Sunbird sarà nuovamente disponibile dopo i problemi di sicurezza individuati da un gruppo di ricercatori nel mese di novembre 2023. La software house ha pubblicato un comunicato che illustra in dettaglio le vulnerabilità e le soluzioni adottate per risolverle. Al momento, l’accesso prevede una lista di attesa.
Sunbird: iMessage per Android
I problemi di sicurezza sono stati scoperti dai ricercatori che hanno esaminato l’app Chats di Nothing, basata su Sunbird. La software house ha quindi rimosso l’app dal Google Play Store e avviato il processo di sviluppo della nuova architettura tecnica per risolvere le quattro vulnerabilità.
La prima era l’uso del protocollo HTTP per le chiamate alle API di backend, quando l’app avvia una sessione iMessage. In pratica, le credenziali di login venivano inviate in chiaro (senza crittografia) e potevano essere intercettate. La seconda e terza vulnerabilità erano la presenza di messaggi in chiaro e oltre 600.000 file, incluse le vCard, su Firebase.
Infine, Sunbird conservava i dati dei messaggi sul servizio di monitoraggio Sentry. La software house ha risolto tutte le vulnerabilità in breve tempo, ma ha deciso di aggiornare completamente l’architettura per offrire maggiore sicurezza e privacy. Con la nuova versione AV2 sono stati introdotti diversi miglioramenti.
Quando i messaggi sono decifrati per essere inviati alle reti iMessage e RCS (Google Messaggi) rimangono in chiaro solo in memoria per un tempo limitato. Nell’app sono conservati in forma cifrata. I file statici sono mantenuti in cloud storage sicuro e rimossi dai sistemi 48 ore dopo l’invio e la ricezione.
Tutte le comunicazioni tra app e API sono protette con protocollo HTTPS o MQTTS. I contenuti dei messaggi sono cifrati con algoritmo AES. Un’azienda esterna effettuerà l’analisi dell’app e del backend per individuare eventuali vulnerabilità. Sunbird dovrebbe essere accessibile a tutti nei prossimi giorni.