Sunbird, služba, která tvrdila, že přináší iMessage do Androidu, je zpět v beta verzi, protože firma slíbila, že vyřešila svou legii bezpečnostních problémů.
Sunbird byl krátce popularizován společností Nothing, která oznámila, že její telefon s Androidem bude podporovat iMessage prostřednictvím tohoto mostu třetích stran. Toto oznámení bylo po několika hodinách následováno bezpečnostními experty, kteří měli podezření na Sunbird.
Po několika dnech následovalo Nic, co odstranilo svou aplikaci, po sérii tam a zpět, kdy ji Apple zabil, a nic nefungovalo kolem bloku.
Nyní vývojář Sunbirdu oznámil, že jeho služba je zpět ve formě beta. Sunbird Messaging také zveřejnil obdivuhodně obsáhlý seznam předchozích bezpečnostních problémů a proč k nim došlo.
Bohatý seznam je však prezentován spolu s proklamacemi o „základních hodnotách společnosti [and] neochvějný závazek k ochraně soukromí a bezpečnosti našich uživatelů.“ Objevení problémů „bylo jasnou připomínkou naší odpovědnosti“ a společnost se věnuje „nabízení robustního, bezpečného a jednotného zasílání zpráv, které překlenuje propast mezi Androidem. a uživatelé iOS.“
Jen to trvalo lidem mimo společnost, aby si všimli ohromujícího množství bezpečnostních problémů, počínaje tím, jak zjevně nikoho v Sunbirdu nenapadlo používat end-to-end šifrování. Tvrdilo se, že pokud uživatel posílal a přijímal zprávy prostřednictvím aplikace Nothing využívající Sunbird, vše odeslané přes ni bylo veřejně viditelné.
Sunbird to zní jako chybu, kterou by mohla udělat každá společnost, dokonce i každá společnost, která vyrábí software, jehož funkcí je předávat soukromé zprávy jednotlivcům. Uvádí, že část problému spočívala v tom, že její služba používala „dočasné ukládání přijatých zpráv v úložišti dat v reálném čase Firebase“, a vysvětluje, že to znamená, že mohou být přístupné útoku, ale zároveň to bagatelizují.
„Je důležité poznamenat, že zatímco zprávy byly dočasně uloženy v databázi Firebase, byly smazány buď po stažení z aplikace frontend, nebo automaticky po 24 hodinách,“ píše se v něm. „Navíc žádný neoprávněný uživatel nikdy nemohl získat přístup nebo číst žádné zprávy odeslané nebo přijaté prostřednictvím Sunbirdu jiným uživatelem.“
Takže společnost tvrdí, že byl problém s úložištěm, pak tvrdí, že to nebyl problém, a každopádně to nyní vyřešila.
Podobně pečlivě formulovaná společnost poukazuje na to, jak bylo možné, že neoprávněný uživatel mohl přijímat a odesílat zprávy pomocí údajů o účtu někoho jiného. Sunbird obecně říká, že to nebyl problém, protože tento nepoctivý uživatel to mohl udělat pouze jednomu uživateli, pro kterého získal pověření, a všichni tito ostatní uživatelé byli v pořádku.
I tak byla tato zranitelnost opravena, říká Sunbird, a nyní můžeme pokračovat, prosím.
Kromě toho, co se nezměnilo, co se nikdy nezmění a co je v oznámeních Sunbirdu zcela ignorováno, je to, že stále vyžaduje platné uživatelské jméno a heslo iCloud.
Uživatelé jsou tedy povinni poskytnout své Apple ID této společnosti. Nikdy není moudrým krokem poskytnout společnosti třetí strany své údaje Apple ID a Sunbird se již dříve ukázal jako pozoruhodně nebezpečný.
Firma chce, aby uživatelé věděli, že za ní jsou všechna tato amatérská bezpečnostní selhání a že podnikla personální i technické kroky, aby zajistila, že její služby jsou nyní bezpečné.
To, co Sunbird tvrdí, bylo opraveno
Za prvé, převážně stejný tým, kterému úplně uniklo, že jejich služba byla divoce nejistá, provedl „vyčerpávající hodnocení“. Nyní vydali novou beta verzi, která opravuje všechny problémy, kterých si nakonec všimli.
Na tým nyní dohlíží bezpečnostní expert Bobby Gill a využívá nezávislou bezpečnostní poradenskou společnost s názvem CIPHER.
Sunbird říká, že také najala bývalého výkonného ředitele společnosti Google Jareda Jordana, konkrétně proto, že se snaží rozšířit svou službu pro zasílání zpráv.
Sunbird přičítá vinu za své bezpečnostní problémy především svému dřívějšímu spoléhání se na starší software. Nevysvětluje ani neospravedlňuje předchozí použití.
Zdá se, že nevěří, že jeho vývojový tým byl na vině buď tím, že použil tento software, nebo že nedokázal odhalit některé z bezpečnostních problémů.
Společnost nyní říká, že přešla od architektury AV1, staršího softwaru, k implementaci RCS, kterou nazývá AV2. Sunbird říká, že při testování konzultanti CIPHER od té doby prokázali, že nejsou schopni obnovit předchozí zranitelnosti.
Uživatelé Androidu jsou zváni, aby se připojili k novému seznamu čekatelů Sunbird. Nenavrhujeme to však.
Zdroj: appleinsider.com