La deshonrada aplicación iMessage-on-Android no puede captar la indirecta, está de regreso por más

¿Recuerdas toda la debacle de Nothing Chats del año pasado? Era una aplicación construida sobre la arquitectura de Sunbird, que tenía tantas fallas de seguridad. Nothing Chats y la propia aplicación de mensajería de Sunbird fueron eliminadas del Tienda Google Play. Bueno, Sunbird ha vuelto, con la esperanza de que los usuarios olviden el pasado y le den una segunda oportunidad.

A través de un presione soltar, Sunbird anunció que planea relanzar su aplicación beta iMessage para Android. La compañía dice que enviará invitaciones a aquellos en su lista de espera en pequeñas fases a partir de hoy.

Sunbird se lanzó en 2022 y promete llevar la compatibilidad de iMessage a Android. Afirmó proporcionar cifrado de extremo a extremo y funciones de iMessage sin recopilar datos de los usuarios. Sin embargo, rápidamente se descubrió que el software era lamentablemente inseguro y no tan privado como se anunciaba. Posteriormente, la compañía anunció que cerraría temporalmente el servicio mientras investiga los problemas de seguridad que surgieron.

en un entrada en el blog, también publicado hoy, Sunbird reconoce las vulnerabilidades de seguridad por las que fue llamado. Sin embargo, afirma que algunas de las acusaciones eran incorrectas y niega haber utilizado alguna vez la “BlueBubblesApp” como parte de su infraestructura.

La compañía agrega que cambió su antigua arquitectura (AV1) «que aprovechaba Firestore para almacenar mensajes temporalmente» por una nueva arquitectura (AV2). Esta nueva arquitectura integra RCS y se dice que tiene «la privacidad del usuario como principio central».

Sunbird afirma además que con AV2:

• Los mensajes no cifrados nunca se almacenan en ningún lugar del disco o de una base de datos. Cuando los mensajes se descifran para pasarlos a la red iMessage y RCS/Google Messages, existen en ese estado solo dentro de la memoria durante un período de tiempo limitado. En la aplicación front-end, los mensajes solo se almacenan en estado cifrado dentro de la base de datos de la aplicación.
• Los archivos estáticos transmitidos a través del servicio se almacenan en depósitos seguros de almacenamiento en la nube que están cifrados en tránsito y en reposo. Están protegidos mediante URL autorizadas que impiden el acceso no autorizado y se eliminan por completo de los sistemas Sunbird a más tardar 48 horas después de enviarlos o recibirlos.
• Toda la comunicación desde la aplicación Sunbird a la API de Sunbird está protegida en la capa de transporte, ya sea a través de HTTPS o el protocolo MQTTS.
• El corredor MQTTS está protegido mediante estrictas listas de control de acceso para garantizar que los usuarios solo puedan acceder a los temas del corredor asignados específicamente a ellos y a ningún otro.
• Además, el contenido de la carga útil del mensaje se cifra en la capa de aplicación mediante cifrado AES con una clave de cifrado controlada completamente por el cliente y que solo se mantiene en la memoria del lado de Sunbird. Los mensajes fluyen a través del sistema Sunbird en un estado cifrado y solo se descifran (en la memoria) en el momento de la transferencia de los mensajes a la plataforma de mensajería nativa.

Algo extraño que destaca aquí es que cerca del final del blog, la empresa menciona que ha contratado a Jared Jordan como asesor formal. Dice que Jordan es «actualmente Director de Ingeniería dentro del equipo de Gmail en Google». Sin embargo, Jordania página de LinkedIn dice que dejó Google en marzo y actualmente trabaja en Capital One.

Es bueno ver que Sunbird aparentemente ha tomado medidas para mejorar la privacidad y la seguridad. Pero probablemente sea seguro decir que no debes confiar en ninguna aplicación de iMessage para Android.