Beeper è sicuro? Perché Apple ha chiuso l'app da Android a iMessage
Pubblicato: 2023-12-11Apple ha deciso di chiudere Beeper Mini, un'applicazione che consentiva agli utenti di inviare iMessage, inviati tramite Wi-Fi anziché tramite reti cellulari, tra dispositivi Android e iOS .
Venerdì, la società ha annunciato sulla piattaforma di social media X che stava riscontrando un'interruzione. Successivamente è emerso che ciò era dovuto agli sforzi di Apple per bloccarlo, con il gigante della tecnologia che citava “problemi di sicurezza”.
In questa breve guida, spiegheremo perché Apple voleva così tanto chiudere Beeper Mini , se Beeper è sicuro e se esistono alternative a Beeper che vale la pena considerare. Tutto sommato, copriamo:
- Cos'è Beeper?
- Perché Apple ha spento Beeper?
- Beeper è sicuro? Spiegazione delle misure di sicurezza
- Il segnale acustico è già stato risolto?
- Sunbird: un'alternativa al segnale acustico da evitare
"Beeper", invece, è un'app di messaggistica unificata all-in-one per dispositivi iOS e desktop lanciata nel 2021. Dopo il lancio di Beeper Mini, è stata ribattezzata " Beeper Cloud ".
Sebbene fosse possibile inviare iMessage senza un iPhone prima dell'esistenza di Beeper, il metodo dell'azienda è un modo più nuovo, più semplice e più sicuro per farlo.
Beeper non richiede nemmeno agli utenti di creare o consegnare i propri ID Apple.
Vuoi navigare sul Web in privato? O apparire come se fossi in un altro paese?
Ottieni un enorme sconto dell'86% su Surfshark con questa offerta del Black Friday di Tech.co. 
Beeper Mini è stato lanciato dopo che un ricercatore di sicurezza – all'epoca uno studente delle scuole superiori – ha inviato uno script Python che è riuscito a decodificare il protocollo iMessage di Apple e fornire la funzionalità ai telefoni Android.
Perché Apple ha spento Beeper?
Verso la fine della scorsa settimana, Reddit ha iniziato a riempirsi di segnalazioni di un'interruzione del Beeper poiché le richieste di messaggi degli utenti stavano scadendo in massa.
I rapporti sono stati successivamente convalidati dal co-fondatore di Beeper Eric Migicovsky su X (ex Twitter), il quale ha affermato che "tutti i dati indicano che" dietro l'interruzione c'era Apple .
Apple spiega in una dichiarazione rilasciata di recente che "ha adottato misure per proteggere i nostri utenti bloccando le tecniche che sfruttano credenziali false per ottenere l'accesso a iMessage".
"Queste tecniche comportano rischi significativi per la sicurezza e la privacy degli utenti", continua la dichiarazione solitaria dell'azienda alla stampa sulla questione, "incluso il rischio di esposizione dei metadati e la possibilità di messaggi indesiderati, spam e attacchi di phishing ."
La decisione di Apple di bloccare Beeper Mini ha provocato le ire della senatrice americana Elizabeth Warren, da lungo tempo sostenitrice di leggi antitrust più severe, che ha accusato Apple di “schiacciare i concorrenti”.
Beeper è sicuro?
In breve, Beeper Cloud presenta alcune limitazioni di sicurezza che lo rendono meno sicuro rispetto all'utilizzo di app di messaggistica crittografate. Tuttavia, Beeper Mini è molto più sicuro: l'apertura dell'azienda riguardo alla sua architettura di sicurezza e ai rigorosi test delle app è incoraggiante e non è necessario fornire alcuna informazione sull'account Apple per utilizzarlo.
È importante sottolineare che Beeper Mini sembra al momento più sicuro di altre opzioni da Android a iMessage, oltre a inviare messaggi SMS non crittografati. La sicurezza è raramente un'equazione a somma zero e attualmente i messaggi Android non sono crittografati. Inoltre, nonostante le proteste di Apple, non sembra esserci alcun problema di sicurezza evidente nel modo in cui è stata configurata l'app.
Nuvola di segnali acustici
Esistono limitazioni a Beeper Cloud dal punto di vista della sicurezza, che vale la pena conoscere. L’azienda afferma nella sua “Guida introduttiva“:
“Beeper è un'app di chat universale che supporta connessioni a oltre 15 reti di chat. Per utilizzare Beeper, devi autorizzare l'app a inviare e ricevere messaggi attraverso altre reti di chat utilizzando le credenziali del tuo account. Per definizione, questo potrebbe essere meno sicuro rispetto all’utilizzo di altre app di chat da sole, in particolare app di chat crittografate come Signal.”
Oltre a ciò, come sottolineato nel rapporto LifeHacker di agosto, se gli utenti volessero inviare messaggi tramite Beeper, dovrebbero consegnare le informazioni del proprio account Apple, il che rappresenta un "rischio enorme".
Tuttavia, questo non è il caso del Beeper Mini lanciato di recente (ne parleremo più avanti) che Apple ha bloccato: non è necessario accedere con alcuna credenziale.
Segnale acustico Mini
Beeper Mini ha fatto di tutto per renderlo il più sicuro possibile per gli utenti, il che è incoraggiante, ed è così sicuro del suo lavoro che ha reso open source il suo codice.
