Sunbird brengt iMessage-app voor Android opnieuw uit na beveiligingsproblemen

Sunbird brengt zijn iMessage-app voor Android opnieuw uit. De app werd eind vorig jaar offline gehaald nadat verschillende beveiligingsproblemen met de app aan het licht kwamen. Zo bleek dat berichten onversleuteld werden opgeslagen. Volgens de ontwikkelaar zijn de problemen opgelost.

Sunbird komt volgens de makers 'begin april' weer beschikbaar. Het bedrijf achter de app zegt maatregelen te hebben genomen om de beveiligingsproblemen op te lossen. Die werden in november opgemerkt door verschillende beveiligingsonderzoekers. Daaruit bleek onder meer dat berichten onversleuteld werden opgeslagen, ondanks expliciete claims van Sunbird dat het end-to-endencryptie toepaste. Ook werd de media van gebruikers opgeslagen via de Firebase-cloudopslagdienst van Google.

Volgens de makers wordt Sunbird nu gebaseerd op een nieuwe architectuur. Ze zeggen onder andere dat de oude architectuur gebruikmaakte van Firebase om berichten tijdelijk op te slaan, totdat ze opgehaald konden worden door de app zelf. Deze architectuur, door de Sunbird-makers AV1 genoemd, wordt vervangen door AV2.

Net als voorheen, zeggen de ontwikkelaars nu opnieuw dat de onversleutelde berichten van gebruikers nooit worden opgeslagen op een disk of in een database. "Wanneer berichten worden gedecodeerd om te worden doorgegeven aan het iMessage- en RCS/Google Messages-netwerk, bestaan ze in die staat alleen kortstondig in het geheugen", schrijft het team achter Sunbird. In de front-end van de app worden berichten 'in een versleutelde staat opgeslagen in de in-app database', zo claimen de makers. Ook het systeem voor het versturen van bestanden is volgens Sunbird op de schop gegaan.

De makers zeggen verder dat ze nieuw personeel hebben aangenomen dat verantwoordelijk wordt voor het ontwikkelproces van Sunbird. Daarnaast zegt het bedrijf samen te werken met Cipher. Dat cybersecuritybedrijf heeft volgens de ontwikkelaars pentests uitgevoerd op de app. Cipher zou geen kritieke beveiligingsproblemen hebben gevonden. Ook de voorgaande beveiligingsproblemen zouden opgelost zijn. Sunbird heeft het rapport van Cipher niet gepubliceerd.

Sunbird maakt het mogelijk om Apples iMessage-dienst te gebruiken op Android-telefoons, inclusief 'blauwe bubbels'. De app werd eind vorig jaar offline gehaald, nadat de eerdergenoemde beveilingsproblemen werden opgemerkt. Eerder werd een chatdienst van smartphonefabrikant Nothing al offline gehaald. Die app was gebaseerd op Sunbird. Om de dienst te gebruiken, moeten gebruikers inloggen op hun Apple ID in de Sunbird-app.

Door Daan van Monsjou

Redacteur

Feedback • 08-04-2024 08:1423

08-04-2024 • 08:14

23 Linkedin Whatsapp

Lees meer

Beeper introduceert iMessage-client voor Android die werkt zonder Apple ID
Beeper introduceert iMessage-client voor Android die werkt zonder Apple ID Nieuws van 6 december 2023
Sunbird stopt tijdelijk met zijn iMessage-app voor Android na beveiligingszorgen
Sunbird stopt tijdelijk met zijn iMessage-app voor Android na beveiligingszorgen Nieuws van 21 november 2023
Nothing haalt Nothing Chats-berichtendienst tijdelijk uit Google Play Store
Nothing haalt Nothing Chats-berichtendienst tijdelijk uit Google Play Store Nieuws van 19 november 2023
Nothing introduceert Nothing Chats-app die werkt met iMessage voor Phone (2)
Nothing introduceert Nothing Chats-app die werkt met iMessage voor Phone (2) Nieuws van 14 november 2023
Meer producten en artikelen
Software Smartphones Beveiliging en antivirus Encryptie Imessage

