Бипер безопасен? Почему Apple закрыла приложение Android-to-iMessage
Опубликовано: 2023-12-11Apple решительно закрыла Beeper Mini, приложение, которое позволяло пользователям отправлять сообщения iMessages, которые отправляются с использованием Wi-Fi, а не сотовых сетей, между устройствами на базе Android и iOS .
В пятницу компания объявила в социальной сети X, что у них произошел сбой. Позже выяснилось, что это произошло из-за попыток Apple заблокировать его, причем технологический гигант сослался на «соображения безопасности».
В этом кратком руководстве мы объясним , почему Apple так сильно хотела отключить Beeper Mini , безопасен ли Beeper и стоит ли рассматривать какие-либо альтернативы Beeper. В целом, мы охватываем:
- Что такое бипер?
- Почему Apple отключила Beeper?
- Бипер безопасен? Объяснение мер безопасности
- Бипер уже исправлен?
- Sunbird: альтернатива пейджеру, которой следует избегать
С другой стороны, «Beeper» — это универсальное приложение для обмена сообщениями для устройств iOS и настольных компьютеров, которое было запущено еще в 2021 году. После запуска Beeper Mini оно было переименовано в « Beeper Cloud ».
Хотя до появления Beeper можно было отправлять iMessages без iPhone, метод компании представляет собой более новый, простой и безопасный способ сделать это.
Beeper даже не требует от пользователей создавать или передавать свои Apple ID.
Хотите просматривать веб-страницы конфиденциально? Или выглядеть так, будто вы находитесь в другой стране?
Получите огромную скидку 86 % на Surfshark с этим предложением Tech.co в Черную пятницу.
Beeper Mini был запущен после того, как исследователь безопасности – в то время ученик средней школы – представил скрипт Python, который сумел перепроектировать протокол Apple iMessage и предоставить эту функциональность телефонам Android.
Почему Apple отключила Beeper?
К концу прошлой недели Reddit начал заполняться сообщениями об отключении Beeper, поскольку время ожидания сообщений пользователей массово истекало.
Позже эти отчеты были подтверждены соучредителем Beeper Эриком Мигиковски на X (ранее Twitter), который заявил, что «все данные указывают на то, что за сбоем стояла» Apple .
В недавно опубликованном заявлении Apple объясняет, что она «предприняла шаги для защиты наших пользователей, блокируя методы, использующие поддельные учетные данные для получения доступа к iMessage».
«Эти методы создают значительные риски для безопасности и конфиденциальности пользователей, — продолжает единственное заявление компании для прессы по этому вопросу, — включая потенциальную возможность раскрытия метаданных и возможности нежелательных сообщений, спама и фишинговых атак ».
Решение Apple заблокировать Beeper Mini вызвало гнев сенатора США Элизабет Уоррен, давней сторонницы более строгих антимонопольных законов, которая обвинила Apple в «давлении конкурентов».
Бипер безопасен?
Короче говоря, Beeper Cloud имеет некоторые ограничения безопасности , которые делают его менее безопасным, чем использование приложений для обмена зашифрованными сообщениями. Однако Beeper Mini намного более безопасен: открытость компании в отношении своей архитектуры безопасности и тщательное тестирование приложений обнадеживают, и вам не нужно передавать какие-либо данные учетной записи Apple, чтобы использовать его.
Важно отметить, что на данный момент Beeper Mini кажется более безопасным, чем другие варианты Android-iMessage, а также отправка незашифрованных SMS-сообщений. Безопасность редко является уравнением с нулевой суммой, и в настоящее время сообщения Android не шифруются. Более того, похоже, что в настройке приложения нет очевидных проблем с безопасностью, несмотря на протесты Apple.
Бипер Облако
У Beeper Cloud есть ограничения с точки зрения безопасности, о которых стоит знать. В своем «Руководстве по началу работы» компания заявляет:
«Beeper — это универсальное чат-приложение, которое поддерживает подключение к более чем 15 чат-сетям. Чтобы использовать Beeper, вы должны предоставить приложению разрешение на отправку и получение сообщений через другие сети чата, используя учетные данные вашей учетной записи. По определению, это может быть менее безопасно , чем использование других чат-приложений, особенно зашифрованных чат-приложений, таких как Signal».
Вдобавок ко всему, как отмечалось в августовском отчете LifeHacker, если пользователи захотят отправлять сообщения через Beeper, им придется передать информацию о своей учетной записи Apple, что представляет собой «огромный риск».
Однако это не относится к недавно выпущенному Beeper Mini (подробнее об этом ниже), который Apple заблокировала – вам не нужно входить в систему, используя какие-либо учетные данные.
Бипер Мини
Beeper Mini приложил все усилия, чтобы сделать его максимально безопасным для пользователей, и это обнадеживает – и он настолько уверен в своей работе, что открыл исходный код своего кода.
