Apple закрыла доступ к iMessage через приложение Beeper Mini для Android
Компания Apple закрыла лазейку, которую в Beeper Mini использовали для внедрения iMessage на Android, тем самым прекратив отправку синих пузырей с Android-устройств.
В Apple мы создаем наши продукты и услуги с помощью ведущих в отрасли технологий конфиденциальности и безопасности, предназначенных для того, чтобы дать пользователям контроль над своими данными и обеспечить безопасность личной информации. Мы предприняли шаги по защите наших пользователей, блокируя методы, которые используют поддельные учетные данные, чтобы получить доступ к iMessage. Эти методы представляли значительные риски для безопасности и конфиденциальности пользователей, включая возможность раскрытия метаданных и включения нежелательных сообщений, спама и фишинговых атак. Мы продолжим обновлять информацию в будущем, чтобы защитить наших пользователей.
Представленное во вторник (5 декабря 2023 года) приложение Beeper Mini позволяло пользователям Android отправлять сообщения с голубым пузырем iMessage пользователям iPhone. Приложение поддерживало все функции iMessage, включая уведомления о прочтении, индикаторы набора текста, реакции и многое другое.
В тот же день компания разместила в своем блоге дорожную карту по развитию приложения на 2024 год.
- Beeper Mini работал путем перехвата протокола iMessage с помощью собственной службы push-уведомлений Apple, убедив серверы Apple, что это подлинное устройство Apple. Этот метод, по словам Apple, включал в себя использование «поддельных учетных данных», что представляло значительные риски для безопасности и конфиденциальности для пользователей.
- Beeper Mini не требовал ввода Apple ID, что отличало его от других, менее безопасных приложений iMessage для Android, таких как Sunbird. Принцип работы Beeper Mini был подробно описан в блоге, что позволило Apple понять, как он работает. В Beeper Mini использовался реверс-инжиниринг от исследователя безопасности jjtech, который также описал свою методологию и поделился пробным вариантом реализации iMessage на Github.
- Приложение напрямую связывалось с серверами iMessage Apple и регистрировало телефонные номера пользователей Beeper как пользователей iMessage для обеспечения доступа к «синему пузырю».
- При этом, несмотря на то, что iMessage является бесплатным, Beeper Mini предоставляло тестовый период в 7 дней, а затем требовало подписку за $2,99 в месяц.
После заявления Apple генеральный директор Beeper Эрик Мигиковски выразил готовность сотрудничать с Apple для проверки безопасности кода Beeper в The Verge. Он подчеркнул важность безопасных каналов связи между пользователями iPhone и Android, оспаривая решение Apple, подчеркнув недостатки незашифрованных SMS для кросс-платформенного обмена сообщениями. Несмотря на твердую позицию Apple, Мигиковский по-прежнему привержен поиску решений, которые могли бы обеспечить возвращение Beeper Mini или аналогичных услуг.