Sunbird brengt zijn iMessage-app voor Android opnieuw uit. De app werd eind vorig jaar offline gehaald nadat verschillende beveiligingsproblemen met de app aan het licht kwamen. Zo bleek dat berichten onversleuteld werden opgeslagen. Volgens de ontwikkelaar zijn de problemen opgelost.
Sunbird komt volgens de makers 'begin april' weer beschikbaar. Het bedrijf achter de app zegt maatregelen te hebben genomen om de beveiligingsproblemen op te lossen. Die werden in november opgemerkt door verschillende beveiligingsonderzoekers. Daaruit bleek onder meer dat berichten onversleuteld werden opgeslagen, ondanks expliciete claims van Sunbird dat het end-to-endencryptie toepaste. Ook werd de media van gebruikers opgeslagen via de Firebase-cloudopslagdienst van Google.
Volgens de makers wordt Sunbird nu gebaseerd op een nieuwe architectuur. Ze zeggen onder andere dat de oude architectuur gebruikmaakte van Firebase om berichten tijdelijk op te slaan, totdat ze opgehaald konden worden door de app zelf. Deze architectuur, door de Sunbird-makers AV1 genoemd, wordt vervangen door AV2.
Net als voorheen, zeggen de ontwikkelaars nu opnieuw dat de onversleutelde berichten van gebruikers nooit worden opgeslagen op een disk of in een database. "Wanneer berichten worden gedecodeerd om te worden doorgegeven aan het iMessage- en RCS/Google Messages-netwerk, bestaan ze in die staat alleen kortstondig in het geheugen", schrijft het team achter Sunbird. In de front-end van de app worden berichten 'in een versleutelde staat opgeslagen in de in-app database', zo claimen de makers. Ook het systeem voor het versturen van bestanden is volgens Sunbird op de schop gegaan.
De makers zeggen verder dat ze nieuw personeel hebben aangenomen dat verantwoordelijk wordt voor het ontwikkelproces van Sunbird. Daarnaast zegt het bedrijf samen te werken met Cipher. Dat cybersecuritybedrijf heeft volgens de ontwikkelaars pentests uitgevoerd op de app. Cipher zou geen kritieke beveiligingsproblemen hebben gevonden. Ook de voorgaande beveiligingsproblemen zouden opgelost zijn. Sunbird heeft het rapport van Cipher niet gepubliceerd.
Sunbird maakt het mogelijk om Apples iMessage-dienst te gebruiken op Android-telefoons, inclusief 'blauwe bubbels'. De app werd eind vorig jaar offline gehaald, nadat de eerdergenoemde beveilingsproblemen werden opgemerkt. Eerder werd een chatdienst van smartphonefabrikant Nothing al offline gehaald. Die app was gebaseerd op Sunbird. Om de dienst te gebruiken, moeten gebruikers inloggen op hun Apple ID in de Sunbird-app.