บีปเปอร์ปลอดภัยหรือไม่? เหตุใด Apple จึงปิดแอพ Android-to-iMessage

Apple ปิดให้บริการ Beeper Mini แอปพลิเคชั่นที่อนุญาตให้ผู้ใช้ส่ง iMessages ระหว่าง อุปกรณ์ Android และ iOS ซึ่งส่งโดยใช้ Wi-Fi แทนเครือข่ายเซลลูลาร์

เมื่อวันศุกร์ที่ผ่านมา บริษัทได้ประกาศบนแพลตฟอร์ม โซเชียลมีเดีย X ว่าพวกเขากำลังประสบปัญหาขัดข้อง ปรากฏในภายหลังว่านี่เป็นเพราะความพยายามของ Apple ที่จะปิดกั้น โดยยักษ์ใหญ่ด้านเทคโนโลยีอ้างว่า "ข้อกังวลด้านความปลอดภัย"

ในคำแนะนำสั้นๆ นี้ เราจะอธิบาย ว่าทำไม Apple ถึงต้องการปิด Beeper Mini อย่างมาก ไม่ว่า Beeper จะปลอดภัยหรือไม่ และทางเลือกอื่นๆ ของ Beeper ก็คุ้มค่าที่จะพิจารณาหรือไม่ โดยรวมแล้ว เราครอบคลุมถึง:

• เสียงบี๊บคืออะไร?
• เหตุใด Apple จึงปิดเครื่อง Beeper?
• บีปเปอร์ปลอดภัยหรือไม่? อธิบายมาตรการรักษาความปลอดภัย
• Beeper ได้รับการแก้ไขแล้วหรือยัง?
• Sunbird: ทางเลือก Beeper ที่ควรหลีกเลี่ยง

เสียงบี๊บคืออะไร?

Beeper Mini เป็นแอปบนอุปกรณ์เคลื่อนที่ที่เปิดตัวเมื่อต้นเดือนธันวาคม 2023 แอปนี้ อนุญาตให้ผู้ใช้ Android ส่ง iMessage ซึ่งเป็นรูปแบบการติดต่อสื่อสารที่โดยทั่วไปมีเฉพาะใน iPhone, iPad และอุปกรณ์อื่นๆ ที่ใช้ iOS

ในทางกลับกัน “Beeper” เป็นแอปส่งข้อความครบวงจรสำหรับอุปกรณ์ iOS และเดสก์ท็อปที่เปิดตัวในปี 2564 หลังจากเปิดตัว Beeper Mini ก็เปลี่ยนชื่อเป็น “ Beeper Cloud ”

แม้ว่าจะเป็นไปได้ที่จะส่ง iMessage โดยไม่ต้องใช้ iPhone ก่อนที่จะมี Beeper แต่วิธีการของบริษัทก็เป็นวิธีที่ใหม่กว่า ง่ายกว่า และ ปลอดภัยกว่า ในการดำเนินการนี้

Beeper ไม่ต้องการให้ผู้ใช้สร้างหรือมอบ Apple ID ของตนด้วยซ้ำ

Beeper Mini เปิดตัวหลังจากนักวิจัยด้านความปลอดภัย ซึ่งเป็นนักเรียนมัธยมปลายในขณะนั้น ได้ส่งสคริปต์ Python ที่สามารถ จัดการย้อนกลับโปรโตคอล iMessage ของ Apple และมอบฟังก์ชันการทำงานให้กับโทรศัพท์ Android

เหตุใด Apple จึงปิดเครื่อง Beeper?

ในช่วงท้ายของสัปดาห์ที่แล้ว Reddit เริ่มเต็มไปด้วยรายงานการหยุดทำงานของ Beeper เนื่องจากคำขอข้อความของผู้ใช้หมดเวลาลง

รายงานดังกล่าวได้รับการตรวจสอบในภายหลังโดย Eric Migicovsky ผู้ร่วมก่อตั้ง Beeper บน X (ชื่อเดิม Twitter) ซึ่งกล่าวว่า “ข้อมูลทั้งหมดบ่งชี้ว่า” Apple อยู่เบื้องหลังเหตุขัดข้อง

Apple อธิบายในแถลงการณ์ที่เพิ่งเปิดตัวว่า “ได้ดำเนินการเพื่อปกป้องผู้ใช้ของเราโดยการบล็อกเทคนิคที่ใช้ประโยชน์จาก ข้อมูลประจำตัวปลอม เพื่อเข้าถึง iMessage”

