresa adicionou uma página ao seu site detalhando o que deu errado na primeira vez e o que mudou desde então.
Sunbird, o aplicativo de mensagens que fez parceria com a Nothing para trazer o iMessage para o Android antes de ser rapidamente desligado, agora está retornando. A empresa anunciado Sexta-feira, 5 de abril, que relançaria a versão beta de seu aplicativo após fazer alterações em sua infraestrutura de back-end. Sunbird afirma que mais de 165 mil usuários se cadastraram na lista de espera do aplicativo e que os convites estarão disponíveis em pequenas fases.
Na primeira vez, o Sunbird trouxe o iMessage para o Android por meio de seu próprio aplicativo e do aplicativo Nothing Chats. Nada, o fabricante do telefone Android por trás do Nada Telefone 2 e Telefone 2a, queria tornar todos os seus dispositivos compatíveis com o iMessage por meio do Nothing Chats. No entanto, os usuários descobriram rapidamente que as mensagens e os processos internos não eram criptografados, deixando as mensagens dos usuários e os arquivos compartilhados disponíveis para qualquer pessoa acessar.
Sunbird explicou as mudanças técnicas em sua arquitetura iMessage, destinadas a aumentar a segurança e corrigir os problemas de privacidade do aplicativo original, em seu local na rede Internet. Se você está curioso ou cético, aqui estão eles:
- Mensagens não criptografadas nunca são armazenadas em nenhum lugar do disco ou banco de dados. Quando as mensagens são descriptografadas para serem passadas para a rede iMessage e RCS/Google Messages, elas existem nesse estado apenas na memória por um período limitado de tempo. No aplicativo front-end, as mensagens são armazenadas apenas em estado criptografado no banco de dados do aplicativo.
- Os arquivos estáticos transmitidos por meio do serviço são armazenados em depósitos seguros de armazenamento em nuvem que são criptografados em trânsito e em repouso. Eles são protegidos por URLs autorizados que impedem o acesso não autorizado e são completamente eliminados dos sistemas Sunbird no máximo 48 horas após o envio ou recebimento.
- Toda a comunicação do aplicativo Sunbird com a API Sunbird é protegida na camada de transporte, seja por meio de HTTPS ou do protocolo MQTTS.
- O corretor MQTTS é protegido por listas de controle de acesso rigorosas para garantir que os usuários só possam acessar os tópicos do corretor atribuídos especificamente a eles e a nenhum outro.
- Além disso, o conteúdo da carga útil da mensagem é criptografado na camada do aplicativo usando criptografia AES com uma chave de criptografia controlada completamente pelo cliente e mantida apenas na memória do lado do Sunbird. As mensagens fluem pelo sistema Sunbird em estado criptografado e só são descriptografadas (na memória) no momento da transferência das mensagens para a plataforma de mensagens nativa.
Sunbird também menciona indiretamente o Beeper em seu comunicado à imprensa, que interrompeu o suporte para seu cliente iMessage – chamado Beeper Mini – depois movimentos repetidos da Apple para desligá-lo. A empresa afirma que o Sunbird é uma solução para o problema de compatibilidade do iMessage que não toma medidas para fornecer acesso não autorizado aos servidores iMessage da Apple. Ironicamente, Sunbird aponta as “preocupações de segurança e privacidade” relacionadas ao Beeper Mini devido ao “acesso não autorizado ao iMessage” do aplicativo.
No entanto, cabe aos usuários finais decidir se realmente vale a pena confiar no Sunbird. Pelo que vale, a empresa já foi pega novamente no meio de uma discrepância. 9to5Google notei que a Sunbird alegou que contratou Jared Jordan, diretor de engenharia do Google, como consultor formal. No entanto, a página de Jordan no LinkedIn revela que ele deixou a empresa meses atrás. A Sunbird atualizou discretamente seu site para alterar o texto da experiência anterior de Jordan, sem nenhuma menção ou reconhecimento da mudança.
Sunbird diz que o motivo pelo qual a empresa retirou o aplicativo por meses foi devido ao seu “compromisso inabalável com a privacidade e segurança de nossos usuários”. Em vez de fornecer uma solução rápida, a Sunbird optou por reconstruir totalmente sua arquitetura interna.
Ainda assim, resta saber se os usuários confiam no Sunbird novamente. O aplicativo ainda tem um longo caminho a percorrer, pois agora está recomeçando do zero em uma versão beta muito limitada.