Czy Beeper jest bezpieczny? Dlaczego Apple zamknął aplikację Android na iMessage

Opublikowany: 2023-12-11

Apple stanowczo zamknął Beeper Mini, aplikację umożliwiającą użytkownikom wysyłanie wiadomości iMessages – wysyłanych za pomocą Wi-Fi, a nie sieci komórkowych – pomiędzy urządzeniami z systemem Android i iOS .

W piątek firma ogłosiła na platformie mediów społecznościowych X, że doświadczyła awarii. Później okazało się, że było to spowodowane wysiłkami Apple zmierzającymi do jego zablokowania, a gigant technologiczny powołał się na „względy bezpieczeństwa”.

W tym krótkim przewodniku wyjaśnimy , dlaczego Apple tak bardzo chciał wyłączyć Beeper Mini , czy Beeper jest bezpieczny i czy istnieją jakieś alternatywy dla Beepera, które warto rozważyć. W sumie omawiamy:

  • Co to jest sygnał dźwiękowy?
  • Dlaczego Apple wyłączył Beeper?
  • Czy Beeper jest bezpieczny? Wyjaśnienie środków bezpieczeństwa
  • Czy sygnał dźwiękowy jest już naprawiony?
  • Sunbird: alternatywa dla sygnalizatora, którego należy unikać

Co to jest sygnał dźwiękowy?

Beeper Mini to aplikacja mobilna, która została uruchomiona na początku grudnia 2023 r. Aplikacja umożliwia użytkownikom Androida wysyłanie wiadomości iMessages – formy korespondencji, która jest zwykle dostępna wyłącznie na iPhone'ach, iPadach i innych urządzeniach z systemem iOS.

Z drugiej strony „Beeper” to wszechstronna, ujednolicona aplikacja do przesyłania wiadomości dla urządzeń z systemem iOS i komputerów stacjonarnych, która została wprowadzona na rynek w 2021 roku. Po wprowadzeniu na rynek Beeper Mini jego nazwa została zmieniona na „ Beeper Cloud ”.

Chociaż wysyłanie wiadomości iMessages bez iPhone'a było możliwe przed pojawieniem się Beepera, metoda firmy jest nowsza, prostsza i bezpieczniejsza .

Beeper nie wymaga nawet od użytkowników tworzenia ani przekazywania swoich identyfikatorów Apple ID.

Logo Surfsharka Chcesz przeglądać internet prywatnie? Lub sprawiać wrażenie, jakbyś był w innym kraju?
Skorzystaj z ogromnej zniżki 86% na Surfshark dzięki ofercie Tech.co na Czarny Piątek. Zobacz przycisk transakcji

Beeper Mini został uruchomiony po tym, jak badacz bezpieczeństwa – wówczas uczeń szkoły średniej – przesłał skrypt w języku Python, który zdołał przeprowadzić inżynierię wsteczną protokołu iMessage firmy Apple i zapewnić funkcjonalność telefonom z Androidem.

Dlaczego Apple wyłączył Beeper?

Pod koniec ubiegłego tygodnia Reddit zaczął być zapełniany raportami o awarii Beepera, ponieważ żądania użytkowników masowo przekraczały limit czasu.

Doniesienia zostały później potwierdzone przez współzałożyciela Beepera, Erica Migicovsky’ego, na X (dawniej Twitterze), który stwierdził, że „wszystkie dane wskazują, że za awarią stoi” Apple .

W wydanym niedawno oświadczeniu Apple wyjaśnia, że ​​„podjął kroki w celu ochrony naszych użytkowników poprzez blokowanie technik wykorzystujących fałszywe dane uwierzytelniające w celu uzyskania dostępu do iMessage”.

„Techniki te stwarzały poważne ryzyko dla bezpieczeństwa i prywatności użytkowników” – kontynuuje samotne oświadczenie firmy skierowane do prasy w tej sprawie – „w tym możliwość ujawnienia metadanych i umożliwienia niechcianych wiadomości, spamu i ataków typu phishing ”.

Decyzja Apple o zablokowaniu Beeper Mini wywołała gniew amerykańskiej senator Elizabeth Warren, wieloletniej zwolenniczki zaostrzenia przepisów antymonopolowych, która oskarżyła Apple o „zmiażdżenie konkurencji”.

Czy Beeper jest bezpieczny?

