Apple responde sobre app Beeper
Poucos dias depois de a equipe do Beeper anunciar com orgulho uma maneira de os usuários enviarem iMessages de bolha azul diretamente de seus dispositivos Android, sem nenhum servidor de retransmissão estranho, e cerca de 24 horas depois de ficar claro que a Apple havia tomado medidas para encerrar isso, a Apple tem compartilhou sua opinião sobre o assunto. A posição da empresa aqui é bastante previsível: ela diz que está simplesmente tentando fazer o que é certo para os usuários e proteger a privacidade e a segurança de suas iMessages. “Tomamos medidas para proteger nossos usuários, bloqueando técnicas que exploram credenciais falsas para obter acesso ao iMessage”, disse a gerente sênior de relações públicas da Apple, Nadine Haija, em um comunicado.
Aqui está a declaração na íntegra:
Na Apple, construímos nossos produtos e serviços com tecnologias de privacidade e segurança líderes do setor, projetadas para dar aos usuários o controle de seus dados e manter as informações pessoais seguras. Tomamos medidas para proteger nossos usuários bloqueando técnicas que exploram credenciais falsas para obter acesso ao iMessage. Essas técnicas representavam riscos significativos à segurança e à privacidade do usuário, incluindo o potencial de exposição de metadados e a possibilidade de mensagens indesejadas, spam e ataques de phishing. Continuaremos a fazer atualizações no futuro para proteger nossos usuários.
Esta afirmação sugere algumas coisas. Primeiro, a Apple de fato desligou o Beeper Mini, que usa um serviço personalizado para se conectar ao iMessage por meio do próprio serviço de notificação push da Apple – todas as mensagens do iMessage viajam por esse protocolo, que o Beeper efetivamente intercepta e entrega ao seu dispositivo. Para fazer isso, o Beeper teve que convencer os servidores da Apple de que estava executando ping nos protocolos de notificação de um dispositivo Apple genuíno, quando obviamente não estava. (Essas são as “credenciais falsas” de que a Apple está falando. Quinn Nelson do Snazzy Labs fiz um bom vídeo sobre como tudo funciona.)
Beeper afirma que seu processo funciona sem comprometer sua criptografia ou privacidade; a documentação da empresa diz que ninguém além de você pode ler o conteúdo de suas mensagens. Mas a Apple não pode verificar isso e diz que isso representa riscos para os usuários e para as pessoas com quem eles conversam.
“Essas técnicas representam riscos significativos para a segurança e privacidade do usuário”
Obviamente, há também uma imagem muito maior aqui. A Apple deixou claro repetidamente que não quer trazer o iMessage para o Android: “compre um iPhone para sua mãe”, disse o CEO Tim Cook a um questionador na Code Conference que queria uma maneira melhor de enviar mensagens para sua mãe que carrega o Android, e o os executivos da empresa debateram as versões do Android no passado, mas decidiram que isso canibalizaria as vendas do iPhone. A Apple disse recentemente que adotará o protocolo de mensagens RCS multiplataforma, mas ainda não sabemos exatamente como será – e você pode apostar que a Apple ainda tentará melhorar a vida dos usuários nativos do iMessage.
A declaração da Apple chega num momento interessante. O Beeper já existe há alguns anos e seus esforços anteriores para interceptar o iMessage eram, na verdade, muito mais problemáticos em termos de segurança. Beeper e aplicativos como o Sunbird (que recentemente trabalhou com o Nothing em outra maneira de trazer o iMessage para o Android) estavam simplesmente executando o tráfego do iMessage através de um Mac Mini em um rack de servidor em algum lugar, o que deixava suas mensagens muito mais vulneráveis. Mas o Beeper Mini estava explorando diretamente o protocolo iMessage, o que claramente levou a Apple a reforçar suas medidas de segurança.
Desde que a Apple desligou o Beeper Mini, o Beeper tem trabalhado arduamente para colocá-lo em funcionamento novamente. No sábado, a empresa disse que o iMessage estava funcionando novamente no aplicativo Beeper Cloud original, mas o Beeper Mini ainda não estava funcionando. O fundador Eric Migicovsky disse na sexta-feira que simplesmente não entendia por que a Apple bloquearia seu aplicativo: “se a Apple realmente se preocupa com a privacidade e a segurança de seus próprios usuários do iPhone, por que eles interromperiam um serviço que permite que seus próprios usuários enviem agora? mensagens criptografadas para usuários do Android, em vez de usar SMS inseguros?”
Migicovsky diz agora que sua postura não mudou, mesmo depois de ouvir a declaração da Apple. Ele diz que ficaria feliz em compartilhar o código do Beeper com a Apple para uma análise de segurança, para que ela pudesse ter certeza das práticas de segurança do Beeper. Então ele se detém. “Mas eu rejeito toda essa premissa! Porque a posição de onde partimos é que os usuários do iPhone não podem falar com os usuários do Android, exceto através de mensagens não criptografadas.”
O argumento de Beeper é que o SMS é tão fundamentalmente inseguro que praticamente qualquer outra coisa seria uma melhoria. Quando digo que talvez a preocupação da Apple seja que os usuários do iPhone de repente estejam enviando mensagens de bolha azul supostamente exclusivas da Apple por meio de uma empresa – Beeper – que eles não conhecem, Migicovsky pensa por um segundo. “Isso é justo”, diz ele, e oferece uma solução: talvez cada mensagem enviada através do Beeper deva ser precedida por um emoji de pager, para que as pessoas saibam o que é o quê. Se isso resolver o problema, diz ele, poderá ser feito em algumas horas.
Quando pergunto a Migicovsky se ele está preparado para lutar contra a equipe de segurança da Apple no futuro próximo, ele diz que o fato de o Beeper Cloud ainda estar funcionando é um sinal de que a Apple não pode ou não quer mantê-lo afastado para sempre. (Ele também diz que a equipe de Beeper ainda tem algumas ideias para o Beeper Mini.) Além disso, ele espera que o tribunal da opinião pública acabe convencendo a Apple a jogar bem de qualquer maneira. “O que construímos é bom para o mundo”, diz ele. “É algo que quase todos concordamos que deveria existir.”
Dentro da Apple, pelo menos esse argumento parece cair em ouvidos surdos. A empresa manteve o iMessage rigidamente controlado e cuidadosamente protegido durante anos e não é provável que afrouxe as rédeas agora. E se o Beeper conseguir fazer o Beeper Mini funcionar novamente, ele estará destinado a um jogo interminável de gato e rato tentando ficar um passo à frente da segurança da Apple. E a Apple deixou claro que pretende vencer esse jogo, não importa o quanto você queira enviar iMessages de um telefone Android.
Atualização em 9 de dezembro, 20h30: Adicionado comentário de Eric Migicovsky do Beeper.