Reacties (23)

-Moderatie-faq
23
23
14
2
0
9
Wijzig sortering
Bram®
8 april 2024 08:39
Het bedrijf achter de app zegt maatregelen te hebben genomen om de beveiligingsproblemen op te lossen. Die werden in november opgemerkt door . Daaruit bleek onder meer dat berichten onversleuteld werden opgeslagen, ondanks expliciete claims van Sunbird dat het end-to-endencryptie toepaste
en
Net als voorheen, zeggen de ontwikkelaars nu opnieuw dat de onversleutelde berichten van gebruikers nooit worden opgeslagen op een disk of in een database. "Wanneer berichten worden gedecodeerd om te worden doorgegeven aan het iMessage- en RCS/Google Messages-netwerk (…)”
Er is dus geen sprake meer van e2e encryptie, dat geeft men zelf aan. Dat wordt verhuld door mooie marketingspeak en goede intenties.
GertMenkel
@Bram®8 april 2024 12:53
Aan de ene kant is het heel erg jammer dat de versleuteling weg is. Aan de andere kant kunnen Androidgebruikers nu toch al geen versleutelde berichten sturen (hooguit MMS, later dit jaar RCS). Ik kan me voorstellen dat het gros van de gebruikers vooral iMessage wil vanwege de functionaliteit, niet vanwege de versleuteling.

Qua versleuteling zit je sowieso niet heel geweldig met iMessage, daar iCloud standaard de sleutels van versleutelde backups naar Apple stuurt en Apple (en partijen die invloed op Apple kunnen uitoefenen) vrolijk mee kunnen lezen. Je kunt die backups natuurlijk uitzetten, maar er hoeft maar één persoon in je chatgroep te zijn die dat niet doet en je berichten zijn leesbaar. Ditzelfde geldt natuurlijk ook voor apps als WhatsApp, alhoewel voor WhatsApp dan wel weer een eigen sleutel te kiezen valt voor de backups.

Uiteindelijk komt het neer op de vraag of je Sunbird meer vertrouwt dan je eigen provider, want dat is waar de berichten nu te lezen zijn. Aan de andere kant heb ik niet een al te hoge pet op van Amerikaanse providers. Effectief ga je van "je provider en de provider aan de andere kant kunnen meelezen" naar "alleen Sunbird kan meelezen" en dat kan een verbetering zijn. Het is alleen jammer dat dit bedrijf met onwaarheden schermt, dat helpt het vertrouwen ook weer niet.

Het zou veel mooier zijn als apps als Beeper Mini konden worden gebruikt, maar Apple saboteert die aanpak. Ik vermoed dat de aanpak van Sunbird, met vage proxies, lastiger te saboteren zal zijn.
Horla
@GertMenkel8 april 2024 13:27
Aan de ene kant is het heel erg jammer dat de versleuteling weg is. Aan de andere kant kunnen Androidgebruikers nu toch al geen versleutelde berichten sturen (hooguit MMS, later dit jaar RCS). Ik kan me voorstellen dat het gros van de gebruikers vooral iMessage wil vanwege de functionaliteit, niet vanwege de versleuteling.
Lol, mijn buikgevoel zegt eerder dat ze willen communiceren met Apple gebruikers die weigeren een andere message app te installeren. Die versleutelde berichten trekt niemand zich een bal van aan en als ze dat toch doen, dan gebruiken ze wel Whatsapp/Signal/etc.
i7x
8 april 2024 09:26
Al die moeite terwijl iMessage oor rcs krijgt binnenkort. En daar zou je dan zo'n derde partij voor moeten gaan gebruiken ook. Snap niet hoe dit aantrekkelijk kan zijn voor iemand.
Theratron
@i7x8 april 2024 11:20
Volgens mij gaat het om de blauwe vinkjes, dat is een heel ding in Amerika; als je geen blauwe vinkjes (dus iMessage met een iPhone) hebt, hoor je er niet bij ofzo. RCS wordt door Apple wel geïmplementeerd, maar als je zo'n bericht vanaf een Android naar een iPhone gebruiker stuurt zal dat nog steeds een groen vinkje opleveren, geen blauwe. En "hoor je er nog steeds niet bij".

