【2024-04-08 22:26:24爱思瑞网快讯】
Sunbird服务声称将iMessage带到Android的服务现已修复其诸多安全问题,重新推出测试版。
曾一度由Nothing公司推广的Sunbird通过这个第三方桥接宣布其Android手机将支持iMessage,然而这一宣布引起了安全专家的怀疑。
在与苹果公司来回博弈后,Nothing移除了其应用,随后Sunbird陷入了封堵。
现在,Sunbird的开发者宣布其服务已重新推出测试版。Sunbird Messaging还发布了一个表面上令人敬佩的以往安全问题的综合清单以及其发生原因。
然而,该清单出现在公司对”核心价值观[和]对用户隐私和安全保持坚定承诺”的宣誓之旁。对问题的发现”令我们深刻地意识到我们的责任”,该公司致力于”为Android和iOS用户提供强大、安全和统一的消息体验,弥补其间的鸿沟”。
偏偏公司外部的人才才注意到了这些惊人的安全问题,其中最令人震惊的是Sunbird竟然没有考虑使用端到端加密。据称,如果用户通过由Sunbird提供支持的Nothing应用发送和接收消息,那么通过应用发送的所有内容都是公开可见的。
Sunbird把这看作是任何公司都可能犯的错误,甚至是生产以转发个人私密消息为功能的软件的任何公司。它表示,问题的一部分在于其服务使用了”在Firebase实时数据存储中临时存储接收到的消息”,并解释了这可能导致攻击,但同时淡化了这一点。
它说:”需要注意的是,虽然消息在Firebase数据库中临时存储,但在从前端应用下载后或者在24小时后会被自动删除。此外,任何未经授权的用户在任何时间也无法访问或阅读通过Sunbird发送或接收的任何消息。”
因此,该公司声称存在存储问题,然后又声称这不是问题,不管怎样,现在已经修复了。
该公司同样对于未经授权的用户可以使用他人的帐户详情来接收和发送消息的问题表达了类似于一丝不苟的观点。Sunbird广泛表示,这不是一个问题,因为那个骗子用户只能对他们获得凭据的那个用户进行这种活动,其他用户都是安全的。
即便如此,Sunbird表示已经修复了这个漏洞,我们现在可以继续前进了。
然而,Sunbird的公告中没有提到的是,它仍然需要有效的iCloud用户名和密码。
因此,用户需要向该公司提供他们的Apple ID。将自己的Apple ID详情提供给第三方公司从来都不是明智之举,而Sunbird在以前已经证明自己是非常不安全的。
该公司确实希望用户知道所有这些业余式的安全失误已经过去,并且它已经采取了人员和技术措施来确保其服务是安全的。
Sunbird声称已修复的问题
首先,完全忽视自身服务极不安全的这个团队已经进行了”详尽的评估”。现在,他们发布了一个修复了他们终于发现的所有问题的新测试版本。
该团队现在由安全专家Bobby Gill监督,并且他们正在使用一家名为CIPHER的独立安全咨询公司。
Sunbird表示,他们还聘请了前谷歌高管Jared Jordan,特别是为了扩大其消息应用服务。
Sunbird主要将其安全问题归咎于先前对传统软件的依赖。对于先前使用该软件或未发现任何安全问题,它并没有解释或证明自己的开发团队存在过错。
该公司现在表示,他们已经从他们所称的AV1架构,也就是先前使用的传统软件,转向了他们称之为AV2的RCS实现。Sunbird表示,在测试中,CIPHER的顾问已经无法重现先前的漏洞。
Android用户可以加入新的Sunbird等候名单。不过我们不建议这样做。