Krótko mówiąc, Beeper Cloud ma pewne ograniczenia bezpieczeństwa , które czynią ją mniej bezpieczną niż korzystanie z aplikacji do szyfrowania wiadomości. Jednak Beeper Mini jest o wiele bezpieczniejszy – otwartość firmy na temat architektury zabezpieczeń i rygorystyczne testowanie aplikacji jest zachęcająca i nie musisz przekazywać żadnych informacji o koncie Apple, aby z niego korzystać.

Co ważne, Beeper Mini wydaje się obecnie bezpieczniejszy niż inne opcje przesyłania z Androida na iMessage, a także wysyłania niezaszyfrowanych wiadomości SMS. Bezpieczeństwo rzadko jest równaniem o sumie zerowej – a obecnie wiadomości na Androidzie nie są szyfrowane. Co więcej, pomimo protestów Apple’a, wydaje się, że sposób konfiguracji aplikacji nie stwarza oczywistych problemów związanych z bezpieczeństwem.

Chmura sygnalizatora

Istnieją ograniczenia Beeper Cloud z punktu widzenia bezpieczeństwa, o których warto wiedzieć. Firma stwierdza w swoim „Przewodniku dla początkujących”:

„Beeper to uniwersalna aplikacja do czatowania, która obsługuje połączenia z ponad 15 sieciami czatu. Aby korzystać z Beepera, musisz zezwolić aplikacji na wysyłanie i odbieranie wiadomości za pośrednictwem innych sieci czatu przy użyciu danych logowania do Twojego konta. Z definicji może to być mniej bezpieczne niż używanie samych innych aplikacji do czatowania, zwłaszcza zaszyfrowanych aplikacji do czatowania, takich jak Signal”.

Co więcej, jak wskazano w sierpniowym raporcie LifeHacker, gdyby użytkownicy chcieli wysyłać wiadomości za pośrednictwem Beepera, musieliby przekazać informacje o swoim koncie Apple – co stanowi „ogromne ryzyko”.

Nie jest tak jednak w przypadku niedawno wprowadzonego na rynek Beepera Mini (więcej na ten temat poniżej), który Apple zablokował – nie musisz logować się przy użyciu żadnych danych uwierzytelniających.

Mini sygnał dźwiękowy

Beeper Mini dołożył wszelkich starań, aby zapewnić użytkownikom jak największe bezpieczeństwo, co jest zachęcające – i jest tak pewny swojej pracy, że udostępnił swój kod na zasadach open source.

Jak już wspomnieliśmy, dla użytkowników Androida jest to z pewnością bezpieczniejsze niż wysyłanie standardowych SMS-ów – a do korzystania z aplikacji nie jest potrzebny identyfikator konta Apple.

Wyjaśnienie procesu szyfrowania i bezpieczeństwa Beeper Mini

Obecnie wiadomości Android/„tekstowe” (tj. „zielone bąbelki”) są niezaszyfrowane. Oznacza to, że może je przeczytać każdy, kto chce – łącznie z operatorem telefonicznym. Istnieje bardzo niewiele zabezpieczeń, które zapobiegają tego rodzaju inwazyjnym zachowaniom.

W przeciwieństwie do tego, gdy wysyłasz wiadomość z urządzenia z systemem Android za pomocą Beeper Mini, przed wysłaniem zostanie ona kompleksowo zaszyfrowana (E2EE), dzięki czemu zostanie wysłana bezpiecznie. Robi to poprzez implementację protokołu E2EE firmy Apple natywnie w aplikacji na Androida.

„Stworzyliśmy Beeper Mini, analizując ruch przesyłany między natywną aplikacją iMessage a serwerami Apple i przebudowując naszą własną aplikację, która wysyła te same żądania i rozumie te same odpowiedzi” – wyjaśnia wpis na firmowym blogu.

Beeper twierdzi, że nie może przeglądać zawartości żadnych wiadomości wysyłanych za pomocą swojej aplikacji, a prywatne klucze szyfrujące używane do zabezpieczania wiadomości – a także kontaktów – nie opuszczają lokalnych urządzeń użytkowników. Na serwery Apple wysyłane są tylko klucze publiczne, a wiadomości nie są przesyłane w postaci zwykłego tekstu.

Diagram pokazujący, jak działa system routingu wiadomości Beepera. Obraz: Sygnał dźwiękowy

W przeciwieństwie do innych aplikacji oferujących podobne usługi, Beeper Mini łączy się bezpośrednio z serwerami Apple , zamiast korzystać z przekaźnika serwera Mac, z czym dotychczas konkurenci mieli trudności. Uważa się to za bezpieczniejsze niż firma pośrednicząca hostująca własne serwery.

