Sunbird是一个专为Android设备提供iMessage服务的应用程序,由于安全问题,该应用程序目前已暂时关闭。Sunbird本周通过通知向用户宣布了关闭的消息(通过9to5Google报道)。
Sunbird表示,它正在调查由Nothing Chats iMessage应用程序提出的安全问题,并随后告知用户Sunbird的使用已暂停。通知中写道:“我们会在准备好以后向您更新”。
Sunbird应用程序于2022年年底首次推出,目前仅对在等待名单上注册的客户开放。Sunbird网站将该应用程序描述为将“世界上最流行的消息应用程序”集成到一个应用程序中,支持iMessage、SMS/MMS、Facebook Messenger和WhatsApp。
在Android设备上使用Sunbird可以让Android用户向iPhone用户发送消息,并以iMessage的“蓝色气泡”形式而不是绿色的文本消息进行投递。该应用程序声称具有端到端的加密和机密消息功能,用于Android到iPhone的对话,但这些声明一直存在争议,因此服务暂停。
上周,Sunbird与智能手机制造商Nothing合作推出了“Nothing Chats”,这是一个承诺兼容iMessage的消息应用程序。这一备受关注的发布引起了对Nothing Chats的工作方式以及作为该功能支撑的Sunbird的深入研究。
Nothing Chats应用程序要求用户使用其Apple ID登录,引发了人们对Sunbird安全性的担忧。 Text.com对Sunbird的工作原理进行了调查,并发现它将用户的Apple ID凭据发送到Sunbird服务器,然后使用运行macOS的虚拟机对这些凭据进行验证。Apple ID凭证以未加密的方式通过HTTP发送。
Nothing最终在宣布不到24小时后将Nothing Chats应用程序从Google Play商店中下架,但Sunbird坚称其服务是安全的,并且Apple ID凭据和消息始终处于加密状态。然而,事实证明这一说法是错误的,并且存在漏洞可让攻击者拦截所有Sunbird消息和媒体附件。Sunbird员工还可以直接访问存储消息内容、联系人信息和附件URL的平台。 9to5Google发现Sunbird存储了超过63万个来自用户的媒体文件,如图像、视频和PDF文件。
Texts.com最终发布了一个概念验证应用程序,演示了通过Sunbird和Nothing Chats发送的iMessage对话是如何被拦截和查看的,因为内容是明文传输的。
Nothing表示Nothing Chats应用程序已被“暂时下架”,因为它正在与Sunbird合作“修复数个错误”,但除了向用户发送的通知外,Sunbird对这一情况保持沉默。正如Ars Technica所指出的,Sunbird对安全问题的初始回应似乎并不来自“一位称职的开发者”,这引发了人们对Sunbird解决安全问题能力的质疑。
现有的Sunbird和Nothing Chats用户建议更改其Apple ID密码、删除这些应用,并采取其他步骤来删除他们的数据。如果重新上架这些应用程序,建议用户不要下载它们。
