Beeper’daki ekip, kullanıcıların herhangi bir tuhaf aktarma sunucusu olmadan doğrudan Android cihazlarından mavi baloncuklu iMessages göndermelerine olanak tanıyan bir yolu gururla duyurduktan birkaç gün sonra ve Apple’ın bunu kapatmak için adımlar attığı netleştikten yaklaşık 24 saat sonra Apple, konuyla ilgili görüşlerini paylaştı.
Şirketin buradaki tutumu oldukça öngörülebilir: Kullanıcılara doğru olanı yapmaya ve iMessage’larının gizliliğini ve güvenliğini korumaya çalıştığını söylüyor. Apple’ın kıdemli PR yöneticisi Nadine Haija yaptığı açıklamada, “iMessage’a erişim sağlamak amacıyla sahte kimlik bilgilerinden yararlanan teknikleri engelleyerek kullanıcılarımızı korumak için adımlar attık” dedi.
İşte açıklamanın tamamı:
Apple olarak ürünlerimizi ve hizmetlerimizi, kullanıcılara verilerinin kontrolünü vermek ve kişisel bilgileri güvende tutmak için tasarlanmış sektör lideri gizlilik ve güvenlik teknolojileriyle geliştiriyoruz. iMessage’a erişim sağlamak amacıyla sahte kimlik bilgilerinden yararlanan teknikleri engelleyerek kullanıcılarımızı korumak için adımlar attık. Bu teknikler, meta verilerin açığa çıkması ve istenmeyen mesajların, spam ve kimlik avı saldırılarının etkinleştirilmesi potansiyeli de dahil olmak üzere kullanıcı güvenliği ve gizliliği açısından önemli riskler oluşturuyordu. Kullanıcılarımızı korumak için gelecekte güncellemeler yapmaya devam edeceğiz.
Bu ifade birkaç şeyi akla getiriyor. Birincisi, Apple, iMessage’a Apple’ın kendi anlık bildirim hizmeti aracılığıyla bağlanmak için özel olarak oluşturulmuş bir hizmet kullanan Beeper Mini’yi gerçekten kapattı; tüm iMessage mesajları, Beeper’ın etkili bir şekilde müdahale edip cihazınıza ilettiği bu protokol üzerinden seyahat ediyor. Bunu yapmak için Beeper’ın, Apple’ın sunucularını, bildirim protokollerine gerçek bir Apple cihazından ping attığına ikna etmesi gerekiyordu, oysa öyle olmadığı açıktı. (Bunlar Apple’ın bahsettiği “sahte kimlik bilgileridir.” Snazzy Labs’tan Quinn Nelson güzel bir video hazırladım her şeyin nasıl çalıştığı hakkında.)
Beeper, sürecinin şifreleme veya gizliliğinizden ödün vermeden çalıştığını söylüyor; şirketin belgeleri, mesajlarınızın içeriğini sizden başka kimsenin okuyamayacağını söylüyor. Ancak Apple bunu doğrulayamıyor ve bunun kullanıcılar ve sohbet ettikleri kişiler için risk oluşturduğunu söylüyor.
“Bu teknikler kullanıcı güvenliği ve mahremiyeti açısından önemli riskler oluşturuyordu”
Tabii burada çok daha büyük bir resim de var. Apple, iMessage’ı Android’e getirmek istemediğini defalarca açıkça belirtti: CEO Tim Cook, Kod Konferansı’nda Android kullanan annelerine mesaj göndermenin daha iyi bir yolunu isteyen bir soru soran kişiye “annenize bir iPhone satın alın” dedi. Şirketin yöneticileri geçmişte Android sürümlerini tartışmıştı ancak bunun iPhone satışlarını baltalayacağına karar vermişti. Apple yakın zamanda platformlar arası RCS mesajlaşma protokolünü benimseyeceğini söyledi, ancak bunun nasıl görüneceğini henüz tam olarak bilmiyoruz – ve Apple’ın hala yerel iMessage kullanıcıları için hayatı daha iyi hale getirmeye çalışacağına bahse girebilirsiniz.
