Mint az ismeretes, a Nothing a közelmúltban elindított egy olyan csevegő szolgáltatást, ami lehetővé tette az androidos Nothing Phone (2)-t használóknak, hogy úgy küldjenek iPhone-os ismerőseik számára üzenetet, hogy észre sem veszik, hogy a másiknak nem Apple eszköze van. Azonban nagyon hamar megszakadt a Nothing Chats karrierje, most pedig az alapját biztosító Sunbird is követi a “példáját”.
A Nothing Chats biztonsági aggályok miatt lett rövid időn belül pályára állítva. Akkor még úgy tűnt, hogy a Sunbird megúszhatja a dolgot, és a saját alkalmazása nincs veszélyben. De nem kellett túl sokáig várni arra, hogy nyilvánvalóvá váljon, hogy ez azért így nem teljesen igaz. Már biztosan kijelenthető, hogy nemcsak a Nothing Chats közbeékelése okozott gondot, hanem alapvető bajok voltak a rendszerrel.
A Sunbird 2022-ben indította el a szolgáltatását, és egy olyan üzenetküldőt valósított meg, ami elhitette az iPhone-okkal, hogy egy másik Apple készülékkel kommunikálnak. Lényegében ez igaz is volt, mivel Mac mini “farmokon” keresztül kapták az üzeneteket az iPhone-ok az androidos felhasználóktól.
Azért azt már ezen a ponton lehet érzékelni, hogy itt azért felmerülhetnek biztonsági aggályok, de a Sunbird csapata folyamatosan azt hangsúlyozta, hogy a legnagyobb biztonságban vannak az üzenetek a kapcsolat során. Persze ma már tudjuk, hogy ez egyáltalán nem így volt. Titkosítatlan HTTP kapcsolatok, nyílt szöveges formában mozgatott üzenetek borzolták a biztonsági szakértők kedélyeit, mikor jobban utánajártak a szolgáltatásnak.
Kommunikációs kumbaya helyett biztonsági rémálom.
A Sunbirdtől származó iMessage for Android alkalmazás mostanra eltűnt a Google Play Áruház kínálatából. Viszont elő lehet még bányászni a nyomait, amiből kiderül, hogy kommunikációs kumbaya címszó alatt az volt a célja, hogy a Facebook, az Instagram, a WhatsApp és minden egyéb üzenetküldőt összevonjon egy közegbe. Ennek köszönhetően az emberek minden ismerősükkel a legnagyobb kényelemben tudták a kapcsolatot tartani.
Egy újfajta harmonikus üzenetküldő megvalósítása volt a fejlesztők célja. Az volt az ígéret, hogy nem gyűjtenek semmilyen felhasználói adatot, nem is tárolnak érzékeny információkat. Soha. Ez talán igaz is, de az elemzések alapján egyébként a rendszer úgy működött, hogy igazából azt is megtehették volna, hogy a felhasználók üzeneteibe beleolvasnak. Miközben egyébként olyan ígéreteket vonultattak fel a leírásukban, hogy a “A Sunbird a csevegés biztonságának csúcsát képviseli”.
Azt is hozzátették, hogy nincs semmilyen szokatlan hack a szolgáltatás működésében. Persze mindenki döntse el maga, hogy az Apple ID használatával, Mac mini farmokon átirányított üzenetek mennyire nevezhetők szokványosnak. Mindenesetre a Sunbirdöt több mint 10 ezer alkalommal töltötték le globálisan, szóval azért elég sok embert érint a mostani ügy. Aki eddig használta a szolgáltatást, valószínűleg jobban teszi, ha felhagy ezzel.
A Sunbird azt közölte, hogy vizsgálatot indítottak a biztonsági aggályok miatt, és ameddig ez tart, inkább felfüggesztik a szolgáltatás működését. A cég célja az lenne, hogy végponttól végpontig terjedő titkosítást valósítson meg, de jelen állás szerint a kommunikáció nem így ment végbe. Emellett a felhasználói adatok kezelésén is kénytelen lesz változtatni a cég.
A vizsgálatok arra is rámutattak, hogy Firebase szervereken tárolt a Sunbird tonnaszámra médiafájlokat. Szóval az sem állta meg a helyét, hogy nem tárolt felhasználói adatokat. Illetve szigorúan véve a saját szerverein tényleg nem tárolt, mert külső szolgáltatást használt ezek parkoltatására.
Nem igazán osztott meg részleteket a vállalat a mostani lépést illetően, de azt elmondták, hogy jelezni fogják, hogy haladnak a folyamattal. Minden lépésről tájékoztatni fogják a közönségüket.
Az egyébként rendben van, hogy most a Sunbird tesz a biztonságért, de ez a mostani eset rámutat arra, hogy igazából az alkalmazások továbbra is egészen elképesztő veszélyeket rejtenek. Ha nem kap nagyobb figyelmet a Nothing révén ez a szoftver, akkor valószínűleg éveken keresztül is üzemelhetett volna lényegében a radar alatt úgy, hogy a megbízhatóság illúzióját kelti több tízezres vagy még szélesebb felhasználói közösségben.