Sunbird cierra la aplicación de iMessage para Android debido a preocupaciones de seguridad

Sunbird cierra la aplicación de iMessage para Android por motivos de seguridad

Sunbird, una aplicación diseñada para enviar iMessages a dispositivos Android, ha sido temporalmente cerrada debido a preocupaciones de seguridad. Sunbird envió esta semana una notificación a los usuarios informándoles sobre el cierre (a través de 9to5Google).

sunbird appSunbird dijo que estaba investigando problemas de seguridad que habían surgido con la aplicación Nothing Chats iMessage, y poco después, informó a los usuarios que se había pausado el uso de Sunbird. “Te informaremos cuando estemos listos para continuar”, decía la notificación.

La aplicación Sunbird fue lanzada por primera vez a finales de 2022 y ha estado limitada a los clientes que se registraron en la lista de espera. El sitio web de Sunbird describe la aplicación como la unificación de “las aplicaciones de mensajería más populares del mundo” en una sola aplicación, con soporte para iMessage, SMS/MMS, Facebook Messenger y WhatsApp.

Usar Sunbird en un dispositivo Android permitía a los usuarios de Android enviar mensajes a usuarios de iPhone que se entregaban como “burbujas azules” de iMessage en lugar de mensajes de texto verdes. La aplicación afirmaba tener cifrado de extremo a extremo y mensajes confidenciales para estas conversaciones Android-iPhone, pero estas afirmaciones han sido cuestionadas, lo que ha llevado a la pausa en el servicio.

La semana pasada, Sunbird se asoció con el fabricante de teléfonos inteligentes Nothing para lanzar “Nothing Chats”, una aplicación de mensajería que prometía ser compatible con iMessage. El anuncio de alto perfil llevó a un análisis exhaustivo sobre cómo funcionaba Nothing Chats y cómo funcionaba Sunbird, como la base para la función.

La aplicación Nothing Chats requería que los usuarios iniciaran sesión con su Apple ID, lo que planteó muchas dudas sobre la seguridad de Sunbird. Text.com investigó cómo funciona Sunbird y descubrió que está enviando las credenciales del Apple ID del usuario a un servidor de Sunbird, donde se autentican esas credenciales utilizando una máquina virtual con macOS en funcionamiento. Las credenciales del Apple ID se estaban enviando a través de HTTP, que no está encriptado.

Nothing terminó retirando la aplicación Nothing Chats de Google Play Store menos de 24 horas después de ser anunciada, pero Sunbird insistió en que su servicio era seguro y que las credenciales del Apple ID y los mensajes estaban “encriptados en todo momento”. Resultó ser inexacto y existen vulnerabilidades que podrían permitir a un atacante interceptar todos los mensajes y archivos adjuntos de Sunbird. Los empleados de Sunbird también tenían acceso directo a una plataforma que almacenaba el contenido de los mensajes, la información de contacto y las URL de los archivos adjuntos. 9to5Google descubrió que Sunbird almacenaba más de 630,000 archivos multimedia como imágenes, videos y PDFs de sus usuarios.

Texts.com terminó lanzando una aplicación de prueba de concepto que demostraba lo fácil que era interceptar y ver las conversaciones de iMessage enviadas a través de Sunbird y Nothing Chats, ya que el contenido se enviaba en texto sin formato.

Nothing dijo que la aplicación Nothing Chats ha sido retirada “hasta nuevo aviso” mientras trabajan con Sunbird para “solucionar varios errores”, pero Sunbird ha guardado silencio sobre la situación, excepto por la notificación enviada a los usuarios. Como señala Ars Technica, la respuesta inicial de Sunbird a las preocupaciones de seguridad no parece haber provenido de “un desarrollador competente”, lo que plantea dudas sobre la capacidad de Sunbird para abordar los problemas de seguridad.

Se recomienda a los usuarios existentes de Sunbird y Nothing Chats que cambien las contraseñas de sus Apple ID, eliminen las aplicaciones y sigan pasos adicionales para eliminar sus datos. Si las aplicaciones se restablecen, se recomienda que los usuarios no las descarguen.