Sunbird, el servicio que pretendía llevar iMessage a Android, está de vuelta en versión beta ya que la empresa promete haber solucionado su legión de problemas de seguridad.
Sunbird fue popularizado brevemente por la compañía Nothing, que anunció que su teléfono Android admitiría iMessage a través de este puente de terceros. Ese anuncio fue seguido en horas por expertos en seguridad. siendo sospechoso de Sunbird.
Luego fue seguido en días por Nada eliminando su aplicacióndespués de una serie de idas y venidas con Apple matándolo y Nothing trabajando alrededor del bloque.
Ahora el desarrollador de Sunbird ha anunciado que su servicio vuelve a estar en forma beta. Sunbird Messaging también ha publicado lo que en apariencia es una lista admirablemente completa de sus problemas de seguridad anteriores y por qué ocurrieron.
Sin embargo, la copiosa lista se presenta junto con proclamas sobre los «valores fundamentales» de la empresa. [and] compromiso inquebrantable con la privacidad y seguridad de nuestros usuarios». El descubrimiento de los problemas «fue un claro recordatorio de nuestras responsabilidades» y la empresa se dedica «a ofrecer una experiencia de mensajería sólida, segura y unificada que cierre la brecha entre Android y usuarios de iOS.»
Simplemente fue necesario que personas ajenas a la empresa se dieran cuenta de la asombrosa cantidad de problemas de seguridad, comenzando por el hecho de que aparentemente nadie en Sunbird pensó en utilizar el cifrado de extremo a extremo. Se ha afirmado que si un usuario enviaba y recibía mensajes a través de la aplicación Nothing impulsada por Sunbird, entonces todo lo enviado a través de ella era visible públicamente.
Sunbird hace que esto parezca un error que cualquier empresa podría cometer, incluso cualquier empresa que produzca software cuya función sea transmitir mensajes privados de individuos. Dice que parte del problema era que su servicio utilizaba «almacenamiento temporal de mensajes recibidos en un almacén de datos en tiempo real de Firebase», y explica que esto significa que podrían estar abiertos a ataques, pero al mismo tiempo le restan importancia.
«Es importante tener en cuenta que, si bien los mensajes se almacenaron temporalmente en la base de datos de Firebase, se eliminaron al descargarlos desde la aplicación frontal o automáticamente después de 24 horas», dice. «Además, en ningún momento ningún usuario no autorizado pudo acceder o leer ningún mensaje enviado o recibido a través de Sunbird por otro usuario».
Entonces, la compañía afirma que hubo un problema con el almacenamiento, luego afirma que no era un problema y, de todos modos, ya lo ha solucionado.
La compañía hace un comentario igualmente cuidadoso sobre cómo era posible que un usuario no autorizado recibiera y enviara mensajes utilizando los detalles de la cuenta de otra persona. Sunbird dice en términos generales que esto no fue un problema porque ese usuario deshonesto solo podía hacerle esto al único usuario para el que tenía las credenciales, y hay todos estos otros usuarios que estaban bien.
Aun así, esta vulnerabilidad se ha solucionado, dice Sunbird, y ahora todos podemos seguir adelante, por favor.
Excepto que lo que no ha cambiado, lo que nunca cambiará y lo que se ignora por completo en los anuncios de Sunbird es que todavía requiere un nombre de usuario y contraseña de iCloud válidos.
Por lo tanto, los usuarios deben proporcionar su ID de Apple a esta empresa. Nunca es una buena decisión darle a una empresa externa los detalles de su ID de Apple, y Sunbird ha demostrado ser notablemente inseguro antes.
Sin embargo, la empresa quiere que los usuarios sepan que todas estas fallas de seguridad de aficionados están detrás de esto y que ha tomado medidas tanto personales como técnicas para asegurarse de que su servicio ahora sea seguro.
Lo que afirma Sunbird se ha solucionado
En primer lugar, el mismo equipo que ignoraba por completo que su servicio era tremendamente inseguro, ha realizado «una evaluación exhaustiva». Ahora han lanzado una nueva versión beta que soluciona todos los problemas que finalmente detectaron.
El equipo ahora está supervisado por el experto en seguridad Bobby Gill y utiliza una consultoría de seguridad independiente llamada CIPHER.
Sunbird dice que también contrató al ex ejecutivo de Google Jared Jordan, específicamente porque apunta a ampliar su servicio de aplicaciones de mensajería.
Sunbird culpa principalmente de sus problemas de seguridad a su dependencia anterior del software heredado. No explica ni justifica ese uso anterior.
Aparentemente no cree que su equipo de desarrollo haya tenido la culpa de usar ese software o de no detectar ninguno de los problemas de seguridad.
La compañía ahora dice que ha pasado de lo que llamó arquitectura AV1, el software heredado, a una implementación RCS que llama AV2. Sunbird dice que en las pruebas, los consultores de CIPHER han demostrado ser incapaces de recrear las vulnerabilidades anteriores.
Los usuarios de Android están invitados a unirse al nuevo Lista de espera de Sunbird. Aunque no lo sugerimos.