O Sunrise no iOS é um calendário que, com a versão 2, adicionou suporte aos calendários do iCloud. Deesta página, a equipe do Sunrise diz o seguinte:

Quando você digita suas credenciais do iCloud, elas são enviadas ao nosso servidor apenas uma vez de forma segura por SSL. [...] Nós os usamos para gerar um token seguro da Apple. Esse token seguro é a única coisa que armazenamos em nossos servidores, nunca armazenamos suas credenciais reais do iCloud.

E recentemente:

Desde a versão 2.11, não estamos enviando credenciais do iCloud para nossos servidores, o aplicativo gera o token seguro no lado do cliente.

Tudo isso significa que um token, gerado pela / para a Apple, pode ser usado para acessar os calendários do usuário do iCloud nos servidores da Apple, em nome do usuário. Existem algumas referências aqui e ali, falando sobre a maneira comodo utilizador) lataencontre um URL CalDAV para usar com clientes de calendário ou comopode baixar o conteúdo de seus calendários como arquivos .ics acessando o aplicativo da web iCloud.

O método descrito pela equipe do Sunrise não parece se encaixar em nenhum desses métodos. Então, eu gostaria de saber como uma startup pode abertamente (e aparentemente com o suporte da Apple) ter acesso aos servidores da Apple.