Beeper Mini pode ser a aplicação iMessage-on-Android de que estávamos à espera

Quando o Beeper lançou pela primeira vez a sua solução iMessage-on-Android, em agosto, estava bastante cético. Embora o sonho de poder transformar as temidas bolhas verdes em azuis fosse mais do que apelativo, a forma como o Beeper e outras empresas o estavam a fazer não era suficientemente segura.

O principal problema tinha a ver com a forma como as mensagens eram transmitidas do Android para o iPhone. Para que as suas mensagens aparecessem como iMessages nos dispositivos iOS dos seus amigos, era necessário iniciar sessão com o seu ID Apple num Mac mini no parque de servidores do Beeper. Embora o Beeper não tivesse acesso às suas mensagens, bastava um mau hack para que o token do seu ID Apple fosse roubado, expondo a sua conta Apple a quem a quisesse roubar.

A empresa Nothing tentou fazer algo semelhante no mês passado, associando-se à Sunbird para oferecer o iMessage no Android através da sua aplicação Nothing Chats. O mesmo processo, os mesmos problemas de segurança. Na verdade, o Nothing Chats foi quase imediatamente retirado da Play Store, pois os investigadores descobriram que a aplicação estava a armazenar credenciais em texto simples. Os piratas informáticos poderiam literalmente ler as suas mensagens juntamente com o código, caso obtivessem acesso aos servidores. Lá se vai a encriptação de ponta a ponta.

Com todo este drama em curso, a promessa de enviar iMessages a partir de dispositivos Android parecia enganadora. Por isso, quando o Beeper anunciou que tinha uma nova abordagem à questão, que eliminava todas as preocupações de segurança anteriores, tive as minhas dúvidas. Continuo a ter as minhas dúvidas, mas tenho de dizer que parece prometedor.

Beeper Mini

Na terça-feira, o Beeper anunciou o "Beeper Mini", sua nova abordagem para enviar e receber iMessages em dispositivos Android. No entanto, ao contrário do aplicativo Beeper original, o Beeper Mini não depende de uma retransmissão do Mac para passar iMessages pelos servidores da Apple. Em vez disso, o aplicativo se conecta e envia mensagens para os servidores da Apple diretamente, imitando a mesma interação que um iPhone tem com a Apple para alimentar o iMessage.

É uma façanha e tanto. O Beeper comprou as descobertas de um pesquisador conhecido como jjtech, que fez engenharia reversa de como o protocolo iMessage da Apple funciona, e fez uma parceria com eles para criar o Mini. Com ele, o Beeper Mini é capaz de pegar numa mensagem enviada a partir do seu Android, enviá-la para a Apple e depois reencaminhar a mensagem para o seu destino. Isto funciona porque a Apple "pensa" que o seu Android é um iPhone. Utilizando um número de série válido da Apple, o Beeper regista o seu número de telefone nos servidores da Apple, pelo que o protocolo iMessage o vê como uma "bolha azul". A partir desse momento, a Apple vê-o como parte da sua própria empresa e aceita de bom grado as suas mensagens encriptadas e transmite-as para onde quer que seja necessário.

A encriptação também não é afetada aqui: As suas chaves privadas (a tecnologia necessária para encriptar e desencriptar as suas mensagens) permanecem no seu dispositivo e nunca são transferidas para o Beeper ou para a Apple. Quando carrega em "Enviar", o Beeper Mini encripta a sua mensagem. Não será desencriptada até chegar ao destinatário correto, tal como o verdadeiro iMessage faz entre iPhones.

O Beeper orgulha-se deste feito e convida ao escrutínio dos investigadores de segurança. Para o efeito, encorajam qualquer pessoa a experimentar a tecnologia por si própria: Pode experimentar uma prova de conceito Python de código aberto no seu computador que faz exatamente o que o Beeper Mini faz. É possível ver isso em ação no passo a passo do Snazzy Lab sobre o serviço. É um pouco louco ver que qualquer pessoa pode essencialmente executar o iMessage em Python, quando a Apple manteve a tecnologia dentro de seu jardim murado desde o seu início.

Quando estiver a funcionar, verá que muitas funcionalidades do iMessage funcionam como devem. Como é óbvio, pode enviar e receber mensagens, editar e anular o envio de mensagens, participar em conversas de grupo sem problemas e enviar conteúdos multimédia de alta resolução para outros iPhones. Algumas funcionalidades específicas, como a partilha de localização, a integração com o FaceTime e os efeitos e jogos do iMessage não estão disponíveis, mas imagino que a maior parte das pessoas que utilizam esta aplicação não se importará com isso. Ficarão apenas satisfeitas por não "estragarem a conversa de grupo".

Existem problemas de segurança?