Как мы уже говорили ранее, для пользователей Android это, безусловно, безопаснее, чем отправка стандартных текстовых сообщений, и для использования приложения не требуется идентификатор вашей учетной записи Apple.
Объяснение процесса шифрования и безопасности Beeper Mini
В настоящее время Android/текстовые сообщения (т.е. «зеленые пузыри») не зашифрованы. Это означает, что их может прочитать любой желающий, включая вашего оператора мобильной связи. Существует очень мало средств защиты, которые могли бы предотвратить такое навязчивое поведение.
Напротив, когда вы отправляете сообщение с устройства Android с помощью Beeper Mini, оно будет подвергнуто сквозному шифрованию (E2EE) перед отправкой и, следовательно, будет отправлено безопасно. Это достигается путем реализации протокола Apple E2EE в приложении Android.
«Мы создали Beeper Mini, анализируя трафик, передаваемый между собственным приложением iMessage и серверами Apple, и перестроили наше собственное приложение, которое отправляет те же запросы и понимает те же ответы», — поясняется в сообщении в блоге компании.
Beeper заявляет, что не может просматривать содержимое сообщений, отправленных с помощью его приложения, а частные ключи шифрования, используемые для защиты сообщений, а также контактов, не покидают локальные устройства пользователей. На серверы Apple отправляются только открытые ключи, а сообщения не передаются в виде обычного текста.
Схема, показывающая, как работает система маршрутизации сообщений Beeper. Изображение: Бипер
В отличие от других приложений, предоставляющих аналогичные услуги, Beeper Mini подключается напрямую к серверам Apple , а не использует ретранслятор сервера Mac, чего конкуренты до сих пор боролись. Это считается более безопасным, чем посредническая компания, размещающая собственные серверы.
Таким образом, Beeper Mini эффективно обманывает Apple, заставляя ее думать, что сообщения Android, отправляемые через ее службы, являются iMessages, а это означает, что она может воспользоваться преимуществами системы безопасности Apple Gateway.
Однако, учитывая это, остаются вопросы о том, как Apple смогла проанализировать эти сообщения из стандартных iMessages и остановить работу Beeper Mini на прошлой неделе.
Услуги диагностики и отчетности Beeper Mini
Важно отметить, что Beeper Mini использует очень мало дополнительных сервисов и приложений для диагностики и аналитических отчетов и размещает их в своем блоге по безопасности.
Компания использует «автономную установку Rudderstack для аналитики и диагностических событий» — она используется для улучшения приложений, но может быть отключена пользователями в настройках. По словам компании, также используются OneSignal и RevenueCat.
Тестирование безопасности Beeper Mini
Beeper сообщает, что провела анализ Bleeper Mini красной командой. Это означает, что компания собрала команду экспертов по безопасности, чтобы попытаться взломать приложение, как это сделал бы злоумышленник, выявить его слабые места и уязвимости, а затем впоследствии их исправить.
Отрадно то, что компания предлагает независимым исследователям связаться с компанией, если они хотят провести аналогичный анализ, и предоставляет им для этого адрес электронной почты.
Бипер уже исправлен?
Хотя Beeper Mini еще не заработал снова, на выходных Engadget сообщил, что компания заявляет, что «очень близка» к устранению текущего сбоя.
Однако теперь, когда подтверждено, что за сбоем стоит Apple, а не техническая проблема или кибератака, приложение может быть недоступно еще некоторое время.
Тем временем многие люди будут искать альтернативу Beeper , чтобы продолжать отправлять iMessages со своих устройств Android, но пользователи должны быть очень осторожны с тем, что они решают использовать.
Обмен сообщениями Sunbird: альтернатива пейджеру, которой следует избегать
По данным Google Trends, после сбоя в работе Beeper, приложение под названием «Sunbird Messaging» резко увеличило количество поисковых запросов.
Сообщения Sunbird позиционируют себя как приложение «унифицированного почтового ящика», которое, как и Beeper Cloud, объединяет сообщения с различных платформ и, как утверждается, включает безопасную поддержку Android-iMessage.
9to5Google сообщает, что приложение было доступно в виде закрытой альфа-версии для тех, кто подписался в его список ожидания в 2022 году, и утверждало, что использует E2EE аналогично Beeper Mini. Однако в конце ноября 2023 года работа приложения была приостановлена из-за «проблем безопасности», при этом несколько источников утверждали, что приложение не было сквозным зашифровано указанным способом.
Sunbird заключила партнерское соглашение с Nothing – телефонной компанией, принадлежащей соучредителю OnePlus Чарльзу Пею – для запуска Nothing Chats, который также был удален из магазинов приложений примерно в то же время, когда Sunbird была приостановлена.
Мы рекомендуем избегать этих приложений, а также иметь в виду, что любые приложения, претендующие на роль одной из этих двух служб, также не следует путать. Огромные усилия, которые компания Beeper приложила, чтобы обеспечить безопасность своего приложения, иллюстрируют, насколько сложно создавать такого рода технологии безопасным способом.