原本应该是Android 智能手机用户的 iMessage 兑换器的东西很快就因安全混乱和彻底疏忽而被消耗殆尽。就在 Nothing Chats 应用程序从 Play 商店下架几天后,由 Sunbird 提供的基础技术也宣布休假,具体情况不明,这加剧了人们对存在严重问题的怀疑。
Sunbird 去年年底出现在我们的雷达上,承诺为 Android 到 iPhone 的消息提供蓝色气泡。它还承诺将所有消息应用程序捆绑到一个集群中,有点像 Beeper 。 Nothing 采用了 Sunbird 技术,将其捆绑到自己的Nothing Phone 2应用程序中,并通过一段雄心勃勃的视频发布了它。 “对不起,蒂姆。”这就是Nothing 首席执行官Carl Pei 发出的信息。
周末,我注意到 Sunbird 应用程序的 Google Play 商店列表返回了一个空白页面。我原本以为由于某些地理限制而无法使用。除了在 Sunbird Discord 频道中通知会员外,该公司没有就此发表任何公开声明。
警报称:“我们已暂时关闭 Sunbird 应用程序,同时进行详细的安全分析。”并补充说,该公司将在确定“确切事件”后提供进一步的详细信息。
有趣的是,这一消息首先是在 Sunbird 的 Discord 网络的开发公告频道中披露的。声明称:“出于谨慎考虑并保护您的机密数据,我们将暂时关闭 Sunbird。”
我无法理解的是为什么花了一天的时间才在公共频道中发布相同的信息。最重要的是,为什么 Sunbird 未能在其活跃的Facebook和X (以前的 Twitter)账号上发布公告?
在今天出现在公共 Discord 频道的一条消息中,Sunbird 仅表示“正在发生很多事情”,但没有提供任何进一步的技术细节或风险缓解方面的进展。该消息称:“我们决定在调查安全问题时暂时暂停使用 Sunbird。”
Digital Trends 已联系 Sunbird 的技术主管 Garin 以获取更多信息,并将在他们回复后立即更新此报道。
Sunbird 仅开始通过应用内消息通知用户。今天早些时候, 9to5Google发现 Sunbird 用户在Reddit上发布了应用内通知,通知他们该应用程序已暂时搁置。这与首先在 Discord 社区中分享的消息相同。
安全风险
Texts 的安全专家发现消息应用 Nothing Chats 的消息未采用 HTTPS 安全协议。相反,它使用安全性较低的 HTTP 标准,以未加密的纯文本形式传输消息。如果说历史教会了我们有关数字安全的任何事情,那么纯文本就是个坏消息。
一项单独的调查显示,通过 Nothing Chats 进行的所有类型的通信(包括文本、图像和其他媒体)都是以这种不安全、易于查看的格式发送的。此外,我们还发现 Nothing Chats 上发送和存储的所有消息均未加密并托管在易于访问的 Firebase 平台上。
进一步的发现表明,用户使用在传输过程中不安全的 JSON Web 令牌 (JWT) 进行身份验证后,他们可以访问 Nothing Chat 的 Firebase 数据库。此访问权限允许他们查看其他用户的消息和文件,这些消息和文件以纯文本形式实时发送和存储。
所有这些都敲响了有关 Sunbird(以
及 Nothings Chats)应用程序的巨大安全警报。当它要求您提供 Apple ID 凭证时尤其令人担忧,Apple ID 凭证是将您的电子邮件、个人照片和银行详细信息等所有内容链接起来的神奇令牌。
看看Nothing 和Sunbird 从这里走向何方将会很有趣。但随着Apple 拥抱 RCS并填补 Android-iPhone 消息传递的功能鸿沟,我认为不值得冒着隐私和数据安全的风险来进行一次给你带来蓝色聊天气泡的黑客攻击。