Tenho de dar o braço a torcer ao Beeper: Isto é prometedor. Nem o Beeper nem a Apple têm acesso às suas mensagens, toda a encriptação acontece no dispositivo e não precisa de iniciar sessão num Mac estranho numa quinta de servidores distante. É uma grande atualização.

No entanto, existem algumas particularidades no serviço que vale a pena ter em atenção. Uma vez que o Android não suporta o serviço Apple Push Notification (APN), o Beeper Mini não pode, tecnicamente, notificar o utilizador de novas mensagens sem que este o utilize ativamente. Para contornar esta situação, o Beeper criou aquilo a que chama Beeper Push Notification (BPN), que fala com os servidores da Apple em seu nome para ver se tem novas mensagens. Embora isto comece a fazer soar algumas campainhas de alarme, de acordo com o Beeper, o BPN é um serviço seguro: A Apple permite que o Beeper procure novas mensagens sem precisar de ter as chaves de encriptação necessárias para as ler.

Beeper Mini pode ser a aplicação iMessage-on-Android de que estávamos à espera

Crédito: Beeper

Isto significa que tudo o que o BPN pode fazer é ver se tem novas mensagens para desencriptar. Não as pode ler. Se detetar novas mensagens, desliga-se do APN e alerta a aplicação Beeper Mini. Agora que a aplicação está ativa, pode obter novas mensagens como se o utilizador a tivesse aberto e, pronto, o Android envia-lhe uma notificação push para novas iMessages. O Beeper sabe que esta funcionalidade pode levantar suspeitas a algumas pessoas sensíveis à segurança, pelo que oferece a opção de a desativar, desde que não se importe de abrir o Beeper Mini manualmente sempre que quiser verificar se há novas mensagens.

Outra peculiaridade surge quando se pretende enviar e receber mensagens num dispositivo Apple, como o iPad ou o Mac. O seu número de telefone só é necessário se se limitar aos telemóveis, mas para que os outros dispositivos da Apple participem na diversão, terá de iniciar sessão no seu ID Apple. Isto é um pouco complicado, uma vez que adoro o facto de o Beeper Mini não necessitar de qualquer início de sessão no ID Apple para funcionar inicialmente. No entanto, é a única forma de ligar o número de telefone do Beeper Mini a um iPad e/ou Mac, pelo que, se pretender ligar todos os dispositivos, terá de ligar o seu ID Apple. No entanto, não sei se o recomendaria.

Em geral, continuo a desconfiar de ligar um serviço como o iMessage através de um terceiro. Não é que a Apple seja perfeita, mas a empresa é muito rigorosa. Quando se mexe nos limites dessa situação, corre-se o risco de ter problemas de segurança. No entanto, desde o início, a nova aplicação do Beeper é muito mais segura do que antes. O Beeper tornou a sua tecnologia de código aberto, para que os investigadores de segurança a possam analisar em busca de vulnerabilidades.

Quanto a mim, posso esperar pelas primeiras descobertas antes de aderir a este serviço. Mas estou impressionado. Isto é, por falta de uma palavra melhor, muito fixe.

Além disso, há o argumento de que o Beeper Mini torna mais seguro o envio de mensagens de texto entre o iPhone e o Android. O SMS é um protocolo de mensagens extremamente inseguro, e o Beeper Mini oferece encriptação de ponta a ponta. Neste momento, têm muito a seu favor.

Será que o Beeper Mini vai conseguir?

O Beeper Mini também enfrenta alguns desafios potenciais: A Apple não vai gostar dele, pois depende de um código iMessage com engenharia reversa. (Parabéns a você, jjtech.) Resta saber se eles farão algo a respeito. A Apple também tem planos para tornar as mensagens de texto entre dispositivos iPhone e Android muito mais fáceis: O suporte RCS está a chegar no final do próximo ano, o que coloca o Beeper Mini num lugar estranho. Claro, é ótimo ter uma solução iMessage no Android em 2023, mas o que acontece quando as "bolhas verdes" não forem tão más em 2024? Se as pessoas puderem ter uma experiência com a qualidade do iMessage para enviar mensagens de texto entre telemóveis, independentemente do telemóvel que tiverem, será que vão continuar a querer pagar para tornar as suas bolhas azuis?

O estigma da bolha verde é suficientemente mau nos EUA atualmente para que a resposta possa ser sim. Mas à medida que se torna muito menos obstrutivo ser um utilizador de Android numa conversa de grupo do iPhone, esse estigma pode desaparecer e, com ele, a necessidade de algo como o Beeper Mini.

Mas, tal como está, a Apple ainda não suporta RCS. Por isso, neste momento, esta pode ser a sua melhor aposta para enviar mensagens seguras e convenientes entre o seu dispositivo Android e os seus amigos do iPhone.

O Beeper Mini custa 1,99 dólares por mês, após uma avaliação gratuita de 7 dias. Pode descarregá-lo a partir da Play Store hoje mesmo.