Sunbird – o aplicativo problemático de mensagens instantâneas para Android – acaba de ser encerrado | ENBLE
O que deveria ser uma redenção do iMessage para usuários de smartphones Android rapidamente se transformou em um caos de segurança e negligência total. Poucos dias após o aplicativo Nothing Chats ter sido removido da Play Store, a tecnologia fornecida pela Sunbird, que estava por trás do aplicativo, também se ausentou sem maiores explicações, intensificando suspeitas de que algo está seriamente errado.
A Sunbird chamou nossa atenção no final do ano passado, prometendo mensagens em “bolhas azuis” para mensagens entre Android e iPhone. Também prometeu agrupar todos os aplicativos de mensagens em um único cluster, algo semelhante ao Beeper. A Nothing adotou a tecnologia da Sunbird, a incorporou em seu próprio aplicativo para o Nothing Phone 2 e o lançou com um vídeo ambicioso. “Desculpe, Tim.” Essa foi a mensagem enviada pelo CEO da Nothing, Carl Pei.
No fim de semana, notei que a página do aplicativo Sunbird na Google Play Store estava em branco. A princípio, pensei que estava indisponível devido a restrições geográficas. A empresa não fez nenhum anúncio público a respeito, exceto para os membros do canal Sunbird no Discord.
“Temporariamente fechamos o aplicativo Sunbird enquanto fazemos uma análise de segurança detalhada”, dizia o alerta, acrescentando que a empresa oferecerá mais detalhes quando identificar as “ocorrências exatas”.
Curiosamente, a revelação foi feita pela primeira vez no canal de anúncios de desenvolvedores na rede do Discord da Sunbird. “Por excesso de cautela e para proteger seus dados confidenciais, estamos temporariamente fechando o Sunbird”, dizia o anúncio.
- Samsung amplia a venda de Black Friday com grandes descontos em mon...
- A oferta de celular flip da Motorola de $499 é o grande atrativo da...
- O sonho de ter o iMessage no Android na verdade foi um pesadelo
Não consigo entender por que levou um dia para divulgar a mesma informação no canal público. E, acima de tudo, por que a Sunbird deixou de fazer um anúncio em seus perfis ativos no Facebook e no X (antigo Twitter)?
Em uma mensagem publicada hoje no canal público do Discord, a Sunbird apenas disse “tem muita coisa acontecendo”, mas não forneceu nenhum detalhe técnico adicional ou progresso em relação às medidas de mitigação de riscos. “Decidimos pausar o uso do Sunbird enquanto investigamos preocupações de segurança”, diz a mensagem.
ENBLE entrou em contato com o líder técnico da Sunbird, Garin, em busca de mais informações e atualizará esta história assim que eles responderem.
A Sunbird começou a notificar os usuários apenas por meio de mensagens dentro do aplicativo. Hoje, o 9to5Google encontrou notificações no aplicativo de usuários do Sunbird postadas no Reddit, informando-os que o aplicativo foi temporariamente suspenso. É a mesma mensagem que foi compartilhada pela primeira vez na comunidade do Discord.
Os riscos de segurança
Especialistas em segurança da Texts descobriram que o aplicativo de mensagens Nothing Chats não estava utilizando protocolos de segurança HTTPS para suas mensagens. Em vez disso, ele usava a menos segura norma HTTP, transmitindo mensagens em texto simples, não criptografado. Se a história nos ensinou algo sobre segurança digital, é que o texto simples é uma má notícia.
Uma investigação separada revelou que todos os tipos de comunicação pelo Nothing Chats – incluindo textos, imagens e outros arquivos de mídia – eram transmitidos nesse formato não seguro, facilmente visível. Além disso, foi descoberto que todas as mensagens enviadas e armazenadas no Nothing Chats eram não criptografadas e hospedadas em uma plataforma Firebase facilmente acessível.
Descobertas adicionais mostraram que depois que os usuários se autenticam usando JSON Web Tokens (JWT), que não são seguros durante a transmissão, eles ganham acesso ao banco de dados Firebase do Nothing Chat. Esse acesso permite que eles visualizem as mensagens e arquivos de outros usuários, que são enviados e armazenados em tempo real e em texto simples.
Tudo isso dispara gigantes alarmes de segurança sobre o aplicativo Sunbird (e o Nothings Chats). É especialmente preocupante quando pede suas credenciais do Apple ID, o token mágico que vincula tudo, desde seus e-mails e fotos pessoais até seus detalhes bancários.
Seria interessante ver para onde o Nothing e o Sunbird vão a partir daqui. Mas, com a Apple abraçando o RCS e preenchendo a lacuna de recursos para mensagens Android-iPhone, não acho que valeria a pena arriscar sua privacidade e segurança de dados por um hack que lhe dá bolhas de bate-papo azuis.