W ten sposób Beeper Mini skutecznie oszukuje Apple, myśląc, że wiadomości wysyłane przez Androida za pośrednictwem jego usług to iMessage, co oznacza, że ​​może skorzystać z systemu bezpieczeństwa Apple Gateway.

Biorąc jednak pod uwagę tę sytuację, pozostają pytania, w jaki sposób Apple był w stanie przeanalizować te wiadomości ze standardowych wiadomości iMessages i zatrzymać Beeper Mini w zeszłym tygodniu.

Usługi diagnostyki i raportowania Beeper Mini

Co ważne, Beeper Mini korzysta z bardzo niewielu dodatkowych usług i aplikacji do diagnostyki i raportowania analitycznego, o czym informuje na swoim blogu poświęconym bezpieczeństwu.

Firma korzysta z „samodzielnej instalacji Rudderstack do celów analitycznych i diagnostycznych” – służy ona do ulepszania aplikacji, ale użytkownicy mogą ją wyłączyć w ustawieniach. Firma twierdzi, że wykorzystywane są również OneSignal i RevenueCat.

Testowanie bezpieczeństwa Beeper Mini

Beeper twierdzi, że przeprowadził analizę drużyny czerwonej na Bleeper Mini. Oznacza to, że zebrał zespół ekspertów ds. bezpieczeństwa, którzy podjęli próbę zhakowania aplikacji tak, jak zrobiłby to podmiot zagrażający, wykrycia jej słabych punktów i luk w zabezpieczeniach, a następnie ich naprawienia.

Co zachęcające, firma zaprasza niezależnych badaczy do skontaktowania się z firmą, jeśli chcieliby oni przeprowadzić podobne analizy, i udostępnia im w tym celu adres e-mail.

Czy sygnał dźwiękowy jest już naprawiony?

Chociaż Beeper Mini nie jest jeszcze gotowy do ponownego uruchomienia, Engadget poinformował w weekend, że według firmy jest „bardzo blisko” rozwiązania obecnych zakłóceń.

Jednak teraz, gdy potwierdzono, że za awarią stoi Apple, a nie problem techniczny lub cyberatak, aplikacja może nie działać jeszcze przez jakiś czas.

W międzyczasie wiele osób będzie szukać alternatywy dla Beepera , aby nadal wysyłać wiadomości iMessage ze swoich urządzeń z Androidem – ale użytkownicy powinni bardzo uważać na to, czego zdecydują się używać.

Wiadomości Sunbird: alternatywa dla sygnału dźwiękowego, której należy unikać

Według danych Google Trends, po awarii Beepera, aplikacja o nazwie „Sunbird Messaging” odnotowała gwałtowny wzrost liczby wyszukiwań.

Wiadomości Sunbird reklamują się jako aplikacja „ujednoliconej skrzynki odbiorczej”, która podobnie jak Beeper Cloud gromadzi wiadomości z różnych platform i twierdzi, że zapewnia bezpieczną obsługę Androida na iMessage.

Serwis 9to5Google donosi, że aplikacja została udostępniona w wersji zamkniętej wersji alfa osobom, które zapisały się na listę oczekujących w 2022 r. i twierdziły, że korzystają z E2EE podobnie jak Beeper Mini. Jednak pod koniec listopada 2023 r. aplikacja została wstrzymana ze względu na „względy bezpieczeństwa”, a kilka źródeł twierdziło, że aplikacja nie została kompleksowo zaszyfrowana w określony sposób.

Sunbird nawiązał współpracę z Nothing – firmą produkującą telefony, której właścicielem jest współzałożyciel OnePlus , Charles Pei – w celu uruchomienia aplikacji Nothing Chats, która również została ściągnięta ze sklepów z aplikacjami mniej więcej w tym samym czasie, gdy Sunbird został wstrzymany.

Zalecamy unikać tych aplikacji i pamiętać, że nie należy majstrować przy aplikacjach podających się za którąkolwiek z tych dwóch usług. Ogromne wysiłki, jakie poczynił Beeper, aby zapewnić bezpieczeństwo swojej aplikacji, ilustrują, jak trudno jest stworzyć tego rodzaju technologię w bezpieczny sposób.