Bij dit soort onzin spinnen deze clubs dus garen. Dat je op je Android alsnog een blauw vinkje krijgt. Ikzelf zou juist denken: "fijn dat je niet met de massa mee gaat en anders durft te denken" (87% van de jeugd in de US heeft een iPhone), maar goed, zo zal de jeugdcultuur niet werken :P

Overigens, vreemd genoeg is dat hoe Apple zo groot is geworden destijds: door zichzelf als een rebelse club van andersdenkenden te manifesteren.

[Reactie gewijzigd door Theratron op 8 april 2024 11:23]

i7x
@Theratron8 april 2024 11:25
Zo wordt het sensationeel beschreven door de nieuwsmedia. Praktijk is gewoon dat je enkel plain text kunt sturen bij een groen vinkje. Dat is irritant, maar dat vinkje zelf maakt natuurlijk niets uit. Binnenkort is dat voorbij en kun je veel iMessage features (locatie delen, normale resolutie foto's, e.d.) via rcs alsnog doen. Dat hele gezwets over kleuren van vinkjes gaat helemaal aan het werkelijke punt voorbij.

[Reactie gewijzigd door i7x op 8 april 2024 11:28]

Xerxes249
@i7x8 april 2024 11:40
Ik weet niet of Android ook support heeft voor standaard-niet-google-RCS? Anders hebben we straks dat probleem nog steeds natuurlijk.
GertMenkel
@Xerxes2498 april 2024 12:55
Android kan het voor zover ik weet wel, maar er zijn niet veel providers die RCS aanbieden. Dat is dan ook de reden dat Google een miljard RCS-gebruikers op hun server heeft staan, de providers hadden geen interesse. Vodafone heeft zelfs RCS weer uitgezet nadat het eerder aan was gezet.
i7x
@Xerxes2498 april 2024 13:02
Niet echt, want zo ongeveer iedereen gebruikt gewoon Google op Android. Ik snap je Tweakers mentaliteit, maar dat is zo'n select groepje dat dat in de echte wereld geen enkel verschil gaat maken. Persoonlijk vind ik het overigens niet erg dat de providers zich niet bemoeien met rcs. Afzetters zouden er zo geld voor vragen als ze ermee weg zouden komen (en dit hebben ze dan ook geprobeerd).
Xerxes249
@i7x8 april 2024 13:37
Het probleem is meer dat Apple niet 'Google-rcs' gaat implementeren maar de RCS standaard. Vandaar mijn vraag, ik snap dat voor Android onderling dit voor 99% dit niet uitmaakt want iedereen daar gebruikt Google-RCS.
i7x
@Xerxes2498 april 2024 13:53
Ah ok, ik denk dat ik snap wat je bedoelt. Voor zover ik weet werkt Apple samen met Google om de boel aan elkaar te knopen en is het doel wel echt dat, wanneer het wordt geimplementeerd, dit netjes werkt tussen Android en iMessage.
copi
@i7x8 april 2024 12:46
ik denk dat als je dezelfde app met elkaar wilt gebruiken, dan vraag je toch of ze signal oid installeren in plaats van ergens blind je credentials in te kloppen?
Raymond Deen
@copi9 april 2024 14:09
Ik zou mijn icloud credentials ook niet zomaar bij een andere dienst ingeven inderdaad. Alles van Apple hangt daar aan, van de Find me tot en met de cloud storage tot aan abonnementen...
Daniel Duin
8 april 2024 08:36
Ik zit toevallig al een tijdje in hun Discord-kanaal maar na de security-issues zou er een audit zijn geweest. Deze audit wordt vooralsnog niet openbaar gemaakt en de nieuwe versie wordt via DM gedistribueerd aan een select aantal gebruikers.