“เทคนิคเหล่านี้ก่อให้เกิดความเสี่ยงที่สำคัญต่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้” คำแถลงเดียวของบริษัทต่อสื่อมวลชนในประเด็นนี้ยังคงดำเนินต่อไป “รวมถึงศักยภาพในการเปิดเผยข้อมูลเมตาและการเปิดใช้งานข้อความที่ไม่พึงประสงค์ สแปม และ การโจมตีแบบฟิชชิ่ง ”

การตัดสินใจของ Apple ในการบล็อก Beeper Mini กระตุ้นให้เกิดความโกรธเคืองต่อวุฒิสมาชิกสหรัฐ Elizabeth Warren ซึ่งเป็นผู้สนับสนุนกฎหมายต่อต้านการผูกขาดที่เข้มงวดมากขึ้น ซึ่งกล่าวหาว่า Apple "บดขยี้คู่แข่ง"

บีปเปอร์ปลอดภัยหรือไม่?

กล่าวโดยสรุป Beeper Cloud มี ข้อจำกัดด้านความปลอดภัย บางประการที่ทำให้มีความปลอดภัยน้อยกว่าการใช้แอปส่งข้อความที่เข้ารหัส อย่างไรก็ตาม Beeper Mini มีความปลอดภัยมากกว่ามาก บริษัทมีความเปิดกว้างเกี่ยวกับสถาปัตยกรรมความปลอดภัยและการทดสอบแอปที่เข้มงวด และคุณไม่จำเป็นต้องให้ข้อมูลบัญชี Apple ใดๆ เพื่อใช้งาน

ที่สำคัญ Beeper Mini ดูเหมือนว่าจะปลอดภัยกว่าตัวเลือก Android-to-iMessage อื่นๆ ในขณะนี้ รวมถึงการส่งข้อความ SMS ที่ไม่ได้เข้ารหัสด้วย การรักษาความปลอดภัยนั้นไม่ค่อยมีสมการผลรวมเป็นศูนย์ และในปัจจุบันข้อความ Android ไม่ได้รับการเข้ารหัส ยิ่งไปกว่านั้น ดูเหมือนว่าจะไม่มีปัญหาด้านความปลอดภัยที่ชัดเจนเกี่ยวกับวิธีการกำหนดค่าแอป แม้ว่า Apple จะมีการประท้วงก็ตาม

เสียงบี๊บเปอร์คลาวด์

Beeper Cloud มีข้อจำกัดจากมุมมองด้านความปลอดภัยที่ควรค่าแก่การรู้ บริษัทระบุไว้ใน “คู่มือเริ่มต้นใช้งาน“:

“Beeper เป็นแอปแชทสากลที่รองรับการเชื่อมต่อกับเครือข่ายแชทมากกว่า 15 เครือข่าย หากต้องการใช้ Beeper คุณต้องให้สิทธิ์แก่แอปในการส่งและรับข้อความผ่านเครือข่ายแชทอื่น ๆ โดยใช้ข้อมูลประจำตัวบัญชีของคุณ ตามคำจำกัดความแล้ว สิ่งนี้อาจมี ความปลอดภัยน้อยกว่า การใช้แอปแชทอื่นๆ เพียงอย่างเดียว โดยเฉพาะแอปแชทที่เข้ารหัส เช่น Signal”

ยิ่งไปกว่านั้น ตามที่รายงานของ LifeHacker ระบุไว้ในเดือนสิงหาคม หากผู้ใช้ต้องการส่งข้อความผ่าน Beeper พวกเขาจะต้องมอบข้อมูลบัญชี Apple ของตน ซึ่งเป็น "ความเสี่ยงอย่างมาก"

อย่างไรก็ตาม นี่ไม่ใช่กรณีของ Beeper Mini ที่เพิ่งเปิดตัว (ดูข้อมูลเพิ่มเติมด้านล่าง) ซึ่ง Apple ได้บล็อกไว้ โดยคุณไม่จำเป็นต้องเข้าสู่ระบบด้วยข้อมูลประจำตัวใดๆ

บีปเปอร์ มินิ

Beeper Mini พยายามอย่างเต็มที่เพื่อให้มีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้สำหรับผู้ใช้ ซึ่งถือเป็นกำลังใจ และบริษัทมั่นใจในการทำงานมากจนเป็นโค้ดแบบโอเพ่นซอร์ส

