Muitos podem não acreditar, mas o iMessage do iOS faz um enorme sucesso nos Estados Unidos e é o queridinho do mercado. Lá, são os outros que tentam correr atrás dele.
Ele é tão usado que o sonho de muitos usuários de Android é poder usar o mensageiro da Apple sem precisar trocar de sistema operacional.
É por isso que a fabricante Nothing, que sempre quis passar uma imagem de descolada e moderna, anunciou recentemente que conseguiu implementar o iMessage no seu telefone, mesmo rodando Android.
E para isso, ela precisou mentir.
A campanha de marketing
O vídeo de lançamento deu o que falar, pois eles afirmam com todas as letras que conseguiram fazer uma maneira segura de usar o iMessage no seu novo smartphone.
Mas tudo não passou de papinho de marketing. A suposta integração era, na verdade, um novo aplicativo chamado Nothing Chat, que incorporava os serviços da Sunbird.
A Sunbird é um dos poucos apps para Android que possibilitam o acesso ao iMessage através de um Mac.
Embora a ideia não seja nova, o método apresenta problemas significativos em termos de segurança de dados quando o utilizador não está no controle do Mac em questão.
Durante a apresentação, o CEO da Nothing enfatizou a segurança da solução e o respeito pela privacidade dos utilizadores.
No entanto, a realidade é desanimadora, pois o sistema implementado pela Sunbird revelou-se desastroso em termos de segurança.
Para se inscrever ao serviço, a empresa usava as credenciais do iCloud do utilizador, associando-as a um Mac mini armazenado num servidor. Este computador era responsável por enviar e receber mensagens cifradas no contexto do uso normal do iMessage e, posteriormente, transmiti-las ao utilizador Android.
O problema central surgiu quando um programador descobriu que os dados não são criptografados de ponta a ponta, conforme prometido pela Sunbird, e estavam sendo transmitidos sem proteção de uma conexão HTTPS.
Isso significa que qualquer pessoa pode interceptar e ler as mensagens.
Além disso, muitos arquivos estavam armazenados sem criptografia, resultando na recuperação de 630.000 elementos dos servidores da Sunbird por um desenvolvedor, incluindo vCards, o formato de arquivo do app Contatos da Apple.
Ao abrir um desses arquivos, o desenvolvedor acessou informações completas do utilizador do Nothing Chat, como número de telefone, e-mail, nome completo e, em alguns casos, outras informações, como endereços postais.
A fraqueza na segurança do sistema da Sunbird foi demonstrada quando o Texts.com desenvolveu rapidamente uma prova de conceito que permitia a recuperação de dados privados ao enviar simplesmente uma mensagem do iMessage de um iPhone para uma conta que utiliza o Nothing Chat.
Nothing retirou o Chat do ar
Diante dessa constatação, a Nothing agiu rapidamente, retirando o app do ar e encerrando o serviço poucos dias após o lançamento. Oficialmente, a empresa alegou atraso no lançamento para corrigir falhas com a Sunbird.
A reputação do Nothing Chat e, possivelmente, da Nothing como um todo, enfrenta desafios consideráveis agora.
A questão que persiste é por que a empresa não identificou esses problemas de segurança evidentes antecipadamente.
Como foi possível lançar a funcionalidade, apresentando-a como segura, com base apenas nas promessas da Sunbird?
Esta é uma falha significativa, e pode ser difícil para a empresa se recuperar, especialmente considerando o infeliz calendário do anúncio, seguido pela revelação da adoção do RCS pela Apple para 2024, reduzindo o apelo de soluções como a Sunbird.
Nunca forneça suas credenciais do iCloud
Usuários mais experientes sabem que nunca se deve fornecer para nenhum serviço externo as suas credenciais do iCloud para ele acessar o serviço de forma independente, por mais que você supostamente confie nesse serviço.
Isso porque está cada vez mais comum o vazamento de dados de grandes empresas, e se suas credenciais não estão protegidas, acabam indo junto e você fica exposto.
Em outro artigo aqui no BDI, nós listamos algumas coisas que você deve evitar para proteger a sua conta do iCloud. 😉
