C. Scott Brown / Autoridade Android
DR
- Sunbird, o aplicativo iMessage para Android, está de volta.
- Os convites estão sendo lançados em “pequenas fases” a partir de hoje.
- A empresa afirma que substituiu sua arquitetura antiga por uma nova arquitetura focada na privacidade.
Lembra-se de todo o desastre do Nothing Chats do ano passado? Era um aplicativo construído sobre a arquitetura do Sunbird, que tinha tantas falhas de segurança. O Nothing Chats e o próprio aplicativo de mensagens do Sunbird foram retirados da Google Play Store. Bem, o Sunbird está de volta, esperando que os usuários esqueçam o passado e lhe dêem uma segunda chance.
Por meio de um comunicado à imprensa, a Sunbird anunciou que planeja relançar seu aplicativo beta iMessage para Android. A empresa afirma que está enviando convites para quem está na lista de espera em pequenas fases a partir de hoje.
O Sunbird foi lançado em 2022, prometendo trazer compatibilidade do iMessage para Android. Ele alegou fornecer criptografia ponta a ponta e recursos do iMessage, sem coletar dados dos usuários. No entanto, foi rapidamente descoberto que o software era terrivelmente inseguro e não tão privado quanto anunciado. A empresa anunciou posteriormente que encerraria temporariamente o serviço enquanto investigava os problemas de segurança levantados.
Em uma postagem no blog, também publicada hoje, o Sunbird reconhece as vulnerabilidades de segurança pelas quais foi alertado. No entanto, afirma que algumas das alegações estavam incorretas e nega que alguma vez tenha utilizado o “BlueBubblesApp” como parte da sua infraestrutura.
A empresa acrescenta que trocou sua arquitetura antiga (AV1) “que aproveitava o Firestore para armazenamento temporário de mensagens” por uma nova arquitetura (AV2). Esta nova arquitetura integra RCS e diz-se que tem “a privacidade do usuário como princípio central”.
Sunbird afirma ainda que com AV2:
- Mensagens não criptografadas nunca são armazenadas em nenhum lugar do disco ou banco de dados. Quando as mensagens são descriptografadas para serem passadas para a rede iMessage e RCS/Google Messages, elas existem nesse estado apenas na memória por um período limitado de tempo. No aplicativo front-end, as mensagens são armazenadas apenas em estado criptografado no banco de dados do aplicativo.
- Os arquivos estáticos transmitidos por meio do serviço são armazenados em depósitos seguros de armazenamento em nuvem que são criptografados em trânsito e em repouso. Eles são protegidos por URLs autorizados que impedem o acesso não autorizado e são completamente eliminados dos sistemas Sunbird no máximo 48 horas após o envio ou recebimento.
- Toda a comunicação do aplicativo Sunbird com a API Sunbird é protegida na camada de transporte, seja por meio de HTTPS ou do protocolo MQTTS.
- O corretor MQTTS é protegido por listas de controle de acesso rigorosas para garantir que os usuários só possam acessar os tópicos do corretor atribuídos especificamente a eles e a nenhum outro.
- Além disso, o conteúdo da carga útil da mensagem é criptografado na camada do aplicativo usando criptografia AES com uma chave de criptografia controlada completamente pelo cliente e mantida apenas na memória do lado do Sunbird. As mensagens fluem pelo sistema Sunbird em estado criptografado e só são descriptografadas (na memória) no momento da transferência das mensagens para a plataforma de mensagens nativa.
Algo estranho que chama a atenção aqui é que perto do final do blog, a empresa menciona que contratou Jared Jordan como consultor formal. Diz que Jordan é “atualmente Diretor de Engenharia da equipe do Gmail no Google”. No entanto, a página de Jordan no LinkedIn diz que ele deixou o Google em março e atualmente trabalha na Capital One.
É bom ver que o Sunbird aparentemente tomou medidas para melhorar a privacidade e a segurança. Mas provavelmente ainda é seguro dizer que você não deve confiar em nenhum aplicativo iMessage para Android.