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ ผู้ใช้ Android จะปลอดภัยกว่าการส่งข้อความมาตรฐานอย่างแน่นอน และไม่จำเป็นต้องใช้ ID บัญชี Apple ของคุณในการใช้แอป

อธิบายกระบวนการเข้ารหัสและความปลอดภัย Beeper Mini

ในปัจจุบัน ข้อความ Android/”text” (เช่น “ฟองสีเขียว”) ไม่ได้รับการเข้ารหัส ซึ่งหมายความว่าใครก็ตามที่ต้องการอ่านข้อมูลเหล่านี้ได้ รวมถึงผู้ให้บริการโทรศัพท์ของคุณด้วย มีการป้องกันน้อยมากที่จะหยุดไม่ให้พฤติกรรมล่วงล้ำประเภทนี้เกิดขึ้น

ในทางตรงกันข้าม เมื่อคุณส่งข้อความจากอุปกรณ์ Android โดยใช้ Beeper Mini ข้อความนั้นจะถูกเข้ารหัสจากต้นทางถึงปลายทาง (E2EE) ก่อนที่จะส่ง และส่งได้อย่างปลอดภัย ทำได้โดยใช้โปรโตคอล E2EE ของ Apple ในแอป Android

“เราสร้าง Beeper Mini โดยการวิเคราะห์การรับส่งข้อมูลที่ส่งระหว่างแอพ iMessage แบบเนทีฟและเซิร์ฟเวอร์ของ Apple และสร้างแอพของเราเองขึ้นมาใหม่ซึ่งส่งคำขอเดียวกันและเข้าใจคำตอบเดียวกัน” โพสต์ในบล็อกของบริษัทอธิบาย

Beeper บอกว่าไม่สามารถดูเนื้อหาของข้อความใดๆ ที่ส่งโดยใช้แอพได้ และคีย์เข้ารหัสส่วนตัวที่ใช้เพื่อรักษาความปลอดภัยข้อความ รวมถึงรายชื่อติดต่อ จะไม่ทิ้งอุปกรณ์ในเครื่องของผู้ใช้ เฉพาะกุญแจสาธารณะเท่านั้นที่จะถูกส่งไปยังเซิร์ฟเวอร์ของ Apple และข้อความจะไม่ถูกถ่ายโอนเป็นข้อความธรรมดา

แผนภาพแสดงวิธีการทำงานของระบบกำหนดเส้นทางข้อความของ Beeper ภาพ: บีปเปอร์

ต่างจากแอปอื่นๆ ที่ให้บริการที่คล้ายคลึงกัน Beeper Mini เชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ของ Apple แทนที่จะใช้รีเลย์เซิร์ฟเวอร์ Mac ซึ่งเป็นสิ่งที่คู่แข่งพยายามดิ้นรนที่จะทำจนถึงตอนนี้ ซึ่งถือว่ามีความปลอดภัยมากกว่าบริษัทคนกลางที่โฮสต์เซิร์ฟเวอร์ของตนเอง

ด้วยวิธีนี้ Beeper Mini หลอกให้ Apple คิดว่าข้อความ Android ที่ส่งผ่านบริการต่างๆ นั้นเป็น iMessages ซึ่งหมายความว่าสามารถใช้ประโยชน์จากระบบรักษาความปลอดภัย Gateway ของ Apple ได้

อย่างไรก็ตาม เมื่อพิจารณาถึงกรณีนี้แล้ว คำถามยังคงมีอยู่ว่า Apple สามารถแยกวิเคราะห์ข้อความเหล่านี้จาก iMessages มาตรฐานและหยุด Beeper Mini ได้อย่างไรเมื่อสัปดาห์ที่แล้ว

บริการวินิจฉัยและรายงาน Beeper Mini

ที่สำคัญ Beeper Mini ใช้บริการและแอปเพิ่มเติมน้อยมากสำหรับการรายงานการวินิจฉัยและการวิเคราะห์ และแสดงรายการไว้ในบล็อกด้านความปลอดภัย

บริษัทใช้ “การติดตั้ง Rudderstack ที่โฮสต์เองสำหรับการวิเคราะห์และเหตุการณ์การวินิจฉัย” ซึ่งใช้สำหรับการปรับปรุงแอป แต่ผู้ใช้สามารถปิดใช้งานได้ในการตั้งค่า บริษัทยังใช้ OneSignal และ RevenueCat อีกด้วย

