Sunbird, весьма сомнительное приложение iMessage для Android, оказалось связанным с серьезными проблемами конфиденциальности, и теперь компания решила временно приостановить работу приложения.
Sunbird впервые анонсировала свое приложение iMessage для Android в конце 2022 года и предлагала его в рамках закрытого альфа-тестирования уже некоторое время. Однако недавно компания привлекла к себе еще большее внимание, объединившись с Nothing для приложения «Nothing Chats», которое предоставляло iMessage на Nothing Phone (2). В итоге приложение было доступно менее суток, поскольку стали известны серьезные проблемы с конфиденциальностью.
Как мы выяснили на выходных, Nothing Chats, а следовательно, и Sunbird, не смогли обеспечить сквозное шифрование для сообщений и файлов пользователей, при этом данные были довольно легко доступны другим пользователям. Мы обнаружили более 630 000 файлов, доступных через эту уязвимость, при том что Sunbird утверждала, что данные не хранятся на ее собственных серверах – технически это правда, поскольку данные хранились через Firebase.
Вы можете ознакомиться с полным разбором проблем безопасности в нашем предыдущем материале.
В ответ на проблемы Nothing почти сразу же заблокировала загрузки Nothing Chats. Кроме того, пользователям, установившим приложение, было отправлено уведомление о том, что использование приложения «приостановлено».
Как оказалось, Sunbird решила сделать это не только для приложения Nothing, но и для своих собственных сервисов. Пользователи на сабреддите r/Sunbird показали уведомление, в котором Sunbird объясняет, что приостановила использование приложения «на данный момент», пока расследует опасения – та же формулировка была отправлена через Nothing Chats сегодня, но пользователям Sunbird 18 ноября.
Уважаемый пользователь Sunbird. Мы решили временно приостановить использование Sunbird, пока мы расследуем проблемы с безопасностью. Мы сообщим вам, когда будем готовы продолжить.
Всего за несколько часов до полной остановки функциональности приложения Sunbird отправила пользователям еще одно уведомление, заявив, что прекратит только обмен медиафайлами в Sunbird.
Добрый день всем. Мы расследуем проблемы безопасности, поднятые за последние 24 часа. Из соображений предосторожности и для защиты ваших конфиденциальных данных мы временно прекращаем работу медиасервисов Sunbird. Мы будем держать вас в курсе. Спасибо и приносим искренние извинения за неудобства.
Таким образом, Sunbird был закрыт «на данный момент», и неясно, когда сервис возобновит работу. Помимо уведомления для пользователей, Sunbird пока не делала никаких публичных заявлений.
На самом деле, кажется, что все шло к этому. Еще когда Sunbird впервые представила свой продукт, компания проводила брифинги для СМИ и, как недавно сообщило издание ArsTechnica, отказывалась отвечать на базовые технические вопросы, вплоть до закрытия чата брифинга, чтобы избежать вопросов. Кроме того, один из участников чата Sunbird в Discord утверждает, что пытался поднять вопросы безопасности с командой Sunbird через этот сервер Discord, но был забанен. Этот пользователь не уточнил, какие именно вопросы безопасности обсуждались в то время.
На своем веб-сайте Sunbird еще не признала закрытие и продолжает заявлять о сквозном шифровании и о том, что она не хранит данные. Приложение больше не доступно через Play Store, хотя пользователи могли его установить (и стоять в списке ожидания) в последние несколько недель, как показывают архивы.
Дилан Руссель внес свой вклад в эту статью.