А вот и логическое завершение истории как сервиса Sunbird, так и приложения Nothing Chats. Оба закрыты.

Напомним, сервис Sunbird был впервые представлен в конце 2022 года и позволял в одном месте обмениваться сообщениями среди "самых популярных в мире приложений для обмена сообщениями", включая iMessage, SMS/MMS, Facebook Messenger и WhatsApp. Разработчики заявляли о наличии сквозного шифрования и конфиденциальности сообщений при обмене данными между Android и iPhone.

И все было ничего — строго говоря, никому не было дела — пока на прошлой неделе Sunbird совместно с производителем смартфонов Nothing выпустил брендированное приложение для обмена сообщениями "Nothing Chats", обещавшее совместимость с iMessage. Этот громкий анонс заставил пытливую общественность поближе посмотреть как работает Sunbird и тут открылось прекрасное.

Приложение Nothing Chats требовало от пользователей входа в систему с помощью Apple ID. Сервис Text.com (строит нечто подобное) изучил принцип работы сервиса и обнаружило, что он отправляет учетные данные Apple ID пользователя на сервер Sunbird, где эти данные аутентифицируются с помощью виртуальной машины под управлением macOS. Учетные данные Apple ID отправляются по протоколу HTTP, который является незашифрованным.

Компания Nothing удалила приложение Nothing Chats из Google Play Store менее чем через сутки после его анонса, однако Sunbird утверждала, что ее сервис безопасен и что учетные данные Apple ID и сообщения "всегда зашифрованы". Оказалось, что это не так, и существуют уязвимости, позволяющие злоумышленникам перехватывать все сообщения Sunbird и мультимедийные вложения. Кроме того, сотрудники Sunbird имели прямой доступ к платформе, на которой хранилось содержимое сообщений, контактная информация и URL-адреса вложений. 9to5Google обнаружил, что Sunbird хранит более 630 тыс. медиафайлов, таких как изображения, видео и PDF-файлы, полученных от пользователей.

В итоге Texts.com выпустил приложение, демонстрирующее, как легко перехватываются и просматриваются сообщения iMessage, отправленные через Sunbird и Nothing Chats, поскольку содержимое отправляется в виде обычного текста.

Компания Nothing заявила, что приложение Nothing Chats приостановлено "до дальнейшего уведомления", поскольку она работает с Sunbird над "исправлением нескольких ошибок", однако Sunbird не распространялась о ситуации, кроме уведомления о "временном закрытии", разосланного пользователям. "Мы сообщим вам, когда будем готовы продолжить работу", — говорится в уведомлении. Однако на фоне всей ситуации маловероятно, что сервис удастся успешно перезапустить.

Существующим пользователям Sunbird и Nothing Chats рекомендуется сменить пароли Apple ID, удалить приложения и выполнить дополнительные действия по удалению данных. Если приложения будут восстановлены, рекомендуется воздержаться от их загрузки.

2 минуты

23 ноября 2023