การทดสอบความปลอดภัยของ Beeper Mini

Beeper กล่าวว่าได้ทำการวิเคราะห์ทีมสีแดงใน Bleeper Mini นั่นหมายความว่าจะมีการรวมทีมผู้เชี่ยวชาญด้านความปลอดภัยเข้าด้วยกันเพื่อพยายามแฮ็กแอปเหมือนที่ผู้คุกคามทำ เพื่อระบุจุดอ่อนและช่องโหว่ จากนั้นจึงทำการแก้ไขในภายหลัง

บริษัทขอเชิญชวนนักวิจัยอิสระให้ติดต่อบริษัทหากต้องการดำเนินการวิเคราะห์ที่คล้ายกันและระบุที่อยู่อีเมลสำหรับดำเนินการดังกล่าว

Beeper ได้รับการแก้ไขแล้วหรือยัง?

ในขณะที่ Beeper Mini ยังไม่สามารถใช้งานได้อีกครั้ง Engadget รายงานเมื่อสุดสัปดาห์ที่ผ่านมาว่าบริษัทกล่าวว่า "ใกล้มาก" ที่จะแก้ไขปัญหาการหยุดชะงักในปัจจุบัน

อย่างไรก็ตาม เมื่อได้รับการยืนยันแล้วว่า Apple อยู่เบื้องหลังการหยุดทำงาน ไม่ใช่ปัญหาด้านเทคนิคหรือการโจมตีทางไซเบอร์ แอปอาจหยุดทำงานนานกว่านั้นอีกระยะหนึ่ง

ในระหว่างนี้ หลายๆ คนจะมองหา ทางเลือก Beeper เพื่อส่ง iMessages จากอุปกรณ์ Android ของตนต่อไป แต่ผู้ใช้ควรระมัดระวังอย่างมากเกี่ยวกับสิ่งที่พวกเขาตัดสินใจใช้

Sunbird Messaging: ทางเลือก Beeper ที่ควรหลีกเลี่ยง

ตามข้อมูลของ Google Trends หลังจากการหยุดทำงานของ Beeper แอปพลิเคชันชื่อ "Sunbird Messaging" มีการค้นหาเพิ่มขึ้นอย่างรวดเร็ว

การส่งข้อความ Sunbird ทำการตลาดตัวเองในฐานะแอปพลิเคชัน "กล่องจดหมายรวม" ซึ่งคล้ายกับ Beeper Cloud ที่รวบรวมข้อความในแพลตฟอร์มต่างๆ และอ้างว่ารวมการสนับสนุน Android-to-iMessage ที่ปลอดภัย

9to5Google รายงานว่าแอปนี้เปิดให้ใช้งานในรูปแบบอัลฟ่าปิดสำหรับผู้ที่ลงทะเบียนเข้าคิวรอระหว่างปี 2022 และอ้างว่าใช้ E2EE คล้ายกับ Beeper Mini อย่างไรก็ตาม แอปถูกระงับชั่วคราวในช่วงปลายเดือนพฤศจิกายน 2023 เนื่องจาก "ข้อกังวลด้านความปลอดภัย" โดยแหล่งข่าวหลายแห่งอ้างว่าแอปไม่ได้เข้ารหัสจากต้นทางถึงปลายทางตามวิธีที่ระบุไว้

Sunbird ได้ร่วมมือกับ Nothing ซึ่งเป็นบริษัทแบรนด์โทรศัพท์ที่ Charles Pei ผู้ก่อตั้ง OnePlus เป็นเจ้าของ เพื่อเปิดตัว Nothing Chats ซึ่งถูกดึงออกจาก App Store ในช่วงเวลาเดียวกับที่ Sunbird ถูกหยุดชั่วคราว

เราขอแนะนำให้หลีกเลี่ยงแอปเหล่านี้ และโปรดจำไว้ว่าแอปใดๆ ที่อ้างว่าเป็นบริการใดบริการหนึ่งจากทั้งสองนี้ก็ไม่ควรเข้าไปยุ่งวุ่นวายด้วย Beeper พยายามอย่างเต็มที่เพื่อให้แน่ใจว่าแอปของพวกเขาปลอดภัย แสดงให้เห็นว่าการผลิตเทคโนโลยีประเภทนี้ด้วยวิธีที่ปลอดภัยนั้นยากเพียงใด