Sunbird ha decidido pausar su aplicación que permitía usar iMessage en Android. La empresa anunció que suspenderá la app para investigar posibles problemas de seguridad, luego de los señalamientos de que los mensajes no estaban cifrados de extremo a extremo. La decisión llega a menos de 24 horas de que Nothing Chats fuera eliminada de la Play Store por este motivo.

De acuerdo con 9to5Google, Sunbird envió una notificación a sus usuarios avisando sobre la decisión. Una entrada en el subreddit de la app ofrece más detalles y especifica que se trata de una medida temporal.

“Estimado usuario de Sunbird. Hemos decidido pausar el uso de Sunbird por ahora mientras investigamos problemas de seguridad. Le informaremos cuando estemos listos para continuar”, indica el aviso. La compañía también cerró el acceso a los archivos para evitar una filtración de datos.

Sunbird Messaging se encuentra en fase beta desde hace un tiempo y tenía programado un lanzamiento para diciembre de 2023. Sin embargo, la alianza con Nothing expuso diversos problemas de privacidad tanto en los mensajes como en el manejo de las credenciales de Apple.

Para acceder a iMessage en Android por medio de Nothing Chat, los usuarios deben entregar sus credenciales para iniciar sesión en un Mac vía remota. Pese a las promesas de un “entorno de mensajería seguro y privado”, algunos expertos descubrieron que Nothing Chats no ofrece cifrado de extremo a extremo. No solo las credenciales son inseguras en el tránsito, sino que Sunbird tiene acceso a todos tus mensajes, archivos y datos confidenciales.

“Sunbird tiene acceso a todos los mensajes enviados y recibidos a través de la aplicación. Lo hacen abusando @getsentry, que se utiliza para monitorear errores. Pero Sunbird registra los mensajes, pretendiendo que son errores”, mencionó Dylan Roussel, desarrollador de Android.

No habrá iMessage en Android, al menos por un tiempo

Sunbird, la app que ofrece iMessage en Android

Pese a los intentos de Nothing y Sunbird por minimizar el hecho, los problemas de seguridad son muy serios. La empresa declaró que se toma muy en serio la privacidad de sus usuarios, no obstante, los mensajes no están cifrados y las credenciales de usuario no se envían usando el protocolo HTTPS.

Una entrada en el blog de Texts detalla los fallos y el modo como un atacante podría acceder a la información privada de las personas. Los responsables de investigar el problema crearon un script de apenas 23 líneas de código que puede descargar todos los datos del usuario y sus conversaciones. Al no usar cifrado de extremo a extremos, cualquier empleado de Sunbird puede acceder al contenido de los mensajes sin que el usuario se entere.

Sunbird tendrá que resolver todas las vulnerabilidades antes de ofrecer de nuevo su aplicación de mensajería. De igual modo, Nothing deberá replantearse su estrategia de comunicación para no mentirles a sus usuarios sobre los riesgos de seguridad a los que estuvieron expuestos. Tras el retiro de Nothing Chats de la Play Store, la empresa solo dijo que retrasaría su lanzamiento para “resolver algunos bugs”.

La llegada de iMessage a Android está todavía lejos, aunque existe un rayo de esperanza. Apple confirmó que añadirá soporte para RCS en 2024, lo que ayudaría a cerrar la brecha en la mensajería entre iOS y Android. La adopción de este protocolo de mensajería permitiría una experiencia de uso moderna, con emojis, imágenes y videos en mayor calidad y notificaciones de leído.

La mejor alternativa para los usuarios de Android es usar un cliente de mensajería como WhatsApp o Telegram.