Come abbiamo detto in precedenza, per gli utenti Android è sicuramente più sicuro rispetto all'invio di messaggi di testo standard e per utilizzare l'app non è necessario l'ID del tuo account Apple.
Spiegazione del processo di crittografia e sicurezza di Beeper Mini
Attualmente i messaggi Android/"testo" (ovvero le "bolle verdi") non sono crittografati. Ciò significa che possono essere letti da chiunque lo desideri, compreso il tuo operatore telefonico. Esistono pochissime protezioni per impedire che si verifichino questo tipo di comportamento intrusivo.
Al contrario, quando invii un messaggio da un dispositivo Android utilizzando Beeper Mini, verrà crittografato end-to-end (E2EE) prima di essere inviato, e quindi inviato in modo sicuro. Lo fa implementando il protocollo E2EE di Apple in modo nativo nell'app Android.
"Abbiamo creato Beeper Mini analizzando il traffico inviato tra l'app iMessage nativa e i server Apple e ricostruendo la nostra app che invia le stesse richieste e comprende le stesse risposte", spiega un post sul blog dell'azienda.
Beeper afferma di non poter visualizzare il contenuto dei messaggi inviati utilizzando la sua app e che le chiavi di crittografia private utilizzate per proteggere i messaggi, così come i contatti, non lasciano i dispositivi locali degli utenti. Solo le chiavi pubbliche vengono inviate ai server Apple e i messaggi non vengono trasferiti come testo normale.
Un diagramma che mostra come funziona il sistema di routing dei messaggi di Beeper. Immagine: Segnale acustico
A differenza di altre app che forniscono servizi simili, Beeper Mini si connette direttamente ai server Apple anziché utilizzare un server Mac, cosa che finora i concorrenti hanno faticato a fare. Questo è considerato più sicuro di una società intermediaria che ospita i propri server.
In questo modo, Beeper Mini induce effettivamente Apple a credere che i messaggi Android inviati tramite i suoi servizi siano iMessage, il che significa che può sfruttare il sistema di sicurezza Gateway di Apple.
Tuttavia, considerando che le cose stanno così, rimangono delle domande su come Apple sia riuscita ad analizzare questi messaggi dagli iMessage standard e a fermare Beeper Mini sul suo cammino la scorsa settimana.
Servizi di diagnostica e reporting Beeper Mini
È importante sottolineare che Beeper Mini utilizza pochissimi servizi e app aggiuntivi per la reportistica diagnostica e analitica e li elenca sul suo blog sulla sicurezza.
L'azienda utilizza "un'installazione self-hosted di Rudderstack per analisi ed eventi diagnostici": viene utilizzata per miglioramenti dell'app ma può essere disabilitata dagli utenti nelle impostazioni. Vengono utilizzati anche OneSignal e RevenueCat, afferma l'azienda.
Test di sicurezza Beeper Mini
Beeper afferma di aver eseguito un'analisi della squadra rossa su Bleeper Mini. Ciò significa che ha riunito un team di esperti di sicurezza per tentare di hackerare l’app come farebbe un attore di minacce, per individuarne i punti deboli e le vulnerabilità e quindi risolverli successivamente.
In modo incoraggiante, l’azienda invita i ricercatori indipendenti a contattare l’azienda se desiderano eseguire analisi simili e fornisce loro un indirizzo e-mail per farlo.
Il segnale acustico è già stato risolto?
Anche se Beeper Mini non è ancora di nuovo attivo e funzionante, Engadget ha riferito durante il fine settimana che la società afferma che è "molto vicino" a una soluzione per l'attuale interruzione.
Tuttavia, ora che è stato confermato che dietro l'interruzione c'è Apple e non un problema tecnico o un attacco informatico, l'app potrebbe rimanere inattiva ancora per un po'.
Nel frattempo, molte persone cercheranno un'alternativa a Beeper per continuare a inviare iMessage dai propri dispositivi Android, ma gli utenti dovrebbero stare molto attenti a ciò che decidono di utilizzare.
Sunbird Messaging: un'alternativa al segnale acustico da evitare
Secondo i dati di Google Trends, in seguito all'interruzione di Beeper, un'applicazione chiamata "Sunbird Messaging" ha registrato un forte aumento delle ricerche.
La messaggistica di Sunbird si propone come un'applicazione di "posta in arrivo unificata" che, analogamente a Beeper Cloud, aggrega messaggi su varie piattaforme e afferma di includere il supporto sicuro da Android a iMessage.
9to5Google riporta che l'app è stata resa disponibile come closed alpha a coloro che si sono iscritti alla sua lista d'attesa nel corso del 2022 e ha affermato di utilizzare E2EE in modo simile a Beeper Mini. Tuttavia, l'app è stata messa in pausa alla fine di novembre 2023 a causa di "problemi di sicurezza", con diverse fonti che affermavano che l'app non era crittografata end-to-end nel modo specificato.
Sunbird aveva collaborato con Nothing – una società di telefonia di proprietà del co-fondatore di OnePlus Charles Pei – per lanciare Nothing Chats, anch'esso ritirato dagli app store nello stesso periodo in cui Sunbird era in pausa.
Consigliamo di evitare queste app e di tenere presente che anche qualsiasi app che afferma di essere uno di questi due servizi non deve essere incasinata. Gli sforzi compiuti da Beeper per garantire la sicurezza della loro app dimostrano quanto sia difficile produrre questo tipo di tecnologia in modo sicuro.