Apple’ın açıklaması ilginç bir zamanda geldi. Beeper birkaç yıldır ortalıkta ve iMessage’a müdahale etmeye yönelik önceki çabaları aslında güvenlik açısından çok daha sorunluydu. Beeper ve Sunbird gibi uygulamalar (yakın zamanda iMessage’ı Android’e getirmenin başka bir yolunda Nothing ile çalıştı) iMessage trafiğinizi bir yerde bir sunucu rafındaki bir Mac Mini üzerinden çalıştırıyordu ve bu da mesajlarınızı çok daha savunmasız bırakıyordu. Ancak Beeper Mini, iMessage protokolünü doğrudan kullanıyordu ve bu da açıkça Apple’ın güvenlik önlemlerini sıkılaştırmasına neden oldu.
Apple, Beeper Mini’yi kestikten sonra Beeper onu yeniden çalışır hale getirmek için hararetli bir şekilde çalışıyor. Cumartesi günü şirket, iMessage’ın yeniden çalıştığını söyledi orijinal Beeper Cloud uygulamasındaancak Beeper Mini hâlâ çalışmıyordu. Kurucu Eric Migicovsky Cuma günü yaptığı açıklamada, Apple’ın uygulamasını neden engellediğini anlamadığını söyledi: “Eğer Apple gerçekten kendi iPhone kullanıcılarının gizliliğini ve güvenliğini önemsiyorsa, kendi kullanıcılarının artık iPhone’a mesaj göndermesine olanak tanıyan bir hizmeti neden durdursunlar? Güvenli olmayan SMS kullanmak yerine Android kullanıcılarına şifreli mesaj göndermek mi istiyorsunuz?
Migicovsky, Apple’ın açıklamasını dinledikten sonra bile tutumunun değişmediğini söylüyor. Beeper’ın güvenlik uygulamalarından emin olabilmek için Beeper’ın kodunu bir güvenlik incelemesi için Apple ile paylaşmaktan mutluluk duyacağını söyledi. Sonra kendini durduruyor. “Fakat bu önermenin tamamını reddediyorum! Çünkü başladığımız konum, iPhone kullanıcılarının Android kullanıcılarıyla şifrelenmemiş mesajlar dışında konuşamamasıdır.”
Migicovsky’ye öngörülebilir gelecekte Apple’ın güvenlik ekibiyle savaşmaya hazır olup olmadığını sorduğumda Beeper Cloud’un hâlâ çalışıyor olmasının Apple’ın onu sonsuza kadar dışarıda tutamayacağının veya tutamayacağının bir işareti olduğunu söylüyor. (Ayrıca Beeper ekibinin Beeper Mini için bazı fikirleri kaldığını da söylüyor.) Bunun ötesinde, kamuoyu mahkemesinin eninde sonunda Apple’ı iyi oynamaya ikna edeceğini umuyor. “İnşa ettiğimiz şey dünya için iyidir” diyor. “Bu, neredeyse hepimizin var olması gerektiği konusunda hemfikir olabileceği bir şey.”
En azından Apple içinde bu argümanın kulak ardı edilmesi muhtemel görünüyor. Şirket, iMessage’ı yıllardır sıkı bir şekilde kontrol altında tutuyor ve dikkatli bir şekilde güvence altına alıyor ve şu anda dizginleri gevşetmesi pek olası değil. Ve eğer Beeper, Beeper Mini’yi tekrar çalıştırabilirse, bu, Apple’ın güvenliğinin bir adım önünde kalmaya çalışan hiç bitmeyen bir kedi fare oyununa dönüşecek. Ve Apple, bir Android telefondan iMessages göndermeyi ne kadar çok isteseniz de, bu oyunu kazanma niyetinde olduğunu açıkça belirtti.
Güncelleme 9 Aralık 20:15: Beeper’dan Eric Migicovsky’nin yorumu eklendi.