Impressionante dietrofront per Sunbird: quella che si era proposta come l’applicazione in grado di integrare iMessage su Android è al centro di un tornado di problemi di sicurezza e mala gestione comunicativa.
I veri tecnomanti tra i lettori di certo conosceranno il nome di Sunbird; per tutti gli altri ecco un piccolissimo riassunto. Sunbird è un’applicazione di messaggistica funzionante sul web (stile web app) e Android che si propone l’obbiettivo di unire le applicazioni di messaggistica più popolari al mondo all’interno di un unico contenitore.
L’applicazione, al momento della stesura di questa news, aveva dichiarato la compatibilità con gli SMS, gli MMS, WhatsApp, Facebook Messenger e sopratutto iMessage; nel corso del prossimo futuro l’applicazione avrebbe dovuto ottenere aggiornamenti con compatibilità a Telegram, RCS, Instagram Messenger, Line, Slack e Discord.
Tutti i messaggi in questione sarebbero stati gestiti attraverso un sistema cloud, non facendo transitare alcun messaggio direttamente sul telefono; in questa maniera l’azienda prometteva sicurezza e alti livelli di privacy per i suoi utenti.
Ecco: a quanto pare è stata proprio la sicurezza il problema.
Nascondersi in piena vista
Per Sunbird il salto di qualità è stato il venir integrato all’interno di Nothing Chats, il sistema di messaggistica installato in maniera predefinita all’interno del Nothing Phone. L’idillio è però durato veramente poco in qualche Nothing Chats è stato rapidamente rimosso dal Play Store da Google, inizialmente senza addurre alcuna motivazione specifica.
A far preoccupare fin da subito è stata la mancanza di informazioni precise da parte dei developer; nessun tipo di aggiornamento è stato pubblicato sulle pagine Facebook o X dello strumento, né da parte di Nothing né da parte di Sunbird (che, lo ricordiamo, è l’azienda informatica che rappresenta il fondamento tecnologico della messaggistica all-in-one).
Inizialmente le informazioni sono cominciate a trapelare sul canale Discord di Sunbird, con annunci ufficiali prima soltanto visibili agli sviluppatori e poi finalmente in chiaro all’interno dei canali pubblici.
Come precauzione per proteggere i dati personali dei nostri utenti, stiamo temporaneamente dismettenendo Sunbird.
Abbiamo momentaneamente dismesso le applicazioni con base Sunbird nel mentre che portiamo avanti una dettagliata analisi di sicurezza.
Ancora più recentemente un messaggio comparso all’interno del canale pubblico delle comunicazioni a tema Sunbird, sempre sul Discord, riportava sempre le solite informazioni: l’applicazione è al momento non disponibile per problematiche legate alla sicurezza informatica del prodotto etc etc.
Un disastro su tutta la linea
A chiarire la situazione sono stati gli esperti di cybersicurezza di Texts, un’applicazione rivale che promette sostanzialmente lo stesso risultato di Sunbird, con un post sul loro blog.
Il problema risiede nel protocollo di comunicazione impiegato dall’applicazione di messaggistica: questa infatti per determinate tipologie di comunicazioni impiegata il semplice HTTP invece dell’HTTPS (per inciso, il sito che state leggendo utilizza il protocollo HTTPS per comunicare, esattamente come la stragrande maggioranza dell’internet su cui navigate).
Questa scelta può sembrare ininfluente agli occhi dei meno tecnici ma così non è: attraverso l’utilizzo di un protocollo senza crittografia come l’HTTPS, Sunbird stava di fatto trasmettendo i messaggi come semplici elementi di testo, senza utilizzare alcun tipo di sovrastruttura crittografica. Questo non soltanto vale per i messaggi di testo, bensì anche per gli elementi multimediali che vengono scambiati attraverso Nothing Chat: una situazione che ha davvero del paradossale.
A questo è necessario poi aggiungere anche un ulteriore dettaglio: tutti i messaggio che venivano inviati attraverso Nothing Chat venivano immagazzinati senza crittografia all’interno di una piattaforma web con base Firebase. La ciliegina sulla torta è poi data dall’assenza di sistemi di sicurezza durante la trasmissione dei JSON Web Token, ovvero di piccoli pacchetti dati che sono utilizzati dai singoli utenti per effettuare l’autenticazione.
Di fatto i ricercatori hanno suggerito come attraverso una semplice copia illegittima di questi web token (che non sono crittografati e pertanto risultano essere semplici da copiare), per eventuali malintenzionati diventa semplicissimo visualizzare i messaggi o i file di altri utenti.
Un disastro su tutta la linea, in sostanza, che diventa ancora peggiore se si considera che per poter utilizzare Sunbird per iMessage è necessario sincronizzare le credenziali della prima applicazione con le proprie credenziali Apple ID, lo stesso che viene utilizzato tanto per le email personali quanto per le credenziali di accesso ai sistemi di pagamento.
Al momento non ci sono informazioni nè da parte di Sunbird nè da parte di Nothing su un eventuale ripresa dei servizi dell’applicazione; è probabile che non sia qualcosa che accadrà nel’immediato.
Raramente ci siamo trovati davanti a un simile scempio in termini di sicurezza informatica base; il rischio è che a pagarne le conseguenze sarà Nothing, che con il suo prodotto di punta, il Nothing Phone 2, propone un prodotto di qualità all’interno di un mercato molto saturo e anche mediamente deludente.