De nieuwe Beeper (all-in app) is zoveel beter en ook helemaal opnieuw geschreven. Die draait als een zonnetje.
RRRobert
@Daniel Duin8 april 2024 08:48
De nieuwe Beeper (all-in app) is zoveel beter en ook helemaal opnieuw geschreven. Die draait als een zonnetje.
Ik zat er net eens naar te kijken. Opvallend is wel, dat zowel de oude als de nieuwe app worden aangeboden in de Play store.
PaulHelper
@RRRobert8 april 2024 13:29
Niet heel opvallend. Het is een beetje fail fast principe en dat gaat niet als er een app nog niet af is. Ik gebruik op het moment de nieuwe/nieuwste Beeper maar sommige dingen zijn nog niet zo goed als de oude Beeper. De dingen die ik tegenkwam zijn niet het einde van de wereld maar wel minder fijn voor een gemiddelde gebruiker. Erg specifiek voorbeeld. Bij Fitbit werkt de oude Beeper wel maar de nieuwe (nog) niet. Ook ging er het een en ander mis met mediasizes in vooral Instagram en sommige andere apps/links.
Ofwel ze zijn er bijna met de rework maar nog net niet. Dus voor mensen die van werkende dingen houden zou ik nog even op de oude blijven.
Zelf ga ik toch 99% over op de nieuwe. En als er iets fout gaat gebrukk ik of de oude of de native app zoals altijd.
JakkoFourEyes
@Daniel Duin8 april 2024 10:32
Deze audit wordt vooralsnog niet openbaar gemaakt
Dat lijkt me toch wel enigszins zorgelijk.
Aldy
@JakkoFourEyes8 april 2024 16:05
Als je audit goed is en je gebruikt het als verkoopargument bij je (toekomstige) klanten, dan publiceer je dit. Je weet dat je klanten kritisch zijn, dan weet je ook dat het niet publiceren als een boemerang bij je terugkomt.
The Zep Man
8 april 2024 08:29
Daarnaast zegt het bedrijf samen te werken met Cipher. Dat cybersecuritybedrijf heeft volgens de ontwikkelaars pentests uitgevoerd op de app. Cipher zou geen kritieke beveiligingsproblemen hebben gevonden. Ook de voorgaande beveiligingsproblemen zouden opgelost zijn. Sunbird heeft het rapport van Cipher niet gepubliceerd.
Dit klinkt als voorzichtig afgewogen marketingspeak. Rode vlag. Je weet niet hoeveel nieuwe bevindingen met een classificatie "hoog" (een niveau onder "kritiek") gevonden zijn. Ook weet je niet wat Sunbird met die bevindingen gedaan heeft. Dergelijke informatie is juist nodig om het volwassenheidsniveau op het gebied van informatiebeveiliging van een organisatie te meten.

Enkel "nieuwe (extra) personeel, bouw nieuw, geen kritieke bevindingen gevonden in een test" maakt geen veilige online dienst.

[Reactie gewijzigd door The Zep Man op 8 april 2024 08:36]

Rhinosaur
@The Zep Man8 april 2024 08:38
Ik vind wel dat het klinkt alsof ze geleerd hebben en goede maatregelen hebben genomen. Het lijkt er wel op dat het niet extern verifieerbaar is. Dat zou het echte probleem zijn. Overigens kwam de vorige versie vooral over als onkunde, niet als onwil.
The Zep Man
@Rhinosaur8 april 2024 08:51
Ik vind wel dat het klinkt alsof ze geleerd hebben en goede maatregelen hebben genomen.
Dat is de marketingspeak. Iedereen die ervaring heeft met pentests zal aanvoelen dat hier een dun lijntje wordt bewandeld.
Aegir81
8 april 2024 08:28
Ik dacht eerst dat het over een stopgezette kalenderapp van Mozilla ging 😋

Bedrijven die zo flagrant liegen over de beveiliging (en vooral het gebrek eraan) zou ik geen tweede kans geven.
Yzord
8 april 2024 19:13
Een audit zonder openbaar rapport is geen audit. We kunnen allemaal wel roepen dat er een audit is gedaan en beweren dat er geen issues meer gevonden zijn, maar roepen is iets anders dan feitelijk aantonen.

Persoonlijk zou ik deze app mooi links laten liggen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee