Kontroverse Sunbird-App für Android abrupt offline – für immer?
Zuletzt aktualisiert am 21. November 2023 von Jonas Hartmann
Die vielversprechende Sunbird-App hat sich in einem Chaos aus Sicherheitsproblemen und Nachlässigkeit aufgelöst. Nur wenige Tage nach der Entfernung der Nothing Chats App aus dem Play Store zieht sich auch die von Sunbird bereitgestellte Technologie in eine unbestimmte Auszeit zurück, was den Verdacht auf schwerwiegende Probleme verstärkt.
Sunbird tauchte letztes Jahr auf und versprach Android-Nutzern “blaue Blasen” für Nachrichten von Android zu iPhone. Die App sollte außerdem alle Messaging-Apps in einem Cluster bündeln. Nothing übernahm die Sunbird-Technologie, integrierte sie in seine eigene App für das Nothing Phone 2.
Das Unternehmen gab keine öffentliche Ankündigung dazu heraus, informierte jedoch Mitglieder im Sunbird-Discord-Kanal.
“Wir haben die Sunbird-App vorübergehend geschlossen, während wir eine detaillierte Sicherheitsanalyse durchführen”, besagte die Benachrichtigung. Hinzugefügt wurde dass das Unternehmen weitere Details anbieten wird, wenn es die “genauen Vorfälle” identifiziert hat.
Interessanterweise wurde diese Information zuerst im dev-announcements-Kanal des Discord-Netzwerks von Sunbird bekannt gegeben. “In einem Übermaß an Vorsicht und zum Schutz Ihrer vertraulichen Daten schließen wir Sunbird vorübergehend”, hieß es.
In einer heute im öffentlichen Discord-Kanal erschienenen Nachricht sagte Sunbird nur “viel los”, gab jedoch keine weiteren technischen Details oder Fortschritte bei der Risikominderung bekannt. “Wir haben beschlossen, die Sunbird-Nutzung vorerst zu pausieren, während wir Sicherheitsbedenken untersuchen”, heißt es in der Nachricht.
Sunbird hat Benutzer nur über eine In-App-Nachricht benachrichtigt. Früher heute entdeckte 9to5Google In-App-Benachrichtigungen von Sunbird-Benutzern auf Reddit, die sie darüber informierten, dass die App vorübergehend angehalten wurde. Es handelt sich um dieselbe Nachricht, die zuerst in der Discord-Community geteilt wurde.
Die Sicherheitsrisiken
Sicherheitsexperten von Texts stellten fest, dass die Messaging-App Nothing Chats keine HTTPS-Sicherheitsprotokolle für ihre Nachrichten verwendete. Stattdessen wurde der weniger sichere HTTP-Standard verwendet, der Nachrichten im unverschlüsselten Klartext übertrug. Wenn uns die Geschichte etwas über digitale Sicherheit gelehrt hat, dann dass Klartext keine gute Nachricht ist.
Eine separate Untersuchung ergab, dass alle Arten von Kommunikation durch Nothing Chats – einschließlich Text, Bilder und anderer Medien – in diesem unsicheren, leicht sichtbaren Format gesendet wurden. Es wurde auch festgestellt, dass alle Nachrichten, die über Nothing Chats gesendet und gespeichert wurden, unverschlüsselt waren und auf einer leicht zugänglichen Firebase-Plattform gehostet wurden.
Weitere Erkenntnisse zeigten, dass Benutzer nach der Authentifizierung mithilfe von JSON Web Tokens (JWT). Die während der Übertragung nicht sicher sind, Zugriff auf die Firebase-Datenbank von Nothing Chat erlangen. Dieser Zugang ermöglicht es ihnen, die Nachrichten und Dateien anderer Benutzer in Echtzeit und im Klartext anzuzeigen.
All dies löst riesige Sicherheitsalarme in Bezug auf die Sunbird- (und die Nothing Chats-)App aus. Insbesondere wenn sie nach Ihren Apple ID-Anmeldeinformationen fragt. Welche alles von Ihren E-Mails und persönlichen Fotos bis zu Ihren Bankdaten verknüpft.
Es wird interessant sein zu sehen, wohin Nothing und Sunbird von hier aus gehen. Aber mit Apples Umstellung auf RCS und der Füllung der Funktionslücke für Android-iPhone-Messaging denke ich nicht, dass es sich lohnen würde, Ihre Privatsphäre und Datensicherheit für einen Hack zu riskieren, der Ihnen blaue Chat-Blasen gibt.