Sunbird ha disattivato l’app che permette agli utenti di accedere al servizio iMessage di Apple. La software house ha comunicato che è stata avviata un’indagine su alcuni problemi di sicurezza segnalati nelle ultime 24 ore. Diversi ricercatori hanno scoperto che i messaggi non sono protetti dalla crittografia end-to-end, come pubblicizzato sul sito ufficiale.
Apple dovrebbe bloccare l’uso delle credenziali
Nel fine settimana, Nothing aveva annunciato l’app Chats per il suo Phone (2) che permette di accedere al servizio iMessage di Apple e quindi di eliminare la “barriera comunicativa” tra Android e iOS. L’azienda guidata da Carl Pei (co-fondatore di OnePlus) ha rimosso l’app dal Google Play Store, in seguito ai problemi di sicurezza evidenziati da diversi ricercatori. Essendo Nothing Chats una versione personalizzata di Sunbird, quest’ultima ha gli stessi problemi.
La software house ha comunicato che l’app non funziona più (e non è più presente sul Play Store), in quanto è stata avviata un’indagine sui problemi di sicurezza. Contrariamente a quanto promesso, Sunbird invia le credenziali di login (Apple ID) in chiaro tramite HTTP. Inoltre i messaggi sono inviati/ricevuti senza crittografia end-to-end, quindi chiunque potrebbe leggerli. Tutti i dati (messaggi, foto, video e altri) sono anche conservati in chiaro sul servizio cloud Firebase.
Sul sito ufficiale non c’è nessuna comunicazione. Sunbird evidenzia che l’uso dell’app è stato sospeso “per ora”, ma i problemi di sicurezza sembrano piuttosto gravi. Apple dovrebbe intervenire per bloccare l’uso delle credenziali, mentre gli utenti potrebbero usare alternative più sicure, come Beeper, che usa protocollo (Matrix) e bridge open source.