Sunbird – die skizzenhafte iMessage-App für Android – wurde gerade heruntergefahren

Nadeem Sarwar / Digitale Trends

Was eigentlich ein iMessage-Einlöser für Android-Smartphone-Benutzer sein sollte, wurde schnell in einem Chaos aus Sicherheit und völliger Nachlässigkeit vernichtet. Nur wenige Tage, nachdem die Nothing Chats-App aus dem Play Store entfernt wurde, verabschiedet sich auch die zugrunde liegende Technologie von Sunbird auf unbestimmte Zeit, was den Verdacht verstärkt, dass etwas ernsthaft falsch läuft.

Sunbird tauchte Ende letzten Jahres auf unserem Radar auf und versprach blaue Blasen für Android-zu-iPhone-Nachrichten. Es versprach außerdem, alle Messaging-Apps in einem einzigen Cluster zu bündeln, ähnlich wie Beeper. Nothing übernahm die Sunbird-Technologie, bündelte sie in einer eigenen App für das Nothing Phone 2 und brachte sie mit einem ambitionierten Video auf den Markt. „Tut mir leid, Tim.“ Das ist die Botschaft, die Carl Pei, CEO von Nothing, gesendet hat.

Bringt die blauen Blasen mit.

Wir glauben an Fenster, nicht an Wände. Wenn Messaging-Dienste die Telefonnutzer spalten, dann wollen wir diese Barrieren abbauen.

Deshalb haben wir die iMessage-Kompatibilität für Ihr Telefon entwickelt (2). pic.twitter.com/kArTGfXlQO

– Nichts (@nothing) 14. November 2023

Am Wochenende fiel mir auf, dass im Google Play Store-Eintrag der Sunbird-App eine leere Seite angezeigt wurde. Ich dachte ursprünglich, dass es aufgrund einiger geografischer Einschränkungen nicht verfügbar sei. Das Unternehmen machte diesbezüglich keine öffentliche Ankündigung, außer der Benachrichtigung der Mitglieder im Sunbird Discord-Kanal.

„Wir haben die Sunbird-App vorübergehend geschlossen, während wir eine detaillierte Sicherheitsanalyse durchführen“, hieß es in der Warnung und fügte hinzu, dass das Unternehmen weitere Einzelheiten bekannt geben werde, wenn es die „genauen Vorkommnisse“ identifiziert.

Sparen Sie bei allem, von Laptops und Tablets über Kaffeemaschinen und Luftreiniger bis hin zu wichtigen Smart-Home-Geräten wie dem Amazon Echo.

Interessanterweise wurde die Enthüllung erstmals im Entwicklerankündigungskanal des Discord-Netzwerks von Sunbird gemacht. „Aus größter Vorsicht und zum Schutz Ihrer vertraulichen Daten schließen wir Sunbird vorübergehend“, hieß es.

Ich kann mir nicht erklären, warum es einen Tag gedauert hat, bis die gleichen Informationen im öffentlichen Kanal veröffentlicht wurden. Und vor allem: Warum hat Sunbird es versäumt, eine Ankündigung auf seinen aktiven Facebook- und X-Benutzernamen (ehemals Twitter) zu machen?

In einer Nachricht, die heute im öffentlichen Discord-Kanal erschien, sagte Sunbird nur: „Es ist viel los“, machte aber keine weiteren technischen Details oder Fortschritte bei der Risikominderung. „Wir haben beschlossen, die Nutzung von Sunbird vorerst auszusetzen, während wir Sicherheitsbedenken untersuchen“, heißt es in der Nachricht.

Digital Trends hat den technischen Leiter von Sunbird, Garin, um weitere Informationen gebeten und wird diese Geschichte aktualisieren, sobald sie antworten.

Sunbird hat erst damit begonnen, Benutzer über eine In-App-Nachricht zu benachrichtigen. Heute früh entdeckte 9to5Google In-App-Benachrichtigungen von Sunbird-Benutzern, die auf Reddit gepostet wurden und sie darüber informierten, dass die App vorübergehend auf Eis gelegt wurde. Es ist dieselbe Botschaft, die zuerst in der Discord-Community geteilt wurde.

Die Sicherheitsrisiken

Andy Boxall / Digitale Trends

Sicherheitsspezialisten von Texts stellten fest, dass die Messaging-App Nothing Chats für ihre Nachrichten keine HTTPS-Sicherheitsprotokolle verwendete. Stattdessen wurde der weniger sichere HTTP-Standard verwendet und Nachrichten im unverschlüsselten Klartext übertragen. Wenn uns die Geschichte etwas über digitale Sicherheit gelehrt hat, ist Klartext eine schlechte Nachricht.

Eine separate Untersuchung ergab, dass alle Arten der Kommunikation über Nothing Chats – einschließlich Text, Bilder und andere Medien – in diesem ungesicherten, leicht sichtbaren Format gesendet wurden. Darüber hinaus wurde festgestellt, dass alle auf Nothing Chats gesendeten und gespeicherten Nachrichten unverschlüsselt waren und auf einer leicht zugänglichen Firebase-Plattform gehostet wurden.

Weitere Ergebnisse zeigten, dass Benutzer nach der Authentifizierung mithilfe von JSON Web Tokens (JWT), die während der Übertragung nicht sicher sind, Zugriff auf die Firebase-Datenbank von Nothing Chat erhalten. Dieser Zugriff ermöglicht es ihnen, die Nachrichten und Dateien anderer Benutzer anzuzeigen, die in Echtzeit und im Klartext gesendet und gespeichert werden.

iMessage auf einem iPhone 15 Pro Max (links) und Nothing Chats auf einem Nothing Phone 2 Andy Boxall / Digitale Trends

All dies löst große Sicherheitsalarme hinsichtlich der Sunbird-App (und der Nothings Chats-App) aus. Besonders besorgniserregend ist es, wenn Sie nach Ihren Apple-ID-Anmeldedaten gefragt werden, dem magischen Token, das alles von Ihren E-Mails und persönlichen Fotos bis hin zu Ihren Bankdaten verknüpft.

Es wäre interessant zu sehen, wohin Nothing und Sunbird von hier aus gehen. Aber da Apple sich RCS zu eigen macht und die Funktionslücke für Android-iPhone-Messaging schließt, glaube ich nicht, dass es sich lohnen würde, Ihre Privatsphäre und Datensicherheit für einen Hack zu riskieren, der Ihnen blaue Chat-Blasen liefert.