Если вы не заметили на прошлой неделе новости про то, что Nothing вместе с Sunbird запустили приложение для iMessage на Android, то и хорошо. Остальным сообщу, что приложение отозвано из сторов из-за огромных проблем с безопасностью. Если коротко, то Sunbird, кажется, не шифрует сообщения и хранит их в plain text в Firebase и Sentry, при этом аутентификационные токены пересылаются по http, читай кто хочешь. Собственно, так и сделали специалисты сервиса , о котором я писал недавно — перехватили токен, подключились к Firebase Realtime DB и подписались на обновления по токену. Это дало возможность читать все сообщения до момента прочтения их пользователем.

Более того, оказалось, что все документы, которые пересылались через сервис, сохранялись на серверах Sunbird и остаются доступными публично — один из исследователей нашел 630 тысяч файлов и к некоторым смог получить доступ. Другой специалист быстро написал утилиту, которая позволяет удалять информацию пользователей с серверов. В общем, в части безопасности там, кажется, и конь не валялся и язвительность текста на Arstechnica я даже не берусь превзойти. Если вдруг вы что-то такое попробовали, считайте себя взломанным.